Los Nuevos Conceptos Del Control Interno

Los nuevos conceptos
del control interno

(Informe COSO)
Coopers
&Lybrand
presentan
Los nuevos conceptos

del control interno
(Informe COSO)
COOPERS & LYBRAND

Traducido de: Internal Control Integrated Framework
Traducción: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.

Revisión: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.
© Coopers & Lybrand e Instituto de Auditores Internos, 1997
© Committee of Sponsoring Organizations of the Treadway Commission,

con la autorización de American Institute of Certified Public Account-
ants, Inc. New York, N.Y.
Reservados todos los derechos.
«No está permitida la reproducción total o parcial de este libro,

ni su tratamiento informático, ni la transmisión de ninguna
forma o por cualquier medio, ya sea electrónico, mecánico,
por fotocopia, por registro u otros métodos, sin el permiso
previo y por escrito de los titulares del Copyright.»
Ediciones Díaz de Santos, S.A.

Juan Bravo, 3A
28006 MADRID
ISBN: 978-84-7978-295-5
Depósito legal: M. 11.863- 1997
Diseño de Cubierta: Ángel Calvete

Fotocomposición: Díaz de Santos, S.A.
Impresión: Lavel, S.A.
Encuadenación: Rústica-Hilo, S. L.
Autores y promotores del informe
Committee of Sponsoring Organizations
of the Treadway Commission (COSO)
ENTIDADES PROMOTORAS REPRESENTANTES
American Institute of Certified Public Accountants Robert L. May, Chairman
American Accounting Association Alvin A. Arens
The Institute of Internal Auditors William G. Bishop, III
Institute of Management Accountants Thomas M. O'Toóle
Financial Executives Institute P. Norman Roy
GRUPO ASESOR DEL INFORME

Gaylen N. Larson, Chairman C. Perry Colwell John H. Stewart
Group Vice President, Seniro Vice President- Assistant Treasurer
Chief Accounting Officer Financial Management IBM Corporation
Household International AT&T
Andrew D. Bailey Willian J. Ihlanfeldt Howard L.Siers, Consult.

Professor, Department of Accounting Assistant Controller General Auditor
College of Business and Shell OH Company ./. Du Pont de Nemours and
Public Administration Company, Inc.
The University ofArizona
Roger N. Carolus David L. Landsittel

Sénior Vice President Managing director-Auditing
NationsBank Arthur Andersen & Co.
AUTOR
Coopers & Lybrand
PRINCIPALES COLABORADORES
Vincent M. O'Reilly R. Malcolm Schwartz Richard M. Steinberg
Deputv Chairman, Accounting Principal Partner
and Auditing New York Office National Office
Frank J. Tanki Robert J. spear

Director, Accounting Partner
and SEC Technical Services Boston Office
Contenido
Prólogo.................................................................................................................... IX
Sección primera: Resumen para la dirección
Resumen para la dirección .................................................................................... 3
Sección segunda: Marco general de referencia
1. Definición ............................................................................................................ 15
2. Entorno de control .................................................................................................. 27
3. Evaluación de los riesgos ...................................................................................... 43
4. Actividades de control ........................................................................................ 67
5. Información y comunicación ................................................................................ 81
6. Supervisión .......................................................................................................... 93
7. Limitaciones del control interno ........................................................................ 107
8. Funciones y responsabilidades............................................................................... 113
Anexos:
A. Antecedentes y acontecimientos que condujeron a este estudio ......................... 127
B. La metodología ...................................................................................................... 137
C. Interpretaciones de la definición .......................................................................... 145
D. Análisis de los comentarios ................................................................................. 153
E. Glosario .................................................................................................................. 165
VIII CONTENIDO
Sección tercera: Información a terceros
9. Información a terceros ......................................................................................... 173

Anexo: Análisis de los comentarios....................................................................... 203
Suplemento "Información a terceros" .................................................................. 209
Sección cuarta: Herramientas de evaluación
10. Introducción ............................................................................................................ 219

11. Herramientas de evaluación: modelos de formularios.......................................... 221
12. Manual de referencia .............................................................................................. 273
Ejemplos de formularios cumplimentados .......................................................... 285
Prólogo
Constituye para nosotros un motivo de gran satisfacción presentar a los

lectores de habla española y, concretamente a los profesionales de la audito-
ría, del control, de la administración y gestión de las organizaciones, la tra-
ducción de la versión en inglés del Informe COSO sobre Control Interno,
publicación editada en los Estados Unidos en 1.992 tras un largo período de
discusión de más de cinco años y realizada por el grupo de trabajo que la
Comisión Treadway formó con el objetivo fundamental de definir un nuevo
marco conceptual del control interno capaz de integrar las diversas definicio-
nes y conceptos que hasta ahora se han venido utilizando sobre este tema.
El Informe COSO ha pretendido, y creemos que ampliamente conseguido,
por lo menos en los Estados Unidos, que es donde el informe ha tenido hasta
ahora mayor difusión, que cuando se plantee cualquier discusión o problema
de control interno, tanto a nivel práctico de las empresas como a nivel de
auditoría interna o externa, o a los niveles académicos y legislativos, los
interlocutores tengan una referencia conceptual común, lo cual hasta ahora
resultaba complejo, dada la multiplicidad de definiciones y conceptos diver-
gentes que ha existido sobre el control interno. Además, por la amplitud de los
conceptos empleados y por la superación de los de las viejas definiciones
restrictivas y mecanicistas, esta nueva definición integradora se ha convertido
en una herramienta eficaz para satisfacer la necesidad de un buen gobierno
corporativo de las empresas.
El grupo de trabajo estaba constituido por representantes de la American
Accounting Association (AAA), American Institute of Certified Public Ac-
countants (AICPA), Financial Executive Institute (FAI), Institute of Internal
Auditors (IIA) e Institute of Management Accountants (IMA), y sus siglas
COSO corresponden al Committee of Sponsoring Organizations de la Tread-
way Commission, National Commission on Fraudulent Financial Reporting,
creada en Estados Unidos en 1985 por las instituciones ya citadas, con la
finalidad de identificar los factores que originan la presentación de informa-
X LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO
ción financiera falsa o fraudulenta y emitir las recomendaciones que garanti-

zasen la máxima transparencia informativa en tal sentido. La redacción del
informe fue encomendada a Coopers & Lybrand.
La diversidad y autoridad del grupo COSO, confieren al estudio que hoy
publicamos gran difusión y aceptación, que ha tenido y alcanzará en los me-
dios financieros y en los directorios y consejos de administración de las orga-
nizaciones, resaltando la necesidad de que los administradores y altos directi-
vos presenten especial atención al control interno concebido tal como el
COSO lo define, enfatizando la necesidad de comités de auditoría y de una
cualificada función de auditoría tanto interna como externa y recalcando la
necesidad de que el control interno sea un proceso integrado que forme parte
de los procesos de los negocios y no pesados mecanismos burocráticos añadi-
dos a los mismos.
Consecuentemente, el Instituto de Auditores Internos de España (IAI), y
Coopers & Lybrand España se han asociado para difundir en el mundo de
habla hispana estos nuevos conceptos de control interno, convencidos de que
ello será beneficioso para la mejora de la filosofía y la práctica del control
interno y del efecto positivo que tendrá sobre las funciones de auditoría tanto
interna como externa. El Instituto de Auditores Internos de España está aso-
ciado al Institute of Internal Auditors y al mismo pertenecen los departamen-
tos de auditoría interna de las principales organizaciones y empresas del país,
el Institute of Internal Auditors está implantado en mas de 100 países y agrupa
a más de 54.000 auditores internos. Coopers & Lybrand reúne en España a
más de 900 profesionales de auditoría, impuestos y consultoría. A nivel mun-
dial está implantada en 120 países y cuenta con cerca de 70.000 profesionales.
El equipo que ha llevado a cabo la traducción ha estado encabezado por
Antonio García López (IAI) y Juan José Hierro González (C&L), quienes han
contado, entre otros, con la colaboración de Pelegrín García Martínez (IAI),
Alfredo Hierro Cuenca (IAI), Xavier Valls Moré (C&L) y Carmen Fabre
Alegre (C&L).
Por ello agradecemos a todos los colaboradores el esfuerzo y dedicación
en la traducción de este informe, el cual, sin duda, constituirá una excelente
guía práctica y una insustituible fuente de consulta y ayuda para directores de
empresas, consejeros, gestores y directivos, profesores universitarios y de es-
cuelas de negocios, auditores y, en general, para aquellos que estén interesa-
dos en la nueva cultura del control y de la gestión de las organizaciones, así
como para los reguladores y funcionarios públicos con responsabilidades en el
control, auditoría e intervención de las entidades gubernamentales y de la
administración pública.
Eduardo Hevia Vázquez Ángel Luis Linares Martínez

Presidente del Instituto Presidente de Coopers & Lybrand, S.A.
de Auditores Internos de España (España)
Sección primera
Resumen para la dirección

Resumen para la dirección
Hace tiempo que los altos ejecutivos buscan maneras de controlar mejor
las empresas que dirigen. Los controles internos se implantan con el fin de
detectar, en el plazo deseado, cualquier desviación respecto a los objetivos de
rentabilidad establecidos por la empresa y de limitar las sorpresas. Dichos
controles permiten a la dirección hacer frente a la rápida evolución del entor-
no económico y competitivo, así como a las exigencias y prioridades cambian-
tes de los clientes y adaptar su estructura para asegurar el crecimiento futuro.
Los controles internos fomentan la eficiencia, reducen el riesgo de pérdida de
valor de los activos y ayudan a garantizar la fiabilidad de los estados financie-
ros y el cumplimiento de las leyes y normas vigentes.
Debido a que los controles internos son útiles para la consecución de
muchos objetivos importantes, cada vez es mayor la exigencia de disponer de
mejores sistemas de control interno y de informes sobre los mismos. El con-
trol interno es considerado cada vez más como una solución a numerosos
problemas potenciales.
Lo que se entiende por control interno

El control interno no tiene el mismo significado para todas las personas, lo
cual causa confusión entre empresarios y profesionales, legisladores, regula-
dores, etc. En consecuencia, se originan problemas de comunicación y diversi-
dad de expectativas, lo cual da origen a problemas dentro de las empresas.
Estos problemas se agravan cuando el término "control interno", sin estar
claramente definido, se utiliza en leyes, normas o reglamentos.
4 LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO
El presente informe trata de las necesidades y las expectativas de los

directores de empresa y otros interesados. En este estudio se trata de:
■ Establecer una definición común del control interno que responda a las
necesidades de las distintas partes.
■ Facilitar un modelo en base al cual las empresas y otras entidades —gran-
des o pequeñas, públicas o privadas y lucrativas o no— puedan evaluar
sus sistemas de control y decidir cómo mejorarlos.
En un sentido amplio, se define como un proceso efectuado por el consejo

de administración, la dirección y el resto del personal de una entidad, diseña-
do con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos dentro de las siguientes categorías:
■ Eficacia y eficiencia de las operaciones.

■ Fiabilidad de la información financiera.
■ Cumplimiento de las leyes y normas que sean aplicables.
La primera categoría se dirige a los objetivos empresariales básicos de una

entidad, incluyendo los objetivos de rendimiento y de rentabilidad y la salva-
guarda de los recursos. La segunda está relacionada con la elaboración y
publicación de estados financieros fiables, incluyendo estados financieros in-
terinos y abreviados, así como la información financiera extraída de dichos
estados, como por ejemplo los comunicados sobre resultados, que sean publi-
cados. La tercera concierne al cumplimiento de aquellas leyes y normas a las
que está sujeta la entidad. Estas distintas pero, en parte, coincidentes catego-
rías tratan diferentes necesidades y permiten un enfoque dirigido hacia la
satisfacción de las necesidades individuales.
Los sistemas de control funcionan en tres niveles distintos de eficacia. El
control interno se puede considerar eficaz en cada una de las tres categorías,
respectivamente, si el consejo de administración y la dirección tienen la segu-
ridad razonable de que:
■ Disponen de información adecuada sobre hasta qué punto se están logran-

do los objetivos operacionales de la entidad.
■ Se preparan de forma fiable los estados financieros públicos.
■ Se cumplen las leyes y normas aplicables.
Si bien el control interno es un proceso, su eficacia es el estado o la

situación del proceso en un momento dado.
RESUMEN PARA LA DIRECCIÓN 5
El control interno consta de cinco componentes relacionados entre sí. Se

derivan de la manera en que la dirección dirija la empresa y están integrados
en el proceso de dirección. Aunque los componentes son aplicables a todas las
empresas, las pequeñas y medianas pueden implantarlos de forma distinta que
las grandes. Aunque sus sistemas de control pueden ser menos formales y
estructurados, una pequeña empresa también puede tener un control interno
eficaz. Los componentes son los siguientes:
■ Entorno de control.— El entorno de control marca la pauta del funciona-

miento de una organización e influye en la concienciación de sus emplea-
dos respecto al control. Es la base de todos los demás componentes del
control interno, aportando disciplina y estructura. Los factores del entorno
de control incluyen la integridad, los valores éticos y la capacidad de los
empleados de la entidad, la filosofía de dirección y el estilo de gestión, la
manera en que la dirección asigna la autoridad y las responsabilidades y
organiza y desarrolla profesionalmente a sus empleados y la atención y
orientación que proporciona el consejo de administración.
■ Evaluación de los riesgos.— Cada entidad se enfrenta a diversos riesgos

externos e internos que tienen que ser evaluados. Una condición previa a
la evaluación del riesgo es la identificación de los objetivos a los distintos
niveles, vinculados entre sí e internamente coherentes. La evaluación de
los riesgos consiste en la identificación y el análisis de los riesgos relevan-
tes para la consecución de los objetivos, y sirve de base para determinar
cómo han de ser gestionados los riesgos. Debido a que las condiciones
económicas, industriales, legislativas y operativas continuarán cambiando
continuamente, es necesario disponer de mecanismos para identificar y
afrontar los riesgos asociados con el cambio.
■ Actividades de control.— Las actividades de control son las políticas y

los procedimientos que ayudan a asegurar que se llevan a cabo las instruc-
ciones de la dirección. Ayudan a asegurar que se toman las medidas nece-
sarias para controlar los riesgos relacionados con la consecución de los
objetivos de la entidad. Hay actividades de control en toda la organiza-
ción, a todos los niveles y en todas las funciones. Incluyen una gama de
actividades tan diversa como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones de rentabilidad operativa, salvaguarda de acti-
vos y segregación de funciones.
■ Información y comunicación.— Hay que identificar, recopilar y comuni-

car información pertinente en forma y plazo que permitan cumplir a cada
empleado con sus responsabilidades. Los sistemas informáticos producen

informes que contienen información operativa, financiera y datos sobre el
cumplimiento de las normas que permite dirigir y controlar el negocio de
forma adecuada. Dichos sistemas no sólo manejan datos generados inter-
namente, sino también información sobre acontecimientos externos, acti-
vidades y condiciones relevantes para la toma de decisiones de gestión, así
como para la presentación de información a terceros. También debe haber
una comunicación eficaz en un sentido más amplio, que fluya en todas las
direcciones a través de todos los ámbitos de la organización, de arriba
hacia abajo y a la inversa. El mensaje por parte de la alta dirección a todo
el personal ha de ser claro: las responsabilidades del control han de tomar-
se en serio. Los empleados tienen que comprender cuál es su papel en el
sistema de control interno y cómo las actividades individuales están rela-
cionadas con el trabajo de los demás. Por otra parte, han de tener medios
para comunicar la información significativa a los niveles superiores. Asi-
mismo, tiene que haber una comunicación eficaz con terceros, como clien-
tes, proveedores, organismos de control y accionistas.
■ Supervisión.— Los sistemas de control interno requieren supervisión, es

decir, un proceso que comprueba que se mantiene el adecuado funciona-
miento del sistema a lo largo del tiempo. Esto se consigue mediante activi-
dades de supervisión continuada, evaluaciones periódicas o una combina-
ción de ambas cosas. La supervisión continuada se da en el transcurso de
las operaciones. Incluye tanto las actividades normales de dirección y
supervisión, como otras actividades llevadas a cabo por el personal en la
realización de sus funciones. El alcance y la frecuencia de las evaluacio-
nes periódicas dependerán esencialmente de una evaluación de los riesgos
y de la eficacia de los procesos de supervisión continuada. Las deficien-
cias detectadas en el control interno deberán ser notificadas a niveles
superiores, mientras que la alta dirección y el consejo de administración
deberán ser informados de los aspectos significativos observados.
Estos componentes, vinculados entre sí, generan una sinergia y forman un

sistema integrado que responde de una manera dinámica a las circunstancias
cambiantes del entorno. El sistema de control interno está entrelazado con las
actividades operativas de la entidad y existe por razones empresariales funda-
mentales. El sistema de control interno es más efectivo cuando los controles
se incorporan en la infraestructura de la sociedad y forman parte de la esencia
de la empresa. Mediante los controles "incorporados", se fomenta la calidad y
las iniciativas de delegación de poderes, se evitan gastos innecesarios y se
permite una respuesta rápida ante las circunstancias cambiantes.
Existe una interrelación directa entre las tres categorías de objetivos, que
son lo que una entidad se esfuerza por conseguir, y los componentes, que
representan lo que se necesita para lograr dichos objetivos. Todos los compo-
nentes son relevantes para cada categoría de objetivos. Al examinar cualquier
categoría —por ejemplo, la eficacia y eficiencia de las operaciones— los
cinco componentes han de estar presentes y funcionando de forma apropiada
para poder concluir que el control interno sobre las operaciones es eficaz.
La definición de control interno —con sus conceptos fundamentales sub-
yacentes de un proceso efectuado por los empleados que aporta un grado
razonable de seguridad— junto con la clasificación de los objetivos y de los
componentes y los criterios para lograr la eficacia, así como las cuestiones
relacionadas, constituyen el marco del control interno.
Lo que se puede lograr con el control interno

El control interno puede ayudar a que una entidad consiga sus objetivos de
rentabilidad y rendimiento y a prevenir la pérdida de recursos. Puede ayudar a
la obtención de información financiera fiable. También puede reforzar la con-
fianza en que la empresa cumple con las leyes y normas aplicables, evitando
efectos perjudiciales para su reputación y otras consecuencias. En resumen,
puede ayudar a que una entidad llegue adonde quiere ir y evite peligros y
sorpresas en el camino.
Lo que no se puede lograr con el control interno

Desafortunadamente algunas personas tienen expectativas mayores y poco
realistas. Buscan soluciones absolutas pensando que:
■ El control interno garantiza el éxito de una entidad, es decir, asegura la

consecución de objetivos básicos empresariales o como mínimo la super-
vivencia de la entidad.
Incluso un control interno eficaz sólo puede "ayudar" a la consecución
de los objetivos de una entidad. Puede suministrar información para la
dirección sobre el progreso de la entidad, o la falta de tal progreso, hacia
la consecución de dichos objetivos. Sin embargo, el control interno no
puede hacer que un gerente intrínsecamente malo se convierta en un buen
gerente. Asimismo, los cambios en la política o los programas guberna-
mentales, las acciones que tomen los competidores o las condiciones eco-
nómicas pueden estar fuera del control de la dirección. El control interno

no puede asegurar el éxito, ni siquiera la supervivencia, de la entidad.
■ El control interno puede asegurar la fiabilidad de la información financiera

y el cumplimiento de las leyes y normas aplicables.
Esta creencia tampoco es justificable. Un sistema de control interno,
no importa lo bien concebido que esté y lo bien que funcione, únicamente
puede dar un grado de seguridad razonable, no absoluta, a la dirección y al
consejo en cuanto a la consecución de los objetivos de la entidad. Las
posibilidades de éxito se ven afectadas por las limitaciones que son inhe-
rentes a todos los sistemas de control interno. Estas limitaciones incluyen
el hecho innegable de que las opiniones en las que se basan las decisiones
pueden ser erróneas y que pueden producirse fallos como consecuencia de
un simple error o equivocación. Adicionalmente, los controles pueden es-
quivarse mediante la confabulación de dos o más personas y, por otra
parte, la dirección tiene la capacidad de eludir el sistema. Otro factor
restrictivo consiste en que el diseño de un sistema de control interno debe
reflejar el hecho de que existen restricciones sobre los recursos y que los
beneficios de los controles han de ser considerados en relación con los
costes correspondientes.
Así pues, el control interno puede ayudar a que una entidad consiga
sus objetivos, pero no es una panacea.
Funciones y responsabilidades
Todos los miembros de la organización son responsables del control
interno.
■ La dirección.— El director general (o cualquier otra denominación que

pueda darse al máximo ejecutivo de una empresa, tal como consejero
delegado, presidente ejecutivo, ... etc.), es el responsable último y debería
asumir la "titularidad" del sistema. Más que ningún otro individuo, el
director general fija la pauta en las esferas más altas de la entidad, influ-
yendo en la integridad, la ética y los demás factores para la consecución
de un entorno de control favorable. En una empresa grande, el director
general cumple esta función liderando y dirigiendo al equipo directivo y
revisando la manera en que los miembros de ese equipo controlan el nego-
cio. Los directores, a su vez, designan al responsable de cada función
dentro de su unidad y establecen políticas y procedimientos de control
interno más específicos. En una entidad más pequeña, la influencia del
director general, a veces un empresario-propietario, suele ser más directa.

En cualquier caso, la responsabilidad se organiza en cascada, el director
de una unidad de negocio o de un departamento equivale a un director
general de su área de responsabilidad. De gran importancia son los direc-
tores financieros y sus equipos de personas, cuyas actividades de control
consideran, tanto horizontal como verticalmente, todas las unidades opera-
tivas y demás departamentos de una entidad.
■ El consejo de administración.— La dirección es responsable ante el con-

sejo de administración, el cual debe ofrecer orientación, pautas de actua-
ción y una visión global del negocio. Un miembro eficaz del consejo debe
ser objetivo, capaz y curioso. Ha de conocer también las actividades de la
entidad y su entorno y dedicar el tiempo necesario al cumplimiento de sus
responsabilidades como consejero. La dirección podría eludir los controles
e ignorar o suprimir las comunicaciones procedentes de sus subordinados,
lo cual permitiría a una dirección deshonesta corregir los resultados de
manera intencionada sin dejar rastro de tales irregularidades. Un consejo
de administración fuerte y activo, especialmente si se complementa con
unas vías efectivas de comunicación con los niveles altos de la entidad y
con los responsables de unas funciones financiera, legal y de auditoría
interna desarrolladas competentemente, es generalmente quien mejor pue-
de identificar y corregir tales posibles problemas.
■ Auditores internos.— Los auditores internos desempeñan un papel im-

portante en la evaluación de la eficacia de los sistemas de control y ayu-
dan a mantenerla a lo largo del tiempo. Debido a su posición jerárquica y
su autoridad, la función de auditoría interna suele desempeñar un papel
importante de supervisión.
■ Otros empleados.— El control interno es, hasta cierto punto, la respon-

sabilidad de todos los miembros de una organización y, por lo tanto, debe
ser una parte explícita o implícita de la descripción del puesto de trabajo
de cada empleado. Casi todos los empleados producen información utiliza-
da en el sistema de control interno o realizan las funciones necesarias para
efectuar el control. Asimismo, todo el personal debe ser responsable de
comunicar al nivel superior los problemas surgidos en el transcurso de las
operaciones, así como cualquier incumplimiento del código de conducta u
otras violaciones de las políticas establecidas o acciones ilegales.
Por otra parte, algunos terceros ajenos a la entidad suelen contribuir a la

consecución de sus objetivos. Los auditores externos, aportando una opinión
independiente y objetiva, contribuyen directamente mediante la auditoría de

los estados financieros e, indirectamente, proporcionando a la dirección y al
consejo información útil para el ejercicio de sus responsabilidades. Asimismo,
entre los terceros que proporcionan información útil a la entidad para llevar a
cabo el control interno se encuentran los legisladores y las entidades de con-
trol, los clientes y otras personas que hacen negocios con la entidad, los
analistas financieros, las agencias de calificación de valores y los medios de
comunicación. Sin embargo, los terceros no son responsables del sistema de
control interno de una entidad ni forman parte de él.
Presentación de este informe

Este informe se presenta en cuatro secciones. La primera, el presente
Resumen para la dirección, es una visión general del marco de control interno
dirigida a la alta dirección, los miembros del consejo de administración, los
legisladores y los organismos de control.
La segunda, el Marco general de referencia, define el control interno,
describe sus componentes y ofrece criterios que pueden ser utilizados por la
dirección, el consejo y otros para evaluar sus sistemas de control.
La tercera parte, Información a terceros, es un documento complementa-
rio que sirve de guía para aquellas entidades que publican información sobre
el control interno, al mismo tiempo que formulan sus cuentas estatutarias, o
están considerando hacerlo.
La cuarta parte, Herramientas de evaluación, ofrece ciertas herramientas
que pueden ser útiles para realizar una evaluación de un sistema de control
interno.
Lo que se debe hacer

Las medidas que se pueden tomar como consecuencia de este informe
dependen de la posición y la función de las partes involucradas:
■ Alta dirección.— La mayoría de los altos directivos que han colaborado

en este estudio consideran que básicamente tienen "bajo control" sus orga-
nizaciones. Sin embargo, muchos dijeron que había áreas de su empresa
—una división, un departamento o un componente de control que rige
varias actividades— en las que los controles están en una primera fase de
desarrollo o que, por cualquier motivo, tienen que ser reforzados. No les
gustan las sorpresas. Este estudio sugiere que la alta dirección inicie una
autoevaluación del sistema de control. Usando los conceptos desarrollados
dentro de este estudio, la dirección general, junto con los directores finan-
cieros y otros directivos clave, pueden centrar su atención allí donde haga
falta. Un posible planteamiento podría ser que el director general se reúna
con los jefes de las unidades empresariales y con los empleados con fun-
ciones clave para realizar una evaluación inicial del control. A estas perso-
nas se les proporcionará unas pautas para analizar los conceptos de este
informe con sus subordinados, vigilar el proceso inicial de evaluación en
sus áreas de responsabilidad e informar sobre los resultados. Otro plantea-
miento podría ser una revisión inicial tanto de las políticas corporativas y
de las unidades de negocio, así como de los programas de auditoría inter-
na. Cualquiera que sea su forma, una autoevaluación inicial debería deter-
minar si se requiere una evaluación más amplia y profunda y cómo efec-
tuarla, en caso de que fuera necesaria. Asimismo, se deberá asegurar que
se implanten procesos de supervisión continuada. El tiempo dedicado a la
evaluación del control interno representa una inversión, pero es una inver-
sión de alta rentabilidad.
■ Miembros del consejo.— Los miembros del consejo de administración

deberán analizar el estado del sistema de control de la entidad con los
directivos, así como realizar la supervisión y hacer que se lleven a cabo
las revisiones que sean necesarias. Asimismo sería muy conveniente que
solicitasen las opiniones de los auditores internos y externos.
■ Otros empleados.— Los directores a todos los niveles y otros empleados

deberán considerar la forma en que sus responsabilidades de control se
están llevando a cabo a la luz de los conceptos desarrollados en este
estudio y analizar con miembros de nivel superior posibles ideas para
reforzar el control. Los auditores internos deberán reconsiderar su enfoque
de análisis del sistema de control interno y probablemente deseen compa-
rar los instrumentos que utilizan en sus evaluaciones con las herramientas
de evaluación.
■ Legisladores y organismos de control.— Los altos funcionarios que re-

dactan o aprueban las normas legales admiten que pueden existir concep-
tos erróneos y expectativas divergentes en torno a prácticamente cualquier
tema. Las expectativas acerca del control interno varían considerablemente
en dos sentidos. Primero, varían con respecto a lo que se puede lograr con
los sistemas de control. Como ya hemos mencionado, algunos observado-
res piensan que los sistemas de control interno evitan, o deberían evitar,
las pérdidas económicas o, al menos, la desaparición o quiebra de las
compañías. Segundo, aun cuando se esté de acuerdo sobre lo que los
sistemas de control pueden y no pueden hacer y sobre la validez del

concepto de "seguridad razonable", pueden existir opiniones distintas so-
bre el significado del concepto o su aplicación. Los directivos han expre-
sado su preocupación sobre la interpretación que los organismos de con-
trol efectuarán de los informes públicos, que incluyan manifestaciones
sobre la "seguridad razonable" de los sistemas, después de que se haya
puesto de manifiesto un supuesto fallo de control. Antes de que se tomen
medidas basadas en leyes o normas que tratan la información suministrada
por la dirección sobre el control interno, debería haber un consenso sobre
un marco común de referencia sobre el control interno, incluyendo las
limitaciones del control interno. Este marco general deberá ayudar a llegar
a tal acuerdo.
■ Organizaciones profesionales.— Las organizaciones responsables de la

elaboración de normas y otras organizaciones profesionales que emiten
directrices sobre la gestión financiera, la auditoría y otros temas relaciona-
dos deberán considerar tales normas y directrices a la luz de este estudio.
Todas las partes se beneficiarán en la medida en que se consiga eliminar
las diferencias existentes en los conceptos y la terminología.
■ Educadores.— Este marco general deberá ser objeto de investigación

académica y de análisis para decidir qué mejoras pueden realizarse en el
futuro. Asumiendo que este informe sea aceptado como una base para
conseguir la comprensión mutua, sus conceptos y términos deberán acabar
plasmándose en los planes de estudios universitarios.
Creemos que este informe ofrece una serie de beneficios. Con esta base
para alcanzar una comprensión mutua, todas las partes podrán hablar un idio-
ma común y comunicarse de forma más eficaz entre sí. Los ejecutivos de
empresa tendrán la posibilidad de contrastar los sistemas de control interno
contra un modelo ideal, fortalecer los sistemas y dirigir a sus empresas hacia
los objetivos establecidos. La investigación futura podrá edificarse sobre una
base sólida. Los legisladores y los organismos de control podrán obtener un
mayor conocimiento del control interno, sus beneficios y sus limitaciones.
Estos beneficios se conseguirán cuando todas las partes utilicen un marco de
referencia común sobre el control interno.
Sección segunda
Marco general de referencia

(Marco integrado)
1
Definición
Resumen del capítulo: El control interno se define como un proceso, efec-

tuado por el personal de una entidad, diseñado para conseguir unos objetivos
específicos. La definición es amplia y cubre todos los aspectos de control de
un negocio, pero al mismo tiempo permite centrarse en objetivos específicos.
El control interno consta de cinco componentes relacionados entre sí que son
inherentes al estilo de gestión de la empresa. Estos componentes están vincu-
lados entre sí y sirven como criterios para determinar si el sistema es eficaz.
Un objetivo clave del presente estudio consiste en ayudar a la dirección de

las empresas y de otras entidades a mejorar el control de las actividades de sus
organizaciones. Sin embargo, el término "control interno" no tiene el mismo
significado para todo el mundo y la amplia variedad de términos y significa-
dos con que se utiliza dificulta que se logre una comprensión común del
control interno. Una de las metas importantes, pues, es la integración de diver-
sos conceptos de control interno dentro de un marco en el que se pueda
establecer una definición común e identificar los componentes de control. Tal
marco está pensado para dar cabida a la mayoría de los puntos de vista y
proporcionar un punto de partida para la evaluación de los sistemas de control
interno por parte de las propias entidades, para las iniciativas futuras de los
organismos legislativos y para la enseñanza.
Control interno
El control interno se define de la siguiente forma:
El control interno es un proceso efectuado por el consejo de administra-
ción, la dirección y el resto del personal de una entidad, diseñado con el
objeto de proporcionar un grado de seguridad razonable en cuanto a la conse-
cución de objetivos dentro de las siguientes categorías:

■ Cumplimiento de las leyes y normas aplicables.
La anterior definición refleja ciertos conceptos fundamentales:

■ El control interno es un proceso. Es un medio utilizado para la consecu-
ción de un fin, no un fin en sí mismo.
■ El control interno lo llevan a cabo las personas. No se trata solamente de
manuales de políticas e impresos, sino de personas en cada nivel de la
organización.
■ El control interno sólo puede aportar un grado de seguridad razonable, no
la seguridad total, a la dirección y al consejo de administración de la
entidad.
■ El control interno está pensado para facilitar la consecución de objetivos
en una o más de las diferentes categorías que, al mismo tiempo, se
solapan.
La anterior definición del control interno es amplia, por dos motivos. En

primer lugar, corresponde a la opinión sobre el control interno que tienen la
mayoría de los altos ejecutivos entrevistados a la hora de gestionar sus nego-
cios1. De hecho, a menudo hablan de "control" y de estar "bajo control".
En segundo lugar, también contempla otros aspectos más específicos de
control interno. Así, uno puede centrarse en, por ejemplo, los controles sobre
la información financiera o los relacionados con el cumplimiento de la legisla-
ción aplicable. Asimismo, permite centrarse en los controles sobre unas unida-
des o actividades determinadas de una entidad.
Esta definición también sirve como base para definir la eficacia del con-
trol interno, que se analiza más adelante. Los conceptos fundamentales descri-
tos con anterioridad se analizan en los siguientes párrafos.
1
El término "negocio", tal y como se utiliza aquí, se refiere a las actividades de cualquier entidad, incluyendo
las organizaciones gubernamentales o sin ánimo de lucro.
DEFINICIÓN 17
Un proceso2
El control interno no constituye un acontecimiento o una circunstancia
aislados, sino una serie de acciones que se extienden por todas las actividades
de una entidad. Estas acciones son omnipresentes e inherentes a la gestión del
negocio por parte de la dirección.
Los procesos de negocio, que se llevan a cabo dentro de las unidades y
funciones de la organización o entre las mismas, se coordinan en función de
los procesos de gestión básicos de planificación, ejecución y supervisión. El
control interno es parte de dichos procesos y está integrado en ellos, permi-
tiendo su funcionamiento adecuado y supervisando su comportamiento y apli-
cabilidad en cada momento. Constituye una herramienta útil para la gestión,
pero no un sustituto de ésta.
Este concepto del control interno dista mucho de la perspectiva de algunos
observadores, que ven el control interno como un elemento añadido a las
actividades de una entidad o como una carga inevitable impuesta por los
organismos reguladores o por los dictados de una burocracia excesiva. El
sistema de control interno está entrelazado con las actividades operativas de la
entidad y existe por razones empresariales fundamentales. Los controles inter-
nos son más efectivos cuando se incorporan a la infraestructura de una entidad
y forman parte de su esencia. Deberían ser "incorporados" y no "añadidos".
La incorporación de controles puede influir directamente en la capacidad
de la entidad de conseguir sus objetivos, además de apoyar sus iniciativas de
la calidad. La búsqueda de la calidad está directamente vinculada con la forma
en que se gestionen y controlen los negocios. Las iniciativas de control se
convierten en parte de la estructura operativa de la empresa, como se eviden-
cia en los siguientes ejemplos:
■ La alta dirección procura que los valores de la calidad se incorporen en el

estilo empresarial de su compañía.
■ El establecimiento de objetivos de la calidad vinculados a los procesos de
recopilación y análisis de información de la entidad, entre otros.
■ La utilización de conocimientos sobre las prácticas de la competencia y las
expectativas de los clientes para impulsar la mejora continuada de la cali-
dad.
Hay un paralelismo entre estos factores de calidad y los de los sistemas de

control interno eficaces. De hecho, el control interno no sólo está integrado en
2
Aunque nos referimos al control interno como "un proceso", el control interno puede verse como una
multiplicidad de procesos.
los programas de calidad, sino que suele ser esencial para que éstos tengan
éxito.
La incorporación de controles repercute de forma importante en la conten-
ción de costes y en los tiempos de respuesta:
■ La mayoría de las empresas deben hacer frente a mercados muy competiti-

vos y a la necesidad de contener sus costes. La introducción de nuevos
procedimientos, independientes de los existentes, provoca el aumento de
los costes. Si una empresa se centra en las operaciones existentes y en su
contribución a la eficacia del control interno e incorpora controles en las
actividades operativas básicas, a menudo puede evitar procedimientos y
costes innecesarios.
■ La práctica de incorporar controles en la estructura operativa fomenta el
desarrollo de nuevos controles necesarios para llevar a cabo las nuevas
actividades empresariales. Las reacciones automáticas de este tipo hacen
que las entidades sean más ágiles y competitivas.
Las personas
El control interno lo llevan a cabo el consejo de administración, la direc-
ción y los demás miembros de la entidad. Lo realizan los miembros de una
organización, mediante sus acciones y palabras. Son las personas quienes
establecen los objetivos de la entidad e implantan los mecanismos de control.
De la misma forma, el control interno afecta a la actuación de las perso-
nas. El control interno tiene en cuenta que las personas no siempre compren-
den, se comunican o realizan sus cometidos de una manera uniforme. Cada
individuo trae consigo un historial y unos conocimientos técnicos únicos, y
sus necesidades y prioridades difieren de las de los demás.
Estas realidades afectan y se ven afectadas por el control interno. Los
empleados deben conocer sus responsabilidades y los límites de su autoridad.
Por consiguiente, ha de existir un vínculo estrecho entre las funciones de cada
individuo y la forma de ejecución de dichas funciones, así como con los
objetivos de la entidad.
Los miembros de una organización incluyen al consejo de administración,
además de la dirección y los demás empleados. Aunque puede considerarse
que la función primaria de los consejeros consiste en la supervisión, de alguna
manera también dirigen la entidad y aprueban algunas transacciones y políti-
cas significativas. En este sentido, pues, el consejo de administración es un
elemento importante del control interno.
DEFINICIÓN 19
Seguridad razonable
El control interno, por muy bien diseñado e implantado que esté, solamen-
te puede aportar un grado de seguridad razonable a la dirección y al consejo
de administración acerca de la consecución de los objetivos de la entidad. Las
posibilidades de conseguir tales objetivos se ven afectadas por las limitaciones
que son inherentes a todos los sistemas de control interno. Éstas incluyen
ciertos hechos innegables: las opiniones en que se basan las decisiones pueden
ser erróneas, los empleados encargados del establecimiento de controles tie-
nen que analizar los costes y beneficios relativos de los mismos y pueden
producirse problemas en el funcionamiento del sistema como consecuencia de
fallos humanos, aunque se trate de un simple error o equivocación. Adicional-
mente, los controles pueden esquivarse si dos o más personas se lo proponen.
Por último, la alta dirección podría eludir el sistema de control interno si lo
estimase oportuno.
Objetivos
Cada entidad tiene una misión, la cual determina sus objetivos y las estra-
tegias necesarias para alcanzarlos. Los objetivos pueden establecerse para la
organización como conjunto o dirigirse a determinadas actividades dentro de
la misma. Aunque muchos objetivos son específicos de una sola entidad, otros
son ampliamente compartidos. Por ejemplo, la práctica totalidad de las entida-
des tienen como objetivo el conseguir y mantener una buena reputación tanto
en el ámbito general de los negocios como en el de sus clientes, facilitar unos
estados financieros fiables a sus accionistas y actuar de acuerdo con las leyes
aplicables.
A los efectos del presente estudio, los objetivos pueden clasificarse en tres
categorías:
■ Operacionales.— Referente a la utilización eficaz y eficiente de los re-

cursos de la entidad.
■ Información financiera.— Referente a la preparación y publicación de
estados financieros fiables.
■ Cumplimiento.— Referente al cumplimiento por parte de la entidad de
las leyes y normas que le sean aplicables.
Esta clasificación permite centrarse en los diferentes aspectos del control

interno. Las categorías anteriores, que son diferentes aunque, al mismo tiem-
po, se solapan (un objetivo determinado puede pertenecer a más de una cate-
goría), corresponden a distintas necesidades y pueden quedar bajo la responsa-
bilidad directa de ejecutivos diferentes. Esta clasificación permite asimismo

identificar qué es lo que se puede esperar de cada categoría de control interno.
De un sistema de control interno puede esperarse que proporcione un
grado razonable de seguridad acerca de la consecución de objetivos relaciona-
dos con la fiabilidad de la información financiera y cumplimiento de las leyes
y normas aplicables. La consecución de dichos objetivos, basados en gran
medida en las normas impuestas por terceros ajenos a la entidad, sólo depende
de cómo se llevan a cabo las actividades desarrolladas bajo el control de la
entidad.
No obstante, la consecución de los objetivos operacionales (tales como el
rendimiento de una inversión determinada, la cuota de mercado o el lanza-
miento de nuevas líneas de productos) no siempre está bajo el control de la
entidad. El control interno no es capaz de prevenir las opiniones o decisiones
equivocadas, o los acontecimientos externos que pueden evitar que se alcan-
cen las metas operativas. Respecto a tales objetivos, el sistema de control
interno solamente puede aportar un nivel razonable de seguridad de que la
dirección y, en su papel de supervisor, el consejo estén informados puntual-
mente del grado de avance en la consecución de dichos objetivos.
Componentes
El control interno consta de cinco componentes relacionados entre sí. És-
tos se derivan del estilo de dirección del negocio y están integrados en el
proceso de gestión. Los componentes son los siguientes:
■ Entorno de control.— El núcleo de un negocio es su personal (sus atri-

butos individuales, incluyendo la integridad, los valores éticos y la profe-
sionalidad) y el entorno en el que trabaja. Los empleados son el motor que
impulsa la entidad y los cimientos sobre los que descansa todo.
■ Evaluación de los riesgos.— La entidad debe conocer y abordar los ries-
gos con los que se enfrenta. Ha de fijar objetivos, integrados en las activi-
dades de ventas, producción, comercialización, finanzas, etc., para que la
organización funcione de forma coordinada. Igualmente, debe establecer
mecanismos para identificar, analizar y tratar los riesgos correspondientes.
■ Actividades de control.— Deben establecerse y ejecutarse . políticas y
procedimientos que ayuden a conseguir una seguridad razonable de que se
llevan a cabo de forma eficaz las acciones consideradas necesarias para
afrontar los riesgos que existen respecto a la consecución de los objetivos
de la entidad.
DEFINICIÓN 21
Ilustración 1
Componentes del control interno
El entorno de control aporta el ambiente en el que las personas desarrollan sus actividades y cumplen con sus
responsabilidades de control. Sirve como base de los otros componentes. Dentro de este entorno, los directi-
vos evalúan los riesgos relacionados con el cumplimiento de determinados objetivos. Las actividades de
control se establecen para ayudar a asegurar que se pongan en práctica las directrices de la dirección para
hacer frente a dichos riesgos. Mientras tanto, la información relevante se capta y se comunica por toda la
organización. Todo este proceso es supervisado y modificado según las circunstancias.
■ Información y comunicación.— Las mencionadas actividades están ro-

deadas de sistemas de información y comunicación. Éstos permiten que el
personal de la entidad capte e intercambie la información requerida para
desarrollar, gestionar y controlar sus operaciones.
■ Supervisión.— Todo el proceso ha de ser supervisado, introduciéndose
las modificaciones pertinentes cuando se estime oportuno. De esta forma,
el sistema puede reaccionar ágilmente y cambiar de acuerdo con las cir-
cunstancias.
Estos componentes del control interno y los vínculos existentes entre ellos
se reflejan de forma gráfica en un modelo que se presenta en la ilustración
anterior. El modelo refleja el dinamismo de los sistemas de control interno.
Por ejemplo, la evaluación de riesgos no sólo influye en las actividades de
control, sino que también puede poner de relieve que las necesidades de infor-
mación y de comunicación o las actividades de supervisión deberían reconsi-
derarse. Por lo tanto, el control interno no es un proceso en serie, en el que un
componente influye exclusivamente en el siguiente, sino un proceso iterativo
multidireccional, en el que prácticamente cualquier componente puede influir,
y de hecho influye, en otro.
Los sistemas de control interno no son, ni deben ser, iguales en todos los
casos. Las entidades y sus necesidades de control interno varían mucho depen-
diendo del sector en el que operen, su tamaño, su cultura o su filosofía de
gestión. Así pues, aunque todas las entidades necesitan cada uno de los com-
ponentes para lograr mantener el control sobre sus actividades, el sistema de
control interno de una entidad suele asemejarse muy poco al de otra.
Relación entre los objetivos y los componentes

Existe una relación directa entre los objetivos, que es lo que la entidad se
esfuerza por conseguir, y los componentes, que representan lo que se necesita
para cumplir dichos objetivos. Esta relación puede ilustrarse mediante una
matriz tridimensional, tal y como se presenta en la Ilustración 2:
■ Las tres categorías de objetivos: operacionales, de información financiera

y de cumplimiento están representadas por las columnas verticales.
■ Los cinco componentes están representados por filas.
■ Las unidades o actividades de la entidad que están relacionadas con el
control interno están representadas por la tercera dimensión de la matriz.
Cada fila de componentes "cruza" las tres categorías de objetivos y es

aplicable a las tres. En la parte inferior izquierda de la ilustración hay un
DEFINICIÓN 23
Ilustración 2
Relación entre objetivos y componentes

ejemplo en forma de una sección extraída de la matriz: la información finan-

ciera y no financiera procedente de fuentes tanto internas como externas (que
es parte del componente de información y comunicación) es necesaria para
gestionar eficazmente las operaciones empresariales, formular estados finan-
cieros fiables y determinar si la entidad está cumpliendo la legislación aplica-
ble. Otro ejemplo (que no figura de forma separada en la ilustración) sería que
el establecimiento y la ejecución de políticas y procedimientos de control para
asegurar que se están llevando a cabo los planes, programas y otras directrices
de la dirección (que representan el componente de actividades de control) es
también relevante para las tres categorías de objetivos.
Asimismo, los cinco componentes tienen relevancia para cada categoría de

objetivos. Por ejemplo, en la categoría de eficacia y eficiencia de las operacio-
nes los cinco componentes son aplicables e importantes para su consecución.
Esto se refleja de forma separada en la parte inferior derecha de la ilustración.
El control interno es importante para la empresa en su totalidad o para
cada una de sus partes. Esta relación se refleja con la tercera dimensión, que
representa las filiales, las divisiones u otras unidades del negocio y las activi-
dades funcionales o de otro tipo, como compras, producción y marketing. Por
lo tanto, uno puede centrar su atención en cualquier célula de la matriz. Por
ejemplo, se podría considerar aisladamente la célula situada en la parte infe-
rior izquierda delantera, que representa el entorno de control y su relación con
los objetivos de operaciones de una división determinada de la empresa.
Eficacia
Los sistemas de control interno de las diferentes entidades funcionan a
distintos niveles de eficacia. De la misma forma, un sistema determinado
puede funcionar de forma diferente en momentos distintos. Cuando un sistema
de control interno alcanza el estándar descrito a continuación, puede conside-
rarse un sistema "eficaz".
El control interno puede considerarse eficaz en cada una de las tres cate-
gorías, si el consejo de administración y la dirección tienen una seguridad
razonable de que:
■ Disponen de información adecuada sobre hasta qué punto se están logran-

do los objetivos operacionales de la entidad.
■ Se preparan de forma fiable los estados financieros públicos.
■ Se cumplen las leyes y normas aplicables.
DEFINICIÓN 25
Mientras que el control interno es un proceso, su eficacia es un estado o

condición del proceso en un momento dado.
La determinación de si un sistema de control interno es "eficaz" o no
constituye una toma de postura subjetiva que resulta del análisis de si están
presentes y funcionado eficazmente los cinco componentes. Su funcionamien-
to eficaz proporciona un grado de seguridad razonable de que una o más de
las categorías de objetivos establecidas van a cumplirse. Por consiguiente,
estos componentes también son criterios para determinar si el control interno
es eficaz.
Aunque los cinco criterios deben cumplirse, esto no significa que cada
componente haya de funcionar de forma idéntica, ni siquiera al mismo nivel,
en distintas entidades. Puede existir una cierta compensación entre los distin-
tos componentes. Debido a que los controles pueden tener múltiples propósi-
tos, los controles de un componente pueden cumplir el objetivo de controles
que normalmente están presentes en otro componente. Por otra parte, es posi-
ble que existan diferencias en cuanto al grado en que los distintos controles
abarquen un riesgo específico, de modo que los controles complementarios,
cada uno con un efecto limitado, pueden ser satisfactorios en su conjunto.
Los mencionados componentes y criterios se aplican a un sistema de con-
trol interno en su conjunto, o a una o más categorías de objetivos. Al conside-
rar una categoría determinada (controles sobre la información financiera, por
ejemplo) se deben cumplir los cinco criterios para poder concluir que el con-
trol interno de la información financiera es eficaz.
Los siguientes capítulos deberían analizarse a la hora de determinar si el
sistema de control interno es eficaz. Las consideraciones que se exponen a
continuación deben tenerse en cuenta:
■ Puesto que el control interno es parte del proceso de gestión, los compo-
nentes se analizan en el contexto de las acciones que la dirección desarro-
lla a la hora de gestionar su negocio. Sin embargo, no todos los actos de la
dirección constituyen elementos de control interno. El establecimiento de
objetivos, por ejemplo, aunque constituye una función importante de la
dirección, es un requisito previo del control interno. De la misma forma,
muchas de las decisiones o acciones de la dirección no son componentes
del control interno. La Ilustración 3 contiene una lista de acciones típicas
de gestión e indica cuáles son consideradas como componentes del control
interno. (No se pretende que esta lista sea exhaustiva ni que constituya la
única descripción posible de las actividades de la dirección.)
■ Los principios analizados son aplicables a cualquier entidad, inde-
pendientemente de su tamaño. Aunque es posible que algunas entidades
pequeñas o medianas implanten componentes distintos de los de las enti-
dades grandes, esto no impide que puedan disponer de un sistema de

control interno eficaz. Cada uno de los capítulos sobre estos componentes
incluye una sección que explica tales circunstancias.
■ El capítulo sobre cada componente contiene una sección de "evaluación"
en la que se exponen los factores que pueden tenerse en cuenta a la hora
de evaluar dicho componente. No se pretende que estos factores constitu-
yan una lista exhaustiva, ni que todos ellos sean relevantes en cada situa-
ción. Se incluyen más bien como ejemplos para desarrollar un programa
de evaluación más amplio y preciso.
Control interno y actividades de gestión

2
Entorno de control
Resumen del capítulo: El entorno de control marca las pautas de compor-

tamiento en una organización, y tiene una influencia directa en el nivel de
concienciación del personal respecto al control. Constituye la base de todos
los demás elementos del control interno, aportando disciplina y estructura.
Entre los factores que constituyen el entorno de control se encuentran la
honradez, los valores éticos y la capacidad del personal; la filosofía de la
dirección y su forma de actuar; la manera en que la dirección distribuye la
autoridad y las responsabilidades y organiza y desarrolla profesionalmente a
sus empleados, así como la atención y orientación que proporciona el consejo
de administración.
El entorno de control tiene una incidencia generalizada en la estructura-

ción de las actividades empresariales, en el establecimiento de objetivos y en
la evaluación de los riesgos. Asimismo, influye en las actividades de control,
los sistemas de información y comunicación y las actividades de supervisión.
Esta influencia se extiende no sólo sobre el diseño de los sistemas sino tam-
bién sobre su funcionamiento diario. Tanto los antecedentes como la cultura
de la organización inciden sobre el entorno de control. Ambos inciden en el
nivel de concienciación del personal respecto al control. Las entidades someti-
das a un control eficaz se esfuerzan por tener personal competente, inculcan
en toda la organización un sentido de integridad y concienciación sobre el
control y establecen una actitud positiva al nivel más alto de la organización.
En este sentido, establecen políticas y procedimientos adecuados, a menudo
con un código de conducta escrito, haciendo hincapié en los valores comparti-
dos y el trabajo en equipo para conseguir los objetivos de la entidad.
Factores del entorno de control

El entorno de control engloba una serie de factores que se comentan a
continuación. Aunque todos son importantes, la medida en que cada uno será
considerado variará en función de la organización. Por ejemplo, es posible que
el director general de una entidad con una plantilla pequeña y operaciones
centralizadas no establezca responsabilidades formales ni políticas de explota-
ción detalladas y, sin embargo, la entidad tenga un entorno de control apro-
piado.
Integridad y valores éticos

Los objetivos de una entidad y la manera en que se consiguen están basa-
dos en las distintas prioridades, juicios de valor y estilos de gestión. Estas
prioridades y juicios de valor, que se traducen en normas de comportamiento,
reflejan la integridad de la dirección y su compromiso con los valores éticos.
Debido a que la buena reputación de una entidad es sumamente valiosa,
las normas de comportamiento deben ir más allá que un mero respeto a la ley.
El público espera algo más. La eficacia de los controles internos no puede
estar por encima de la integridad y los valores éticos de las personas que los
crean, administran y supervisan. La integridad y los valores éticos son ele-
mentos esenciales del entorno de control y afectan el diseño, administración y
supervisión de los demás elementos del control interno.
La integridad es un requisito previo al comportamiento ético en todos los
aspectos de las actividades de una empresa. Tal como estableció la Comisión
Treadway "un clima ético vigoroso dentro de la empresa, y a todos los niveles
de la misma, es esencial para el bienestar de la organización, de todos sus
componentes y del público en general. Un clima así contribuye de forma
significativa a la eficacia de las políticas y de los sistemas de control de la
empresa y permite influir sobre los comportamientos que no están sujetos ni a
los sistemas de control más elaborados"1 .
A menudo resulta difícil establecer los valores éticos debido a la necesi-
dad de tener en cuenta los intereses de las distintas partes. Los valores de la
alta dirección deben encontrar un equilibrio entre los intereses de la empresa,
sus empleados, proveedores, clientes, competidores y el público. El intento de
buscar el equilibrio entre estos intereses puede resultar complejo y frustrante
1
Report of the National Commission on Fraudulent Financial Reporting (National Commission on Fraudulent
Financial Reporting, 1987).
ENTORNO DE CONTROL 29
debido a que los distintos intereses a menudo se encuentran enfrentados. Por

ejemplo, producir productos básicos (gasolina, madera o alimentos) puede dar
lugar a problemas medioambientales.
Cada vez más, la dirección de las empresas bien gestionadas acepta la
opinión de que la ética da sus frutos; de que el comportamiento ético es un
buen negocio. Existen numerosos ejemplos tanto positivos como negativos.
La desactivación de la crisis relacionada con la manipulación de uno de los
principales productos de una empresa farmacéutica fue ampliamente comenta-
da en prensa y constituyó todo un éxito tanto desde un punto de vista ético
como empresarial. El impacto sobre las relaciones con clientes o la cotización
de las acciones suele ser peor si las malas noticias, como beneficios por
debajo de lo esperado o actos ilegales, se filtran lentamente que si se efectúa
una revelación completa tan inmediata como sea posible.
Fijarse únicamente en los resultados inmediatos puede resultar perjudicial,
incluso a corto plazo. Concentrarse únicamente en las ventas o el beneficio a
toda costa a menudo da lugar a acciones y reacciones no deseadas. Las tácti-
cas de venta agresivas, la inflexibilidad en las negociaciones o las ofertas
implícitas de soborno, por ejemplo, pueden provocar reacciones con efectos
tanto inmediatos como duraderos.
El comportamiento ético así como la integridad de la dirección son pro-
ductos de una "cultura corporativa". La cultura corporativa se materializa en
las normas éticas y de comportamiento y en la forma en que éstas se comuni-
can y refuerzan en la práctica. Las políticas oficiales especifican lo que la
dirección desea que ocurra. La cultura corporativa determina lo que en reali-
dad ocurre y las reglas que se obedecen, modifican o ignoran. La alta direc-
ción, empezando por la dirección general, desempeña un papel clave a la hora
de determinar la cultura corporativa. Normalmente, la dirección general es la
figura dominante de la organización y a menudo da la pauta ética de la misma.
Incentivos y tentaciones. Hace unos años, un estudio2 sugirió que determi-

nados factores organizativos pueden incidir en la probabilidad de que se
produzcan prácticas fraudulentas o cuestionables a la hora de presentar
información financiera. Estos mismos factores pueden incidir en el comporta-
miento ético.
Los individuos pueden cometer actos fraudulentos, ilegales o poco éticos
simplemente porque la organización en la que trabajan les incita o tienta. El
poner el énfasis en los resultados, sobre todo a corto plazo, fomenta un entor-
no en el que se impone un precio muy alto al fracaso.
2
Kenneth A. Merchant. Fraudulent and Questionable Financial Reporting: A Corporate Perspective: (Morris-
town NJ: Financial Executives Research Foundation, 1987).
Algunos de los motivos por los que se cometen actos de fraude o se

incurre en prácticas cuestionables a la hora de presentar información financie-
ra y se cometen otros tipos de comportamiento poco ético son los siguientes:
■ Presiones para alcanzar objetivos de rendimiento poco realistas, sobre to-

do respecto a los resultados a corto plazo,
■ gratificaciones en las que el rendimiento tiene un peso específico muy
importante, y
■ límites máximos y mínimos en los sistemas de gratificaciones.
Este estudio también cita situaciones que pueden resultar tentadoras e

incitar a los empleados a cometer actos indebidos:
■ Falta de controles o controles ineficaces, tales como una segregación de

funciones deficiente en áreas sensibles, de forma que resulta tentador co-
meter un fraude o intentar bajos niveles de rendimiento.
■ Alto nivel de descentralización que impide que la alta dirección esté al
corriente de las acciones llevadas a cabo en los niveles más bajos de la
organización y que reduce, por tanto, la probabilidad de que sean detecta-
das.
■ Una función de auditoría interna débil que no es capaz de detectar e
informar acerca de comportamientos indebidos.
■ Un consejo de administración poco eficaz que no desarrolla una supervi-
sión objetiva de la alta dirección.
■ Sanciones por comportamientos indebidos insignificantes o que no se ha-
cen públicas por lo que pierden su valor disuasorio.
La eliminación de estos incentivos y tentaciones puede ser de gran ayuda

para evitar o reducir comportamientos poco deseables. Como ya se ha sugeri-
do, esto puede conseguirse a través de unas prácticas empresariales responsa-
bles y rentables. Por ejemplo, los incentivos al rendimiento —acompañados
de una serie de controles apropiados— pueden constituir una técnica de ges-
tión útil siempre que los objetivos de rendimiento sean realistas. El estableci-
miento de unos objetivos de rendimiento realistas constituye una buena prácti-
ca de motivación. Por una parte, reduce el estrés contraproducente y, por otra,
elimina la tentación de falsear la información financiera, que son dos
consecuencias directas del establecimiento de objetivos poco realistas. Asi-
mismo, un sistema de información bien controlado puede servir de protección
contra la tentación de maquillar el grado de consecución de objetivos.
Cómo establecer e inculcar las reglas éticas. Además de los incentivos y

tentaciones ya comentados, el estudio citado determinó una tercera razón por
la que se llevaban a cabo prácticas fraudulentas o cuestionables a la hora de
presentar información financiera: la ignorancia. El estudio observó que en
muchas de las empresas en las que se han producido casos de falsificación de
información financiera, las personas involucradas o bien no sabían que esta-
ban actuando incorrectamente o, por error, creían que lo estaban haciendo en
el interés de la organización". Esta ignorancia viene ocasionada, con frecuen-
cia, por un escaso soporte moral o por una falta de orientación, más que por la
intención de engañar. Por tanto, no sólo deben comunicarse los valores éticos
sino que deben darse directrices específicas respecto a lo que es correcto e
incorrecto.
El ejemplo constituye la forma más eficaz de transmitir un mensaje a toda
la organización respecto al comportamiento ético. Las personas tienden a imi-
tar a sus líderes. El personal suele desarrollar las mismas actitudes que la alta
dirección acerca de lo que está bien y lo que está mal y, también, acerca del
control interno. El saber que la dirección ha actuado correctamente desde un
punto de vista ético a la hora de tomar una decisión difícil transmite un
mensaje formal a todos los niveles de la organización.
Dar buen ejemplo no es suficiente. La alta dirección debe comunicar ver-
balmente los valores éticos y las normas de comportamiento a los empleados.
Un estudio3 realizado hace algunos años indicaba que un código formal de
conducta corporativa es "un método utilizado comúnmente para comunicar a
los empleados las expectativas de la empresa respecto al cumplimiento de las
obligaciones y la integridad". Los códigos tratan una gran variedad de temas,
tales como la integridad y la ética, incompatibilidades, pagos ilegales o inde-
bidos, y acuerdos de no competencia. Debido, en parte, a las revelaciones de
escándalos en la industria de armamentos, muchas empresas han adoptado
códigos de conducta en los últimos años, implantando las vías de comunica-
ción y supervisión oportunas. Aunque los códigos de conducta pueden ser
útiles, no constituyen la única forma de transmitir los valores de la organiza-
ción a los empleados, proveedores y clientes.
La existencia de un código de conducta escrito y de documentación acre-
ditativa de que los empleados lo han recibido y lo entienden, no constituye
una garantía de que éste se esté aplicando. La mejor forma de garantizar el
cumplimiento de las normas éticas, independientemente de si están o no ex-
puestas en un código de conducta escrito, es a través del comportamiento y el
ejemplo de la alta dirección. En este sentido, son de gran importancia las
3
R.K. Mautz y J.Winjum, Criteria for Management Control Systems (New York: Financial Executives Research
Foundation, 1981).
sanciones impuestas a los empleados que violan dichos códigos, la existencia

de mecanismos para animar a los empleados a que informen sobre sospechas
de infracciones y las acciones disciplinarias contra los empleados que no
informen sobre las infracciones. Los mensajes que se desprenden de la actua-
ción de la dirección en tales circunstancias rápidamente se integran en la
cultura corporativa.
Compromiso de competencia profesional

El nivel de competencia debe reflejar el conocimiento y las habilidades
necesarias para llevar a cabo las tareas de cada puesto de trabajo. Suele ser
función de la dirección determinar el grado de perfección con el que debe
llevarse a cabo cada tarea, función que debe desarrollarse teniendo en cuenta
los objetivos de la entidad, así como las estrategias y los planes de la direc-
ción para su consecución. Suele buscarse un equilibrio entre el nivel de com-
petencia deseado y el coste (por ejemplo, no es necesario contratar un inge-
niero para cambiar una bombilla).
La dirección debe especificar el nivel de competencia para cada trabajo y
traducir estos niveles en conocimientos y habilidades. A su vez, estos conoci-
mientos y habilidades pueden estar en función de la inteligencia, formación y
experiencia de cada persona. Entre los muchos factores a tener en cuenta a la
hora de desarrollar conocimientos y niveles de habilidad están la naturaleza y
el grado de juicio profesional aplicables a un trabajo específico. Debe buscar-
se el equilibrio entre el nivel de supervisión y la capacidad exigida del indivi-
duo.
Consejo de administración y comité de auditoría

El entorno de control y la cultura de la organización están influidos de
forma significativa por el consejo de administración y el comité de auditoría.
Los factores a tener en cuenta incluyen el grado de independencia del consejo
o el comité de auditoría respecto de la dirección, la experiencia y calidad de
sus miembros, grado de implicación y vigilancia y el acierto de sus acciones.
Otro factor es la frecuencia con que se plantean y tratan preguntas difíciles a
la dirección acerca de planes o comportamientos. La interacción del consejo o
comité de auditoría con los auditores internos o externos constituye otro factor
que incide en el entorno de control.
Debido a su importancia, la actividad del consejo de administración u otro
órgano similar (con un grado adecuado de conocimientos técnicos, de gestión
y otras materias, además de la presencia y ánimo necesarios para llevar a cabo
las funciones precisas de gestión, orientación y supervisión) es esencial para
garantizar la eficacia del control interno. Debido a que el consejo debe estar
preparado para cuestionar y supervisar las actividades de la dirección, presen-
tar opiniones alternativas y tener disposición para actuar cuando surgen inci-
dentes o problemas, debe incluir entre sus miembros a consejeros externos
ajenos a la entidad. Si bien es verdad que a menudo los directivos y emplea-
dos suelen ser valiosos miembros del consejo que aportan su conocimiento de
la empresa, debe haber un equilibrio. Aunque las pequeñas e incluso medianas
empresas puedan encontrar dificultades a la hora de atraer o incurrir en el
coste de tener una mayoría de consejeros externos —lo cual no suele ocurrir
en el caso de organizaciones más grandes— es importante que el consejo
incluya al menos una masa crítica de consejeros externos. El número debe
adecuarse a las circunstancias de la entidad, si bien normalmente se necesitará
más de un consejero externo para que el consejo tenga el equilibrio necesario.
La necesidad y responsabilidades del consejo de administración y del co-
mité de auditoría se comentan más adelante en la sección "Aplicación a las
entidades pequeñas y medianas" en el Capítulo 8.
La filosofía de dirección y el estilo de gestión

La filosofía de dirección y el estilo de gestión afectan a la manera en que
la empresa es gestionada e, incluso, al tipo de riesgo empresarial que se
acepta. Una entidad que ha tenido éxito a la hora de correr riesgos significati-
vos puede tener una perspectiva distinta del control interno que una empresa
que se haya tenido que enfrentar a consecuencias adversas desde el punto de
vista económico o administrativo por haberse adentrado en territorios peligro-
sos. Una empresa gestionada de manera informal puede controlar las opera-
ciones llevadas a cabo básicamente a través del contacto cara a cara con los
directores clave. Una empresa gestionada de forma más formal puede depen-
der en mayor medida de políticas escritas, indicadores de rendimiento e infor-
mes de excepciones.
Otros componentes de la filosofía de la dirección y su forma de actuar son
la actitud adoptada en la presentación de información financiera, la selección
de las alternativas disponibles respecto a los principios de contabilidad aplica-
bles, la escrupulosidad y prudencia con que se obtienen las estimaciones con-
tables y las actitudes hacia las funciones informáticas y contables, así como
hacia el personal. La forma en que la dirección cumple sus responsabilidades
se comenta con más detalle en el Capítulo 8.
Estructura organizativa
La estructura organizativa proporciona el marco en que se planifican, eje-
cutan, controlan y supervisan las actividades para la consecución de objetivos
a nivel de empresa. Las actividades pueden referirse a lo que a veces se
denomina la cadena de valor: es decir, la recepción, la producción de bienes o
servicios, actividades de envío, comercialización y venta. Puede haber funcio-
nes de apoyo a las anteriores relacionadas con la administración, recursos
humanos o desarrollo tecnológico4.
Entre los aspectos más significativos a tener en cuenta a la hora de
establecer la estructura organizativa correspondiente están la definición de las
áreas clave de autoridad y responsabilidad y el establecimiento de vías ade-
cuadas de comunicación. Por ejemplo, el departamento de auditoría interna
debe tener libre acceso a un directivo que no sea el responsable directo de
preparar los estados financieros de la empresa pero que tenga el rango sufi-
ciente para garantizar que no se impone ninguna limitación al trabajo de
auditoría interna y hacer un seguimiento de sus resultados y recomendaciones.
Una entidad desarrolla la estructura organizativa que mejor se adapta a sus
necesidades. Algunas entidades desarrollan estructuras centralizadas, otras
descentralizadas. Algunas desarrollan estructuras piramidales, mientras que la
estructura de otras se asemeja más a una matriz. Algunas entidades están
organizadas por sector o línea de producto, por zona o por red de distribución
o comercialización. Otras entidades, incluyendo muchas unidades estatales o
municipales e instituciones sin ánimo de lucro, están organizadas de forma
funcional.
La adecuación de la estructura organizativa de una entidad depende, en
parte, de su tamaño y de la naturaleza de las actividades que desarrolla. Una
organización altamente estructurada, con líneas de comunicación y responsa-
bilidades formales, puede resultar apropiada para una entidad grande con va-
rias divisiones operativas, incluyendo divisiones en el extranjero. Sin embar-
go, puede obstaculizar el flujo de información en una entidad pequeña. Sea
cual sea la estructura, las actividades de una entidad deben estar organizadas
con el fin de llevar a cabo las estrategias diseñadas para conseguir los objeti-
vos específicos de la misma.
4
Michael E. Porter, Competitive Advantage (New York, Free Press, 1985)
Asignación de autoridad y responsabilidad

Este aspecto del control interno incluye tanto la asignación de autoridad y
responsabilidad para las actividades de gestión como para el establecimiento
de las relaciones de jerarquía y de las políticas de autorización. Se refiere a la
medida en que se autoriza e impulsa al personal, tanto a nivel individual como
de equipo, a utilizar su iniciativa a la hora de abordar temas y solucionar
problemas y establece límites a su autoridad. Asimismo, trata de las políticas
que describen las prácticas empresariales adecuadas, conocimientos y expe-
riencia del personal clave, y los recursos puestos a su disposición para llevar a
cabo sus funciones.
Hay una tendencia creciente a delegar la autoridad hacia niveles inferio-
res, para situar el proceso de toma de decisiones más cerca del personal de
"primera línea". Una entidad puede adoptar este enfoque con el fin de dirigir-
se más al mercado o concentrarse en la calidad, quizá para eliminar defectos,
reducir la duración de los ciclos o aumentar el grado de satisfacción del
cliente. Para ello, la empresa necesita reconocer y responder a la evolución del
mercado, de las relaciones empresariales y de las expectativas del público. A
menudo, la delegación de autoridad y responsabilidad está diseñada para fo-
mentar la iniciativa individual dentro de unos límites. La delegación de autori-
dad significa, a menudo, entregar el control central sobre determinadas deci-
siones empresariales a los niveles inferiores de la organización, a las personas
que están más cerca de las operaciones diarias. Esto puede conllevar por
ejemplo el otorgamiento de poderes para vender productos a precios reducidos
o con descuentos, negociar contratos de suministro, licencias o patentes a
largo plazo o suscribir alianzas o agrupaciones temporales de empresas.
Un desafío crítico es delegar únicamente en la medida necesaria para
conseguir los objetivos. Por tanto, es necesario garantizar que los riesgos se
asumen en función de la capacidad de los responsables de identificar y mini-
mizar los mismos en base a prácticas prudentes y de sopesar las pérdidas
contra los beneficios potenciales de una buena decisión empresarial.
Otro reto es asegurar que todo el personal entiende los objetivos de la
entidad. Es indispensable que todo miembro de la organización sepa cómo su
actuación se relaciona con las de los demás y contribuye a la consecución de
los objetivos.
A veces una mayor delegación va acompañada de, o es el resultado de, la
racionalización o simplificación intencionada de la estructura organizativa de
la entidad. El cambio estructural efectuado con la finalidad de fomentar la
creatividad, la iniciativa y la capacidad de reacción puede aumentar la compe-
titividad y el grado de satisfacción del cliente. Una mayor delegación puede
exigir implícitamente un mayor nivel de competencia al personal así como
mayor responsabilidad. También hace necesario la existencia de procedi-

mientos eficaces que permitan a la dirección supervisar los resultados. De
hecho, si bien fomenta unas decisiones mejor orientadas hacia el mercado, la
delegación puede aumentar el número de decisiones no deseadas o inespera-
das. Si un delegado regional de ventas decide que la autorización para vender
con un descuento del 35% respecto al precio de venta puede justificar un
descuento provisional hasta el 45% con el fin de aumentar la cuota de merca-
do, la dirección deberá estar informada para que pueda aprobar o rechazar
dicha decisión.
El hecho de que el personal sepa que se le puede declarar responsable
tiene un impacto significativo sobre el entorno de control. Esto es cierto a
todos los niveles de la jerarquía, incluso para la dirección general, que es el
último responsable de todas las actividades dentro de la entidad, incluyendo el
sistema de control interno.
Políticas y prácticas en materia de recursos humanos

Las prácticas aplicadas en el campo de los recursos humanos indican a los
empleados los niveles de integridad, comportamiento ético y competencia que
se espera de ellos. Estas prácticas se refieren a las acciones de contratación,
orientación, formación, evaluación, asesoramiento, promoción, remuneración
y corrección. Por ejemplo, las normas para contratar personal cualificado, en
que se destaca el expediente académico, experiencia profesional, logros y
pruebas de integridad y comportamiento ético, sirven para probar el compro-
miso de una entidad hacia la contratación de personal competente y fiable. Las
prácticas de reclutamiento que incluyen entrevistas formales y detalladas y
presentaciones informativas e indagaciones sobre los antecedentes, cultura y
estilo operativo de la entidad transmiten el mensaje de que la entidad está
comprometida con sus empleados. Las políticas de formación que indican las
funciones y responsabilidades futuras e incluyen prácticas tales como escuelas
de formación y seminarios, estudios monográficos simulados y cursos de ha-
bilidades gerenciales basados en juegos, sirven para demostrar los niveles
esperados de rendimiento y comportamiento. La rotación de personal y los
ascensos fomentados por evaluaciones periódicas demuestran el compromiso
de la entidad con el progreso del personal cualificado. Los programas de
remuneración competitiva que incluyen incentivos sirven para motivar y
reforzar actuaciones sobresalientes. Las acciones disciplinarias transmiten el
mensaje de que no se tolerarán comportamientos que no estén en línea con lo
esperado.
Es indispensable que el personal esté preparado para hacer frente a nuevos
retos a medida que las empresas se enfrentan a cambios y se hacen más
complejas, debido en parte a los rápidos cambios que se están produciendo en

el mundo de la tecnología y al aumento de la competencia. La instrucción y la
formación ya sea mediante cursos, autoformación o formación en el puesto de
trabajo, deben preparar al personal para que pueda mantener el ritmo y hacer
frente de forma eficaz al entorno cambiante. Asimismo, aumentará la capaci-
dad de la entidad para poner en marcha iniciativas de calidad. La contratación
de personal competente y la formación esporádica no son suficientes. El pro-
ceso de formación debe ser continuo.
Diferencias e implicaciones
El entorno de control de las divisiones operativas autónomas y de las
filiales extranjeras y nacionales de una entidad pueden diferir de forma
significativa, debido a las diferencias en las prioridades de la alta dirección en
los juicios de valor y en los estilos de dirección. Los entornos de control
pueden variar por una serie de razones. Dado que no hay dos divisiones
operativas o filiales nacionales o extranjeras que se gestionen de la misma
manera, es poco probable que los entornos de control sean iguales. Por tanto,
es importante reconocer el efecto que los distintos entornos de control pueden
tener sobre los demás componentes de un sistema de control interno.
Un entorno de control ineficaz podría tener consecuencias graves, pudien-
do generar una pérdida financiera, una pérdida de imagen o un fracaso empre-
sarial. Consideremos, por ejemplo, el caso de un contratista del Ministerio de
Defensa que, en términos generales, parecía tener un control interno eficaz. La
empresa disponía de sistemas de información y actividades de control bien
diseñados, extensos manuales de políticas sobre funciones de control y am-
plias prácticas de conciliación y supervisión. Además se habían llevado a cabo
frecuentes inspecciones por parte de la administración. Sin embargo, el entor-
no de control presentaba defectos significativos. La alta dirección hizo caso
omiso de la posibilidad de que se estuvieran produciendo irregularidades.
Incluso, cuando los indicios de que se estaban produciendo actividades
fraudulentas fueron patentes, la alta dirección lo negó. Se detectó que el
contratista había participado en actividades fraudulentas en el Pentágono, se le
impuso una multa y sufrió bastantes problemas de imagen debido a la amplia
cobertura del asunto por parte de los medios de comunicación.
La actitud y preocupación de la alta dirección respecto al control interno
debe filtrarse a través de toda la organización. No es suficiente pronunciar las
palabras oportunas. Una actitud de "haz lo que digo, y no lo que hago" desem-
bocará en un entorno poco favorable.
Aplicación a pequeñas y medianas empresas

Aunque todas las entidades deberían tener en cuenta los conceptos expues-
tos en este capítulo, las pequeñas y medianas empresas pueden aplicar los
factores del entorno de control de forma distinta de las grandes. Por ejemplo,
una entidad pequeña puede no disponer de un código de conducta escrito, lo
cual no tiene por qué significar que la entidad no posee una cultura en la que
destaque la importancia de la integridad y el comportamiento ético. A través
de la presencia e implicación directa del director general (o del empresario) y
de la alta dirección, su compromiso con la integridad y comportamiento ético
puede notificarse verbalmente, en reuniones con el personal, reuniones indivi-
duales y negociaciones con suministradores y clientes. Su propia integridad y
comportamiento, sin embargo, constituyen elementos clave y deben ser cohe-
rentes con el mensaje transmitido verbalmente. A menudo, cuanto menor es el
número de niveles de dirección, más rápido es el proceso por el que el mensa-
je se filtra a través de la organización sobre qué tipo de conducta se considera
aceptable.
Asimismo, es posible que las políticas de recursos humanos no estén for-
malizadas tal como se esperaría en una entidad más grande. Sin embargo, las
políticas y prácticas pueden existir y ser comunicadas. La dirección general
puede transmitir verbalmente un mensaje explícito sobre sus expectativas en
cuanto al tipo de persona a contratar para un determinado puesto e incluso
puede intervenir de forma activa en el proceso de selección. No es siempre
necesario establecer por escrito las políticas para que funcionen de forma
eficaz.
Debido a la importancia de un consejo de administración u órgano deciso-
rio equivalente, incluso las entidades pequeñas se deben aprovechar de las
ventajas de un órgano de este tipo para un control interno eficaz. Como ya se
ha indicado anteriormente, a menudo resulta demasiado difícil y caro para una
empresa pequeña mantener una mayoría de consejeros externos (e incluso
puede que sea innecesario). A menudo, la independencia necesaria puede
conseguirse con un número más reducido de consejeros externos. El factor
más importante es que exista lo que puede denominarse una masa crítica. Es
decir, que haya el número suficiente de consejeros externos para asegurar que
el consejo trata suficientemente los temas delicados y toma las decisiones
difíciles cuando sea necesario. No obstante, sí existe una circunstancia en que
no hace falta un consejo de administración y es en los casos en que la
empresa es gestionada por el propietario. En estos casos, un consejo, aunque
pueda ser útil, normalmente no es indispensable para garantizar un control
interno eficaz.
Evaluación
El evaluador debe considerar cada factor del entorno de control a la hora
de determinar si éste es positivo. A continuación se enumeran los aspectos en
que puede centrarse la evaluación. Esta lista no es exhaustiva, ni todos los
aspectos aplicables en todas las entidades. Sin embargo, puede servir de punto
de partida. Si bien algunos de los temas planteados son altamente subjetivos y
obligan a que se formule una opinión subjetiva, generalmente inciden de for-
ma significativa en la eficacia del entorno de control.
■ La existencia e implantación de códigos de conducta u otras políticas

relacionadas con las prácticas profesionales aceptables, incompa-
tibilidades o pautas esperadas de comportamiento ético y moral.
■ La forma en que se llevan a cabo las negociaciones con empleados, pro-
veedores, clientes, inversores, acreedores, aseguradores, competidores y
auditores (por ejemplo, si la dirección lleva a cabo sus actividades empre-
sariales con un alto nivel ético e insiste que los demás hagan lo mismo, o
presta poca atención a los temas éticos).
■ La presión para alcanzar objetivos de rendimiento poco realistas, sobre
todo en cuanto a los resultados a corto plazo y en qué medida la remunera-
ción está basada en la consecución de dichos objetivos.
■ La existencia de descripciones de puestos de trabajo formales o informales

u otras formas de definir las tareas que componen trabajos específicos.
■ El análisis de los conocimientos y habilidades necesarios para llevar a
cabo el trabajo adecuadamente.
Consejo de administración o comité de auditoría
■ La independencia de los consejeros, de forma que se sometan a discusión

abierta incluso los temas más difíciles y peliagudos.
■ La frecuencia y oportunidad de las reuniones con el director financiero y/o
contable, auditores internos y externos.
■ La suficiencia y oportunidad en que se facilita información a los miembros
del consejo o comité de auditoría que permita supervisar los objetivos y
las estrategias, la situación financiera, así como los resultados de explota-
ción de la entidad y las condiciones de los acuerdos significativos.
■ La suficiencia y oportunidad con que se comunican al consejo o comité de

auditoría la información confidencial, los datos sobre investigaciones rea-
lizadas y las actuaciones incorrectas (por ejemplo, gastos de viaje de altos
directivos, litigios significativos, investigaciones por parte de las autorida-
des competentes, desfalcos, malversación de fondo o uso incorrecto de los
activos de la sociedad, abusos de información privilegiada, pagos a políti-
cos, pagos ilegales, etc.).
■ La naturaleza de los riesgos empresariales aceptados, por ejemplo si parti-

cipa la dirección a menudo en operaciones de alto riesgo o es extremada-
mente prudente a la hora de aceptar riesgos.
■ La frecuencia con que se llevan a cabo los contactos entre la alta dirección
y la dirección operativa, sobre todo cuando están ubicadas en zonas geo-
gráficas diferentes.
■ Las actitudes y actuaciones de la dirección respecto a la presentación de
información financiera, incluyendo las discusiones acerca de la aplicación
de los tratamientos contables (por ejemplo, elección de políticas contables
prudentes o arriesgadas, si las políticas contables han sido incorrectamente
aplicadas o se ha excluido información financiera importante, o si los
registros han sido manipulados o falsificados).
■ La idoneidad de la estructura organizativa de la entidad y su capacidad

para proporcionar el flujo de información necesario para gestionar sus
actividades.
■ La suficiencia de la definición de las responsabilidades de los directivos
clave y su conocimiento de las mismas.
■ La suficiencia de los conocimientos y experiencia de los directivos clave
teniendo en cuenta sus responsabilidades.
■ La asignación de responsabilidad y delegación de autoridad para hacer

frente a las metas y objetivos organizativos, funciones operativas y requi-
sitos reguladores, incluyendo la responsabilidad en cuanto a los sistemas
de información y la autorización de cambios.
■ La suficiencia de las normas y procedimientos relacionados con el control,
incluyendo las descripciones de puestos de trabajo.
■ El número de personas adecuado, sobre todo en relación con las funciones

de proceso de datos y contabilidad, respecto al nivel necesario, teniendo
en cuenta el tamaño de la entidad así como la naturaleza y complejidad de
sus actividades y sistemas.
Políticas y prácticas de recursos humanos
■ La medida en que están vigentes las políticas y procedimientos adecuados

para la contratación, formación, promoción y remuneración de los emplea-
dos.
■ La suficiencia de las acciones disciplinarias tomadas como respuesta a las
desviaciones de las políticas y procedimientos aprobados.
■ La idoneidad de la revisión de los expedientes de los candidatos a puestos
de trabajo, sobre todo en relación con acciones o actividades no admitidas
en el seno de la entidad.
■ La idoneidad de los criterios para retener y promocionar a los empleados y
de las técnicas de recogida de datos sobre el personal (por ejemplo, las
evaluaciones del rendimiento) y su relación con el código de conducta u
otras pautas de comportamiento.
3
Evaluación de los riesgos
Resumen del capítulo: Toda entidad debe hacer frente a una serie de ries-
gos tanto de origen interno como externo que deben evaluarse. Una condición
previa a la evaluación de los riesgos es en el establecimiento de objetivos en
cada nivel de la organización que sean coherentes entre sí. La evaluación del
riesgo consiste en la identificación y análisis de los factores que podrían
afectar la consecución de los objetivos y, en base a dicho análisis, determinar
la forma en que los riesgos deben ser gestionados. Debido a que las condicio-
nes económicas, industriales, normativas y operacionales se modifican de
forma continua, se necesitan mecanismos para identificar y hacer frente a los
riesgos especiales asociados con el cambio.
Todas las empresas, independientemente de su tamaño, estructura, natura-

leza o sector al que pertenecen, se encuentran con riesgos en todos los niveles
de su organización. Los riesgos afectan la habilidad de cada entidad para
sobrevivir, competir con éxito dentro de su sector, mantener una posición
financiera fuerte y una imagen pública positiva así como la calidad global de
sus productos, servicios y empleados. No existe ninguna forma práctica de
reducir el riesgo a cero. De hecho, el riesgo es inherente a los negocios. La
dirección debe determinar cuál es el nivel de riesgo que se considera aceptable
y esforzarse para mantenerlo dentro de los límites marcados.
El establecimiento de objetivos es una condición previa a la evaluación de
los riesgos. La dirección debe fijar primero los objetivos antes de identificar
los riesgos que pueden tener un impacto sobre su consecución y tomar las
medidas oportunas. Por tanto, el establecimiento de unos objetivos es una fase
clave de los procesos de gestión. Si bien no constituye un componente del
control interno, es un requisito previo que permite garantizar el funcionamien-

to del mismo. En este capítulo se trata primero de los objetivos y, posterior-
mente, de los riesgos.
Objetivos
El establecimiento de objetivos puede ser un proceso muy estructurado o,
por el contrario, informal. Los objetivos pueden estar claramente identificados
o estar implícitos (por ejemplo, la entidad puede intentar mantener al menos el
nivel de rentabilidad conseguido en el pasado). Los objetivos generales de una
entidad vienen representados normalmente por la misión y los valores que la
entidad considera prioritarios. Estos objetivos, junto con la evaluación de los
puntos fuertes y débiles de la entidad y de las oportunidades y amenazas del
entorno, llevan a definir una estrategia global. Generalmente, el plan estratégi-
co se establece en términos amplios, y trata de la asignación de recursos entre
las distintas unidades del negocio y de las prioridades a nivel global.
Los objetivos específicos se derivan de la estrategia global de la entidad.
Los objetivos globales de la empresa están relacionados e integrados en obje-
tivos más específicos establecidos para las diversas actividades (tales como
ventas, producción e ingeniería), asegurándose de que son coherentes entre sí.
Estos subobjetivos u objetivos a nivel de actividad incluyen el establecimiento
de metas concretas y pueden consistir en objetivos de una línea de productos,
de mercado, de financiación o de resultados.
Al establecer objetivos globales y por actividad, una entidad puede
identificar los factores críticos del éxito. Éstos son los hechos que deben
producirse o las condiciones que deben existir para que los objetivos puedan
ser alcanzados. Los factores críticos del éxito existen para la entidad, para una
unidad empresarial, una función, un departamento o un individuo. El estable-
cimiento de objetivos permite a la dirección identificar los criterios para medir
el rendimiento, poniendo especial énfasis en los factores críticos del éxito.
Las diferentes categorías de objetivos

A pesar de su diversidad, los objetivos pueden agruparse en tres grandes
categorías:
■ Objetivos relacionados con las operaciones.— Se refieren a la eficacia y

eficiencia de las operaciones de la entidad, incluyendo los objetivos de
rendimiento y rentabilidad y la salvaguarda de los recursos contra posibles
EVALUACIÓN DE LOS RIESGOS 45
pérdidas. Estos objetivos varían en función de la elección de la dirección

respecto a estructuras y rendimiento.
■ Objetivos relacionados con la información financiera.— Se refieren a la
preparación de estados financieros fiables y a la prevención de la falsifica-
ción de la información financiera publicada. A menudo, estos objetivos
están condicionados por requerimientos externos.
■ Objetivos de cumplimiento.— Estos objetivos se refieren al cumpli-
miento de las leyes y normas a las que está sujeta la entidad. Dependen de
factores externos (tales como la reglamentación en materia de medio-
ambiente), y tienden a ser parecidos en todas las entidades, en algunos
casos, o en todo un sector, en otros.
Determinados objetivos están relacionados con el tipo de actividad que

desarrolla la entidad. Por ejemplo, un fondo de inversiones debe valorar sus
participaciones de forma diaria, mientras que una sociedad que desarrolle otro
tipo de actividad puede tener suficiente con realizar dicha valoración trimes-
tralmente. Todas las empresas con cotización en bolsa deben presentar
determinadas declaraciones a la comisión de control (Stock Exchange
Commission en Estados Unidos, Comisión Nacional del Mercado de Valores
en España, etcétera). Estos objetivos están impuestos de forma externa y esta-
blecidos por una ley o norma. Encajan dentro de la categoría de objetivos
relacionados con el cumplimiento de los requisitos legales y, a veces, de
presentación de información financiera.
Por otra parte, los objetivos relacionados con las operaciones están basa-
dos en mayor medida en las prioridades, los juicios y el estilo de la gerencia.
Estos varían de modo significativo de una entidad a otra, simplemente debido
a que diferentes personas, todas ellas informadas, competentes y honradas
pueden seleccionar objetivos distintos. Respecto al desarrollo de productos,
por ejemplo, una entidad puede escoger entre desempeñar el papel de ser un
innovador en el sector, otra el de adaptarse a los cambios con rapidez y otra el
de adaptarse con retraso. Estas decisiones afectarán la estructura, las habilida-
des, la plantilla y el control de la función de investigación y desarrollo. En
consecuencia, no existe una formulación de objetivos idónea para todas las
entidades.
Objetivos relacionados con las operaciones. Estos objetivos están relacio-

nados con la consecución del objeto social, que es la razón de ser de una
empresa. Incluyen subobjetivos específicos, dirigidos a la mejora de la efica-
cia y eficiencia en el camino hacia la consecución de dicho fin.
Los objetivos relacionados con las operaciones tienen que reflejar el entor-
no empresarial, industrial y económico en que se desenvuelve la entidad. Es
necesario, por ejemplo, que los objetivos se hayan adaptado a las presiones
ejercidas por la competencia en materia de calidad, la reducción de los ciclos
necesarios para la introducción de productos en el mercado o los cambios
tecnológicos. La dirección debe asegurarse de que los objetivos están basados
en la realidad y en las exigencias del mercado y están expresados en términos
que permiten que se evalúe adecuadamente el rendimiento.
Para que puedan ser alcanzados, los objetivos relativos a las operaciones y
las correspondientes estrategias deben estar claramente definidos e integrados
con unos objetivos y estrategias más específicos. Estos objetivos constituyen
el punto focal al que la entidad deberá dirigir una parte sustancial de sus
recursos. Si los objetivos no son claros o no han sido bien concebidos, la
entidad corre el riesgo de que la utilización de sus recursos esté mal orientada.
Objetivos relacionados con la información financiera. Los objetivos rela-

cionados con la información financiera están dirigidos a la preparación de
estados financieros fiables, incluyendo los estados financieros intermedios y
los abreviados y los datos seleccionados que se derivan de dichos estados
destinados al público. Las entidades deben conseguir los objetivos relaciona-
dos con la información financiera con el fin de cumplir las obligaciones exter-
nas. Unos estados financieros fiables son un requisito previo a la hora de
obtener capital inversor o créditos bancarios y puede ser fundamental en cuan-
to a la obtención de determinados contratos o en las negociaciones con deter-
minados suministradores. A menudo los inversores, acreedores, clientes y pro-
veedores se basan en los estados financieros para evaluar la gestión de la
dirección y compararla con la de otras entidades similares o del mismo sector
o inversiones alternativas.
El término "fiabilidad" tal y como se utiliza en los objetivos relacionados
con la información financiera implica la preparación de estados financieros
que están adecuadamente presentados de acuerdo con principios de contabili-
dad generalmente aceptados u otros principios de contabilidad relevantes y
apropiados, así como con las regulaciones aplicables. La presentación adecua-
da de la información financiera requiere1:
■ Que los principios de contabilidad seleccionados y aplicados sean de acep-

tación general,
■ que los principios de contabilidad sean los apropiados a las circunstancias,
■ que los estados financieros faciliten información suficiente sobre los te-
mas que puedan afectar a su utilización, comprensión e interpretación,
1
Statement on Auditing Standares No. 69, The Meaning of "Present Fairly in Conformity With Generally
Accepted Accounting Principies" in the Independent Auditor's Repon (New York: AICPA, 1992).
■ que la información presentada esté clasificada y resumida de forma razo-

nable, es decir, que no sea demasiado detallada ni demasiado resumida, y
■ que los estados financieros reflejen las transacciones y acontecimientos2
subyacentes de forma tal que se presenten la situación financiera, los
resultados de las operaciones y los flujos de caja de una forma adecuada y
dentro de unos límites aceptables, es decir, dentro de los límites razona-
bles y prácticos que sea factible conseguir en la preparación de los estados
financieros.
El concepto de importancia relativa es también inherente al concepto de

razonabilidad de los estados financieros.
Como apoyo a estos objetivos hay una serie de aseveraciones implícitas
que soportan los estados financieros3:
■ Existencia o efectividad.— Los activos, pasivos y derechos existen a una

fecha concreta y las transacciones contabilizadas representan aconteci-
mientos que efectivamente ocurrieron durante un período determinado.
■ Totalidad.— Todas las transacciones y otros acontecimientos o circuns-
tancias, que tuvieron lugar durante un período específico y debieron haber
sido reconocidos, han sido efectivamente contabilizados en el transcurso
del mismo.
■ Derechos y obligaciones.— Los activos son los derechos y los pasivos son
las obligaciones de la entidad a una fecha determinada.
■ Valoración o asignación.— Los elementos del activo y del pasivo y los
ingresos y los gastos están contabilizados por importes adecuados de
acuerdo con principios de contabilidad adecuados y pertinentes. Las trans-
2
Una transacción es un intercambio entre una entidad y un tercero. La venta de productos o servicios a clientes
y la compra de productos o servicios a proveedores son ejemplos de transacciones. Un acontecimiento es un hecho
que puede afectar a la presentación de información financiera. Por ejemplo, una disminución en el valor de mercado
de las inversiones a corto plazo hasta por debajo del coste o la prohibición de vender en el futuro determinados
fármacos que tenemos en stock son acontecimientos que afectan la información financiera. También se entiende por
acontecimiento las transferencias dentro de una entidad, y la distribución o la amortización de gastos sea en base al
tiempo transcurrido, sea en función del esfuerzo requerido o del grado de utilización. La distribución de los costes
directos de producción y la asignación de los gastos generales de producción y la amortización de los equipos de
fabricación son acontecimientos que pueden afectar la presentación de la información financiera.
Los acontecimientos son diferentes de las transacciones en cuanto que no implican ningún intercambio entre la
empresa y un tercero. El motivo principal por el que se hace una distinción entre estos términos es que los
intercambios con terceros no son lo único que puede afectar la presentación de la información financiera. A menudo,
debe prestarse atención especial a la identificación de los acontecimientos ya que no siempre se pondrán de
manifiesto en las operaciones corrientes.
Debe reconocerse que a menudo el proceso de presentar información financiera es el resultado de juicios de las
personas que los han preparado, así como de estimaciones y previsiones relativas a las actividades futuras.
3
Statement on Auditing Standards No. 31, Evidential Matter (New York: AICPA, 1980)
acciones son matemáticamente exactas respecto al importe y están adecua-

damente resumidas y registradas en los libros de la entidad.
■ Presentación y desglose.— Las informaciones que aparecen en los estados
financieros están adecuadamente descritas, agrupadas y clasificadas.
Al igual que con las demás categorías de objetivos, existe una serie de
objetivos y subobjetivos relacionados. Los factores que inciden en una presen-
tación razonable pueden verse como unos objetivos básicos relacionados con
la información financiera. Éstos estarían soportados por subobjetivos repre-
sentados por las aseveraciones contenidas en los estados financieros, las cua-
les, a su vez, estarían soportadas por objetivos relacionados e identificados
con referencia a las diversas actividades de una entidad.
Aunque estas definiciones de una presentación razonable han sido estable-
cidas para los estados financieros, los conceptos son aplicables de igual mane-
ra a la preparación de otra información financiera pública, tal como los esta-
dos financieros intermedios y la publicación de resultados. Sin embargo,
algunos de estos factores no pueden aplicarse a otro tipo de información
financiera publicada. Por ejemplo, la afirmación respecto a la presentación y
desglose de información no podría aplicarse a la publicación de información
sobre resultados.
Objetivos de cumplimiento. Las entidades deben desarrollar sus activida-

des y, con frecuencia, adoptar medidas específicas en función de las leyes y
normas aplicables. Estos requerimientos pueden referirse, por ejemplo, a
mercados, precios, impuestos, medioambiente, bienestar de los empleados y
comercio internacional. Estas leyes y normas establecen requisitos mínimos
de comportamiento que la entidad debe integrar en sus objetivos de cumpli-
miento. Por ejemplo, las normas de seguridad e higiene pueden llevar a una
empresa a definir sus objetivos como "Empaquetar y etiquetar todos los
productos químicos de acuerdo con las normas". En este caso, las políticas y
procedimientos tratarán de los programas de comunicación, las inspecciones
de locales y la formación.
Los antecedentes de una entidad en cuanto al cumplimiento de las leyes y
normas pueden incidir, tanto positiva como negativamente, en su reputación
dentro de la comunidad.
Solapamiento de objetivos
Un objetivo dentro de una categoría puede solaparse o apoyar un objetivo
de otra. Por ejemplo, "Hacer el cierre trimestral dentro de los diez días labora-
bles siguientes al fin del trimestre" puede constituir una meta que apoya
principalmente un objetivo de operaciones (para apoyar la celebración de

reuniones de la dirección regularmente para la revisión del rendimiento
empresarial). Sin embargo, ese objetivo también apoya la obtención de
información financiera así como la presentación de documentación a los orga-
nismos reguladores en el plazo deseado. Un objetivo de "Facilitar a la direc-
ción de la planta información relevante sobre el 'mix' de producción de mate-
rias primas en el plazo deseado" puede estar relacionado con las tres
categorías de objetivos. Los datos obtenidos pueden apoyar decisiones sobre
cambios respecto al "mix" (objetivo de operaciones), facilitar la supervisión
del tratamiento de residuos peligrosos (objetivo de cumplimiento) y
proporcionar información para la contabilidad analítica (objetivos de informa-
ción financiera, así como de operaciones).
Otra serie de objetivos se refiere a la "salvaguarda de recursos". Aunque
éstos sean fundamentalmente objetivos relacionados con las operaciones, al-
gunos aspectos pueden encajar en otras categorías. En la categoría de
operaciones, se incluye la utilización eficiente de los activos y otros recursos,
así como la prevención contra posibles pérdidas como consecuencia de robo,
de merma, de ineficacia o simplemente de la toma de decisiones empresariales
equivocadas (tales como la venta de productos a precios demasiado bajos, la
concesión de crédito a terceros de forma arriesgada, el no retener a empleados
clave, el no impedir la infracción de patentes o el incurrir en contingencias
imprevistas). En los casos en que son introducidos los requerimientos legales
o reguladores, estos objetivos se convierten en un objetivo de cumplimiento.
Por otra parte, el objetivo de asegurar que tales pérdidas quedan adecuada-
mente reflejadas en los estados financieros de la entidad es un objetivo rela-
cionado con la información financiera.
La categoría en la que encaja un objetivo puede depender a veces de las
circunstancias. Siguiendo con el tema de la salvaguarda de los activos, los
controles para impedir el robo de los mismos, tales como el mantener las
existencias debidamente almacenadas y protegidas y asignar un guarda para
que verifique que se ha obtenido la autorización correspondiente para los
movimientos de bienes, encajan dentro de la categoría de operaciones. Estos
controles normalmente no tendrían incidencia sobre la fiabilidad de la prepa-
ración de los estados financieros, ya que toda pérdida de existencias sería
detectada como resultado de la inspección física periódica y contabilizada en
los estados financieros. Sin embargo, si a efectos de la presentación de infor-
mación financiera, la dirección depende únicamente de los registros de inven-
tarios permanentes,, tal como en el caso de la presentación de estados financie-
ros intermedios, los controles de seguridad física también encajarían dentro
del objetivo de presentación de información fiable. Esto se debe a que sería
preciso efectuar estos controles físicos así como los controles sobre los regis-
tros de inventarios permanentes para asegurarse de la fiabilidad de la infor-

mación financiera pública.
La distinción e interrelación entre las categorías puede demostrarse aún
más dentro del contexto de la actividad crediticia de un banco. A efectos
ilustrativos, supongamos que existen controles para asegurar que los expe-
dientes de crédito incluyen los antecedentes crediticios actualizados de los
clientes así como datos relativos a las eventuales incidencias de pago. Asimis-
mo, supongamos en este ejemplo que los responsables de la concesión de
créditos del banco no utilizan dicha información a la hora de tomar decisiones,
sino que las autorizaciones para disponer de las líneas de crédito existentes e
incluso el incremento de los límites se realiza de forma intuitiva. La dirección
financiera, sin embargo, periódicamente lleva a cabo revisiones completas con
el fin de determinar los niveles adecuados de las provisiones para insolven-
cias. En estas circunstancias, los controles sobre operaciones tienen impor-
tantes deficiencias mientras que los controles sobre la presentación de infor-
mación financiera no. En la práctica, un control tan deficiente sobre las
operaciones probablemente daría lugar a una evolución inaceptable de los
resultados. La primera evidencia de ello podría ponerse de manifiesto en los
indicadores del rendimiento y, posteriormente, en una reducción de los resul-
tados e incluso en pérdidas, lo cual podría ser un indicio para la alta dirección,
e incluso, si es lo suficientemente grave, para el consejo de administración de
la necesidad de llevar a cabo una investigación y aplicar las medidas correcti-
vas. De esta manera, los controles sobre la presentación de información finan-
ciera pueden ayudar a abordar las debilidades operativas, poniendo de mani-
fiesto su interrelación, si bien la irregularidad únicamente existe en los
controles de operaciones.
Coherencia y compatibilidad de los objetivos

Los objetivos deben ser complementarios y estar relacionados entre sí. Los
objetivos globales de la entidad no sólo deben ser coherentes con las capaci-
dades y expectativas de la misma, sino que también deben ser coherentes con
los objetivos de sus unidades empresariales y funciones. Los objetivos de la
entidad deben ser divididos en subobjetivos, coherentes con la estrategia glo-
bal y enlazados con las actividades de toda la organización.
En los casos en qué los objetivos globales de la entidad son coherentes con
las prácticas y actuaciones anteriores, la interrelación entre las distintas activi-
dades puede considerarse como establecida. Sin embargo, en los casos en que
los objetivos no se ajustan a las prácticas desarrolladas por la entidad en el
pasado, la dirección debe considerar las interrelaciones existentes o asumir
mayores riesgos. Si las nuevas prácticas no son coherentes con las prácticas
del pasado, cobra aún mayor importancia la necesidad de que los subobjetivos
de las unidades empresariales o de las funciones sean coherentes con la nueva
dirección.
Un objetivo consistente en "Cubrir internamente más puestos de dirección
mediante promociones" dependerá en gran medida de subobjetivos interrela-
cionados del área de recursos humanos referentes a la planificación de la
sucesión, la evaluación, la formación y el desarrollo del personal. Los subob-
jetivos pueden modificarse de forma significativa si en el pasado se dependía
en gran medida del reclutamiento externo.
Los objetivos relativos a las actividades deben ser claros, es decir, deben
resultar fácilmente comprensibles para los individuos responsables de su reali-
zación. También deben ser medibles. Los empleados y la dirección deben
haber llegado a un consenso sobre lo que ha de conseguirse y sobre la forma
de determinar en que medida se han alcanzado los objetivos.
El alcance y los recursos comprometidos en los objetivos de una actividad
son también importantes. Las mayoría de las entidades establecen, para cada
una de sus actividades, una serie de objetivos que surgen tanto de los objeti-
vos globales de la entidad como de las pautas relacionadas con la consecución
de los objetivos de cumplimiento o de presentación de información financiera.
Por ejemplo, en el caso de las compras, pueden establecerse objetivos de
operaciones relativos a:
■ Compra de bienes que cumplan las especificaciones de ingeniería estable-

cidas;
■ negociación de precios y otras condiciones de compra aceptables;
■ revisión y renovación cada año del contrato con los principales suminis-
tradores.
La consecución de todos los objetivos establecidos para una actividad

podría requerir una utilización desproporcionada de los recursos disponibles.
En consecuencia, resulta útil relacionar el conjunto de objetivos de una activi-
dad con los recursos disponibles para su realización. Una manera de liberar
recursos es plantearse qué objetivos por actividades no apoyan los objetivos
globales de empresa ni los procesos empresariales de la misma. Con frecuen-
cia, una función tendrá algún objetivo que ya no es relevante y que se mantie-
ne como continuidad de prácticas pasadas (por ejemplo, la generación de
informes mensuales no utilizados).
Otra forma de equilibrar objetivos y recursos consiste en identificar los
objetivos por actividad que son muy importantes o fundamentales para la
consecución de los objetivos globales de la entidad. No todos los objetivos
son iguales, por lo que algunas entidades establecen prioridades de objetivos.
Las entidades pueden considerar determinados objetivos por actividad como

fundamentales y supervisar de cerca las actividades relacionadas con dichos
objetivos. Esta noción refleja el concepto de los "factores críticos del éxito"
comentada anteriormente, es decir, los acontecimientos que deben producirse
o las condiciones que deben existir para que la entidad pueda alcanzar sus
objetivos.
La consecución de objetivos
Como ya se ha comentado, el establecer objetivos es un requisito previo
para un control interno eficaz. Los objetivos proporcionan las metas medibles
hacia las que la entidad se mueve al desarrollar sus actividades. Sin embargo,
aunque una entidad debería tener una seguridad razonable de que se cumplen
determinados objetivos, puede que éste no sea el caso respecto a todos los
objetivos.
Tal como se ha mencionado en el Capítulo 1, un sistema de control interno
eficaz deberá proporcionar una seguridad razonable de que se están cumplien-
do los objetivos relacionados con la información financiera. Asimismo, debe
haber una seguridad razonable de que se están cumpliendo los objetivos de
cumplimiento. Ambas categorías están basadas principalmente en ciertas nor-
mas externas establecidas independientemente de las metas de la entidad. La
consecución de estos objetivos está en gran medida bajo el control de la
misma.
Sin embargo, existe una diferencia en cuanto a los objetivos relacionados
con las operaciones. Primero, no están basados en pautas externas. Segundo,
una entidad puede desarrollar actividades según tenía planeado pero puede
verse superada por un competidor. Asimismo, puede verse sometida a aconte-
cimientos externos —un cambio de gobierno, condiciones climatológicas ad-
versas, etc.— que no puede controlar. Incluso puede que haya tenido en cuen-
ta algunos de estos acontecimientos en el proceso de establecer objetivos y los
haya considerado como de baja probabilidad habiendo desarrollado también
un plan de contingencias por si se producían. Sin embargo, un plan de este
tipo únicamente amortigua el impacto de los acontecimientos externos. No
garantiza la consecución de los objetivos. Unas operaciones adecuadas y co-
herentes con la meta de los objetivos no garantizan el éxito.
La meta del control interno en este área fundamentalmente se centra en el
desarrollo de objetivos y metas coherentes en toda la organización, la identi-
ficación de factores clave de éxito y la presentación oportuna a la dirección de
información sobre el rendimiento y expectativas del negocio. Aunque no se
puede garantizar el éxito, la dirección debe tener la seguridad razonable de
que se le advertirá en el caso de que exista peligro de que no vayan a conse-

guirse los objetivos.
Riesgos
La identificación y el análisis de los riesgos es un proceso interactivo
continuo y constituye un componente fundamental de un sistema de control
interno eficaz. La dirección debe examinar detalladamente los riesgos existen-
tes a todos los niveles de la empresa y tomar las medidas oportunas y gestio-
narlos.
Identificación de los riesgos

El rendimiento de una entidad puede verse amenazado tanto por factores
internos como externos. Dichos factores, a su vez, pueden repercutir tanto en
los objetivos explícitos como en los implícitos. El nivel de riesgo aumenta en
la medida en que los objetivos se distancien de las pautas de comportamiento
de la entidad en el pasado. A menudo, la entidad no fija objetivos explícitos
globales en algunas áreas del negocio, puesto que considera que su rendi-
miento es aceptable. Aunque posiblemente no exista un objetivo explícito o
escrito, en estos casos sí existe el objetivo implícito de "no cambiar", o de
"dejar las cosas como están". Esto no significa que un objetivo implícito no
conlleve un riesgo interno o externo. Por ejemplo, una entidad puede conside-
rar que la calidad de los servicios que presta es satisfactoria pero, debido a un
cambio de política de un competidor, sus clientes no tengan una percepción
tan favorable de sus servicios.
Independientemente de que el objetivo sea explícito o implícito, el proceso
de evaluación de riesgos de una entidad debería tener en cuenta los riesgos
que puedan surgir. Es esencial que todos los riesgos sean identificados. Deben
considerarse todas las interacciones significativas (referentes a bienes, servi-
cios e información) que se producen entre una entidad y los terceros. Dichos
terceros comprenden los suministradores, inversores, acreedores, accionistas,
empleados, clientes, compradores, intermediarios y competidores, tanto los
actuales como los potenciales, así como las instituciones públicas y los me-
dios de comunicación.
La identificación de los riesgos es un proceso iterativo y suele estar inte-
grada con el proceso de planificación. También es útil considerar los riesgos
"desde cero", en lugar simplemente de analizar su evolución a partir de un
análisis anterior.
A nivel de empresa. A nivel de la empresa, los riesgos pueden ser la conse-

cuencia tanto de factores externos como internos. A continuación se exponen
algunos ejemplos:
Factores externos
■ Los avances tecnológicos pueden influir en la naturaleza y la evolución de

los trabajos de investigación y desarrollo, o provocar cambios respecto a
los suministros.
■ Las necesidades o expectativas cambiantes de los clientes pueden influir
en el desarrollo de productos, el proceso de producción, el servicio al
cliente, la fijación de precios y las garantías.
■ La competencia puede provocar cambios de actividades de marketing o de
servicios.
■ Las nuevas normas y reglamentos a veces obligan a que se modifiquen las
políticas y las estrategias.
■ Los desastres naturales pueden causar alteraciones en los sistemas de ope-
raciones o de información, además de subrayar la necesidad de desarrollar
planes de emergencia.
■ Los cambios económicos pueden repercutir en las decisiones sobre finan-
ciación, inversiones y desarrollo.
Factores internos
■ Las averías en los sistemas informáticos pueden perjudicar las operaciones

de la entidad.
■ La calidad de los empleados y los métodos de formación y motivación
pueden influir en el nivel de concienciación sobre el control dentro de la
entidad.
■ Los cambios de responsabilidades de los directivos pueden afectar la for-
ma de realizar determinados controles.
■ La naturaleza de las actividades de la entidad, así como el nivel de acceso
del personal a los activos, pueden ser causas de apropiación indebida de
los recursos.
■ Un consejo de administración o un comité de auditoría débil o ineficaz
pueden dar lugar a que se produzcan indiscreciones.
Se han desarrollado muchas técnicas de identificación de riesgos. La ma-

yoría, sobre todo las desarrolladas por auditores internos y externos en el
momento de determinar el alcance de sus actividades, comprenden métodos
cualitativos o cuantitativos para identificar y establecer el orden de prioridad
de las actividades de alto riesgo. Adicionalmente se pueden destacar otras

prácticas, tales como la revisión periódica de los factores económicos y secto-
riales que afectan el negocio, las conferencias organizadas por la alta direc-
ción sobre la planificación empresarial o las reuniones con analistas especiali-
zados. Los riesgos pueden identificarse en relación con las previsiones a corto
y a largo plazo, y con la planificación estratégica. La entidad puede elegir un
método u otro para identificar los riesgos, pero no resulta especialmente im-
portante. Lo que sí es importante es que la dirección analice cuidadosamente
los factores que pueden contribuir a aumentar los riesgos. Algunos de los
factores que merecen tal análisis son: el incumplimiento de los objetivos en el
pasado, la calidad del personal, los cambios que repercutan en la entidad, tales
como los cambios de competidores, de normas, de personal, etc., la dispersión
geográfica de las actividades, particularmente cuando también las hay en el
extranjero; la importancia de una actividad específica para el conjunto de la
entidad, y la complejidad de una actividad concreta.
Consideremos, por ejemplo, el caso de un importador de ropa y calzado
que ha establecido el objetivo de convertirse en líder en el mercado de la alta
costura. Los riesgos identificados a nivel de entidad fueron los siguientes:
fuentes de suministros, incluyendo la calidad, el número y la estabilidad de los
fabricantes extranjeros, riesgos de fluctuaciones del tipo de cambio de las
divisas, retrasos en la recepción de mercancías y en las inspecciones de adua-
nas, disponibilidad y fiabilidad de las empresas de transporte y evolución de
sus costes, posibilidad de producirse situaciones de hostilidad en el plano
internacional y embargos comerciales y las presiones ejercidas por clientes e
inversores para boicotear el comercio con determinados países extranjeros
cuyos gobiernos adoptan políticas inaceptables para la comunidad internacio-
nal. Estos factores complementan la relación de riesgos genéricos de la activi-
dad tales como el impacto del posible empeoramiento de la situación econó-
mica, la aceptación de los productos por parte del mercado, la aparición de
nuevos competidores y los cambios en la normativa medioambiental o en
otras leyes aplicables.
La identificación de los factores externos e internos que contribuyen a que
aumente el riesgo a nivel de entidad resulta esencial para una evaluación
eficaz de los riesgos. Una vez identificados los factores más importantes, los
directivos pueden analizar su relevancia y, en la medida de lo posible, estable-
cer vínculos entre los factores de riesgo y las actividades del negocio.
A nivel de actividad. Además de identificar los riesgos a nivel de empresa,

éstos deben ser identificados para cada actividad de la empresa. El tratar los
riesgos a nivel de actividad ayuda a enfocar la evaluación de los riesgos en las
unidades o funciones más importantes del negocio, como ventas, producción,
marketing, desarrollo tecnológico, e investigación y desarrollo. La correcta

evaluación de los riesgos a nivel de actividad contribuye también a que se
mantenga un nivel aceptable de riesgo para el conjunto de la entidad.
En la mayoría de los casos, pueden identificarse numerosos riesgos para
cualquier objetivo, ya sea explícito o implícito. En un proceso de compra, por
ejemplo, una entidad puede tener un objetivo relacionado con el mantenimien-
to de un volumen adecuado de existencias de materias primas. Los riesgos de
no conseguir tal objetivo incluyen la posibilidad de que los productos recibi-
dos no cumplan determinadas especificaciones, o que no se reciban las canti-
dades necesarias, puntualmente y a un precio aceptable. Es posible que dichos
riesgos afecten la manera de comunicar a los proveedores las especificaciones
de los productos, así como en la exactitud de las previsiones de producción y
su utilización, en la identificación de fuentes de suministro alternativas y en
las prácticas de negociación.
Las posibles causas del incumplimiento de un objetivo van desde lo obvio
hasta lo inexplicable y los efectos de tal incumplimiento pueden resultar desde
muy relevantes a totalmente irrelevantes. Sin duda, deben identificarse los
riesgos obvios que afectan significativamente a la entidad. Para evitar que se
omita alguno de los riesgos relevantes, es mejor que se efectúe dicha
identificación independientemente de la evaluación de la posibilidad de que el
riesgo se materialice. Sin embargo, existen limitaciones prácticas sobre el
proceso de identificación y a veces resulta difícil determinar dónde deben
establecerse los límites. Tiene poco sentido considerar el riesgo de que un
meteorito caiga sobre una fábrica, mientras que puede ser razonable analizar
el riesgo de que se produzca la colisión de un avión en el caso de disponer de
instalaciones próximas a un aeropuerto.
Análisis de los riesgos

Después de que se hayan identificado los riesgos a nivel de la entidad y de
actividades, ha de llevarse a cabo un análisis de riesgos. Las metodologías de
análisis de riesgos pueden variar, principalmente porque muchos riesgos son
difíciles de cuantificar. Sin embargo, el proceso, que puede ser más o menos
formal, normalmente incluirá:
■ Una estimación de la importancia del riesgo.

■ Una evaluación de la probabilidad (o la frecuencia) de que se materialice
el riesgo.
■ Un análisis de cómo ha de gestionarse el riesgo; es decir, debe realizarse
una evaluación de las medidas que conviene adoptar.
Un riesgo que no tiene un efecto significativo en la entidad y cuya probabi-

lidad de materialización es baja generalmente no será motivo de preocupación.
En cambio, un riesgo importante y que es muy probable que se materialize,
normalmente requerirá un análisis profundo. Entre estos dos extremos, el análi-
sis de los riesgos es difícil y ha de efectuarse de forma racional y minuciosa.
Existen numerosos métodos para estimar el coste de una pérdida provoca-
da por un riesgo identificado. La dirección debe tener conocimiento de tales
métodos y aplicarlos cuando sea preciso. Sin embargo, la envergadura de
muchos riesgos no es fácil de precisar: en el mejor de los casos, pueden
clasificarse como "altos", "moderados" o "bajos".
Una vez analizadas la importancia y la probabilidad de un riesgo, la direc-
ción debe estudiar la mejor forma de gestionarlo. Para ello, ha de aplicar su
juicio en base a ciertas hipótesis acerca del riesgo, además de efectuar un
análisis de los costes en los que puede incurrir para reducir el riesgo. Las
acciones que pueden tomarse para reducir la importancia o la probabilidad de
que se materialice el riesgo incluyen numerosas decisiones de gestión corrien-
tes, que van desde la identificación de fuentes de suministro alternativas o la
ampliación de las líneas de productos, hasta la obtención de informes de
gestión más relevantes o la mejora de los programas de formación. A veces,
tales acciones pueden prácticamente eliminar el riesgo, o amortiguar su efecto
en el caso de producirse. Unos ejemplos de lo anterior son la integración
vertical para reducir el riesgo de problemas de aprovisionamiento, las opera-
ciones de cobertura contra riesgos financieros y la formalización de pólizas de
seguros que proporcionan una cobertura adecuada.
Hay que destacar que existe una diferencia entre el análisis de los riesgos,
que forma parte del control interno, y los planes, programas y acciones resul-
tantes que la dirección considere necesarios para afrontar dichos riesgos. Las
acciones efectuadas, tal y como se explica en el párrafo anterior, son una parte
clave del proceso más amplio de la gestión, pero no son un elemento del
sistema de control interno.
Paralelamente a las medidas adoptadas para gestionar el riesgo, existen los
procedimientos que permiten que la dirección efectúe el seguimiento de la
implantación y la eficacia de las acciones. Por ejemplo, una de las acciones
que una organización podría realizar para gestionar el riesgo de la pérdida de
servicios informáticos esenciales sería la formulación de un plan de emergen-
cia. Los procedimientos necesarios se establecerían posteriormente para ase-
gurar que el plan estuviera correctamente diseñado e implantado. Dichos pro-
cedimientos representarían "actividades de control", como las analizadas en el
Capítulo 4.
Antes de establecer unos procedimientos complementarios, la dirección
debe decidir si los procedimientos existentes son adecuados a la vista de los
riesgos identificados. En la medida en que unos procedimientos pueden satis-

facer diversos objetivos, la dirección de la empresa puede darse cuenta de que
la adopción de medidas complementarias no está justificada, siendo los
procedimientos existentes suficientes o debiendo, simplemente, ser aplicados
de forma más rigurosa.
Por otra parte, la dirección de la empresa debe tener en cuenta que siempre
habrá cierto nivel de riesgo residual, no sólo porque los recursos no son
ilimitados, sino por otras limitaciones inherentes a todo sistema de control
interno. Este punto será desarrollado en el Capítulo 7.
El análisis de los riesgos no es un ejercicio teórico; por el contrario, a
veces resulta esencial para que una empresa tenga éxito. Es más eficaz cuando
incluye la identificación de todos los procesos clave del negocio que conlle-
ven un riesgo importante. Podría también incluir el análisis de procesos, como
la identificación de interdependencias clave y los nudos de control importan-
tes, así como la definición de responsabilidades. El análisis de procesos eficaz
se centra especialmente en las relaciones de dependencia entre las distintas
áreas de la entidad, estudiando, por ejemplo, el origen de los datos, dónde se
archivan, cómo se convierten en información útil y quién utiliza esa informa-
ción. Normalmente, las grandes organizaciones han de prestar una atención
especial a las transacciones y relaciones de dependencia más importantes,
tanto dentro de la misma organización como entre las distintas entidades.
Tales procesos pueden verse afectados positivamente por los programas de
calidad que, gracias al interés del personal, pueden ser un elemento importante
de la contención de riesgos.
Por desgracia, a veces no se reconoce la importancia del análisis del riesgo
hasta que es demasiado tarde. Este es el caso de una importante empresa de
servicios financieros, uno de cuyos altos ejecutivos pronunció las siguientes
palabras, como si se tratase de un melancólico epílogo: "Simplemente, no
creíamos que estuviésemos afrontando un nivel tan importante de riesgo".
Gestión del cambio

Los cambios producidos en la economía, el sector de actividad, la
reglamentación y las actividades de las empresas hacen que un sistema de
control interno que se considera eficaz en un contexto determinado quizás no
lo será en otro. En el contexto del análisis de riesgos, resulta fundamental que
exista un proceso para identificar las condiciones que hayan cambiado y tomar
las acciones necesarias ante las mismas.
Así pues, todas las entidades necesitan tener un proceso, ya sea formal o
informal, que sirva para identificar las circunstancias que puedan afectar de
forma significativa su capacidad de conseguir sus objetivos. Como se expone

en el Capítulo 5, una parte clave de dicho proceso la constituyen los sistemas
de información, que captan, procesan y suministran información sobre los
acontecimientos, actividades y condiciones que indican la existencia de cam-
bios ante los cuales la entidad debe reaccionar. Esta información puede refe-
rirse a cambios en las preferencias de los clientes u otros factores que afectan
la demanda de los productos o servicios de la entidad. Alternativamente, pue-
de estar relacionada con las nuevas tecnologías vinculadas a los procesos de
producción u otras actividades empresariales, o con cambios surgidos en la
competencia, o la normativa. Si la entidad cuenta con los sistemas de informa-
ción necesarios, puede establecer el proceso oportuno para identificar los
cambios de circunstancias y responder ante ellos.
Dicho proceso se efectuará paralelamente, o pueden formar parte del pro-
ceso de evaluación de riesgos habitual de la entidad descrito antes. Supone la
identificación de la circunstancia que ha cambiado (lo que requiere disponer
de mecanismos capaces de identificar y comunicar los acontecimientos o acti-
vidades que influyen en los objetivos de la entidad) y el análisis de las oportu-
nidades o riesgos asociados. Tal análisis incluye la determinación de las posi-
bles causas de la consecución o no consecución de un objetivo, la evaluación
de la probabilidad de que tales causas se produzcan, la evaluación del posible
efecto sobre la consecución de los objetivos y la consideración de hasta qué
punto puede ser controlado dicho riesgo o puede ser aprovechada tal oportuni-
dad.
Aunque la gestión de los cambios es similar al proceso de evaluación de
riesgos habitual e incluso puede formar parte del mismo, ha de analizarse
independientemente, dada su gran importancia para un control interno eficaz y
porque puede pasar inadvertida fácilmente en el transcurso de la gestión dia-
ria.
Circunstancias que exigen una atención especial

La presente exposición de la gestión del cambio se fundamenta en la
premisa de que, debido a su impacto potencial, algunos factores deben ser
objeto de una atención especial. La medida en que tales circunstancias requie-
ran la atención de la dirección dependerá, evidentemente, de su impacto po-
tencial. Dichos factores son los siguientes:
■ Cambios en el entorno operacional.— Las modificaciones de la leyes o

del entorno económico pueden traducirse en un aumento de la competen-
cia y generar riesgos totalmente nuevos. La desinversión en el sector de
las telecomunicaciones y la liberalización de las tarifas de comisiones
practicadas por los agentes de cambio, por ejemplo, conllevan enormes

cambios en el entorno competitivo de las compañías.
■ Nuevos empleados.— Es posible que un nuevo ejecutivo no entienda la
cultura de la entidad, o que dedique toda su atención a la consecución de
resultados, dejando de lado las actividades de control. Un alto nivel de
rotación de personal, junto con la ausencia de sistemas eficaces de forma-
ción y de supervisión, pueden ser la causa de incidencias o problemas de
control.
■ Sistemas de información nuevos o modernizados.— Normalmente unos
controles que son eficaces dejan de serlo ante el desarrollo de nuevos
sistemas, particularmente si esto ocurre en unos plazos excepcionalmente
breves (por ejemplo, con la intención de obtener una ventaja competitiva o
de realizar un movimiento táctico).
■ Crecimiento rápido.— Cuando el volumen de operaciones de la entidad
aumenta rápida y significativamente, es posible que los sistemas existentes
se vean sometidos a una presión tan grande que los controles dejen de
funcionar. De la misma manera, si se producen cambios en los equipos
responsables del tratamiento de datos o se refuerza el personal de adminis-
tración, puede que los supervisores existentes sean incapaces de mantener
un nivel adecuado de control.
■ Nuevas tecnologías.— Cuando se incorporan nuevas tecnologías en los
procesos de producción o en los sistemas de información, es probable que
resulte necesario modificar los controles internos. Por ejemplo, en las
tecnologías de fabricación en las que se utiliza el sistema "just in time" de
control de existencias, habitualmente es necesario modificar los sistemas
de costes y los correspondientes controles para asegurar que el contenido
de los informes financieros resulta apropiado y pertinente.
■ Nuevas gamas, nuevos productos y nuevas actividades.— Cuando una
entidad establece nuevas líneas de negocio o realiza operaciones con las
que no está familiarizada, es posible que los controles existentes no sean
adecuados. Las cajas de ahorro americanas, por ejemplo, se aventuraron
en nuevas actividades de inversión y de crédito en las que apenas tenían
experiencia, sin plantearse cómo iban a controlar los riesgos resultantes de
dichas actividades.
■ Reestructuraciones internas.— Las reestructuraciones (que resultan, por
ejemplo, de un "leverage buy out 4 " , de una disminución acusada de la
actividad o de un programa de reducción de costes) pueden venir acompa-
4
Se mantiene el término en inglés por ser de uso corriente en el mundo de los negocios. En general se entiende
por "leverage buy out" la compra apalancada de empresas (financiada por créditos garantizados por los activos de la
misma). (N. del T.)
nadas de reducciones de personal, así como de una supervisión y una

segregación de funciones inadecuadas. Asimismo, puede que se elimine
un puesto de trabajo cuyo ocupante desempeñaba una función de control
clave, sin que se establezca el control compensatorio oportuno. Muchas
empresas se dan cuenta demasiado tarde de que han reducido sus plantillas
rápidamente de modo significativo, sin considerar adecuadamente las im-
plicaciones de tales reducciones en términos de control.
■ Actividades en el extranjero.— El incremento de las actividades llevadas

a cabo en el extranjero, o la adquisición de negocios extranjeros, conlle-
van nuevos riesgos, a veces únicos por su naturaleza, que han de ser
abordados por la dirección. Por ejemplo, es probable que el entorno de
control esté influido por la cultura y las costumbres de la dirección local.
Asimismo, determinados riesgos pueden ser consecuencia de factores es-
pecíficos como la economía y la legislación locales. Es posible también
que las vías de comunicación y los sistemas de información no estén bien
establecidos y abiertos a todos los empleados.
Mecanismos
Deben existir mecanismos para identificar los cambios ocurridos, o
susceptibles de ocurrir a corto plazo, en cualquier contexto (real o potencial).
No es necesario que tales mecanismos sean muy complejos, y suelen ser más
bien informales en las empresas pequeñas. Consideremos el caso de un empre-
sario de una pequeña sociedad dedicada a la fabricación de máquinas de
serigrafía que se reúne cada mes con los responsables de ventas, finanzas,
compras, fabricación e ingeniería. En el transcurso de una reunión de varias
horas, hablan de temas relativos a la tecnología, a la actuación de sus competi-
dores y de las nuevas exigencias de sus clientes. Se analizan los riesgos y las
oportunidades, y a continuación formulan planes de acción para cada activi-
dad. Dichos planes comienzan a implantarse inmediatamente, y el empresario
realiza un seguimiento de los mismos, mediante visitas a cada actividad du-
rante los siguientes meses para comprobar por sí mismo el desarrollo de la
implantación de los planes y para averiguar si se están abordando correcta-
mente los cambios que se han producido en el mercado.
Visión de futuro
En la medida de lo posible, los referidos mecanismos deben estar orienta-
dos hacia el futuro, de manera que la entidad pueda prever los cambios
significativos y elaborar los planes correspondientes. Deben establecerse unos
"sistemas de alarma" que permitan identificar indicios de la existencia de
nuevos riesgos. Por ejemplo, un banco comercial ha constituido un comité

multidisciplinario encargado de analizar riesgos que puede generar el desarro-
llo de nuevos productos. Asimismo, hacen falta unos mecanismos para la
rápida detección de las oportunidades que surjan de un entorno en evolución.
Los bancos que detectaron en su día las nuevas necesidades de sus clientes de
disponer de servicios bancarios fuera del horario habitual y la buena acogida
de los sistemas informáticos interactivos por parte de sus clientes consiguie-
ron incrementar de forma importante sus cuotas de mercado mediante la insta-
lación y la eficaz comercialización de redes de cajeros automáticos de fácil
utilización.
Evidentemente, cuanto más rápida sea la detección de los cambios que
conllevan riesgos u oportunidades, mayor será la probabilidad de que puedan
tomarse medidas para abordarlos eficazmente. No obstante, al igual que en el
caso de los otros mecanismos de control, los gastos correspondientes no pue-
den ignorarse. Ninguna entidad dispone de recursos suficientes para obtener y
analizar a fondo toda la información acerca de las múltiples circunstancias
cambiantes que pueden afectarla. Además, puesto que nadie tiene una bola de
cristal que le permita prever el futuro, ni siquiera en el caso de disponer de la
información relevante más actualizada, existirían garantías de que puedan pre-
verse con precisión los acontecimientos futuros y sus consecuencias. A menu-
do resulta difícil saber si una información que parece valiosa constituye el
comienzo de una tendencia importante o simplemente refleja una situación
anómala.
Por lo tanto, han de implantarse unos mecanismos suficientes para prever
los cambios que puedan afectar a la entidad y para ayudar a evitar posibles
problemas y aprovechar las oportunidades futuras. Nadie es capaz de prever el
futuro, pero cuanto más acertadas sean las previsiones de la entidad sobre los
cambios potenciales y sus efectos, menores serán las sorpresas desagradables.

El proceso de evaluación de riesgos suele ser menos formal y menos
estructurado en las empresas pequeñas que en las grandes, pero los conceptos
básicos de este componente del control interno deben estar presentes en todas
las entidades, independientemente de su tamaño. Una empresa pequeña debe-
ría tener unos objetivos establecidos, aunque es posible que se expresen de
forma implícita más que de forma explícita. Dado que las empresas pequeñas
suelen ser más centralizadas y cuentan con un número más reducido de nive-
les de gestión, los objetivos pueden comunicarse fácil y eficazmente a los
niveles de gestión inferiores, de forma más directa y continuada. Asimismo,
los vínculos que existen entre los objetivos a nivel global y los relacionados
con cada actividad normalmente son claros y directos.
La identificación y el análisis de los riesgos que pueden impedir que se
consigan los objetivos a menudo implican la obtención directa por parte de la
dirección de información facilitada por empleados o terceros. Un empresario
puede obtener información acerca de los riesgos provocados por factores ex-
ternos mediante el contacto directo con clientes, proveedores, bancos, aboga-
dos, auditores independientes y otros terceros. El director general también
puede enterarse de los riegos que surgen de factores internos a través del
contacto directo con empleados de todos los niveles de responsabilidad. La
evaluación de riesgos en las empresas pequeñas puede resultar especialmente
eficaz, debido a que la profunda involucración del director general y de otros
directivos importantes hace que los riesgos sean evaluados por personas que
disponen de la información relevante y que tienen capacidad de comprender
correctamente las implicaciones de dichos riesgos.
Los mecanismos que existen en las empresas pequeñas para gestionar los
riesgos corrientes, así como los que resultan de circunstancias menos habitua-
les (por ejemplo, nueva normativa, ralentización económica o desarrollo de
una línea de productos), pueden ser muy informales pero eficaces. Las reunio-
nes informales entre el director general y los responsables de los distintos
departamentos y personas ajenas a la entidad, que proporcionen información
que resulta útil para identificar los riesgos, también puede constituir un foro
para analizar dichos riesgos y tomar decisiones sobre la mejor forma de abor-
darlos. Es posible formular planes de acción con rapidez, con la participación
de pocas personas. Asimismo, la implantación puede efectuarse inmedia-
tamente, mientras el director general o los directivos más importantes visitan
los departamentos afectados o hablan con los clientes o proveedores cuyas
necesidades están siendo atendidas. Posteriormente, pueden efectuar los se-
guimientos oportunos para asegurar que se toman las acciones adecuadas.
Evaluación
El evaluador ha de concentrarse en el proceso por parte de la dirección, de
fijación de objetivos, de análisis de los riesgos y gestión de cambios, inclu-
yendo sus vinculaciones y su relevancia para las actividades del negocio. Se
ofrece a continuación una lista de factores que la persona encargada de la
evaluación puede tener en cuenta. No es exhaustiva y no todos los factores
resultarán aplicables a todas las empresas; sin embargo, puede servir como
punto de partida.
Objetivos globales
■ Hasta qué punto los objetivos de la empresa expresan clara y completa-

mente lo que la entidad desea conseguir y la forma en que prevé conse-
guirlo teniendo en cuenta sus particularidades.
■ La eficacia con que los objetivos globales de la entidad se comunican al
personal y al consejo de administración.
■ Vinculación y coherencia de las estrategias con los objetivos globales de
la entidad.
■ Coherencia de los planes de negocios y presupuestos con los objetivos de
la entidad, los planes estratégicos y las circunstancias.
Objetivos asignados a cada actividad
■ Conexión de los objetivos asignados a cada actividad con los objetivos

globales y planes estratégicos de la entidad.
■ Coherencia entre los objetivos asignados a cada actividad.
■ Relevancia de dichos objetivos para todos los procesos empresariales im-
portantes.
■ Características específicas de los objetivos asignados a cada actividad en
relación con las características de la misma.
■ Idoneidad de los recursos en relación con los objetivos.
■ Identificación de los objetivos de cada actividad que son importantes (fac-
tores críticos del éxito) para la consecución de los objetivos generales.
■ Participación en la determinación de objetivos de los empleados que ocu-
pan puestos de responsabilidad a todos los niveles, y grado de compromiso
con la consecución de los mismos.
Riesgos
■ Idoneidad de los mecanismos para identificar los riesgos externos.

■ Idoneidad de los mecanismos para identificar los riesgos de origen interno.
■ Identificación de todos los riesgos importantes que pueden impactar sobre
cada objetivo relevante establecido para las distintas actividades.
■ Integridad y relevancia del proceso de análisis de los riesgos, incluyendo
la estimación de la importancia de los riesgos, la probabilidad de que se
materialicen y la determinación de las acciones oportunas.
Gestión del cambio
■ Existencia de mecanismos para prever, identificar y reaccionar ante los

acontecimientos y actividades rutinarios que influyen en la consecución de
los objetivos globales o específicos (normalmente establecidos por los
responsables de las actividades que se verían más perjudicadas por tales
cambios).
■ Existencia de mecanismos para identificar y reaccionar ante los cambios
que pueden afectar a la entidad de una forma más dramática y duradera, y
que pueden requerir la intervención de la alta dirección.
4
Actividades de control
Resumen del capítulo: Las actividades de control consisten en las políticas

y los procedimientos que tienden a asegurar que se cumplen las directrices de
la dirección. También tienden a asegurar que se toman las medidas necesa-
rias para afrontar los riesgos que ponen en peligro la consecución de los
objetivos de la entidad. Las actividades de control se llevan a cabo en cual-
quier parte de la organización, en todos sus niveles y en todas sus funciones y
comprenden una serie de actividades tan diferentes como pueden ser aproba-
ciones y autorizaciones, verificaciones, conciliaciones, el análisis de los re-
sultados de las operaciones, la salvaguarda de activos y la segregación de
funciones.
Las actividades de control son las normas y procedimientos (que constitu-

yen las acciones necesarias para implementar las políticas) que pretenden
asegurar que se cumplen las directrices que la dirección ha establecido con el
fin de controlar los riesgos. Las actividades de control pueden dividirse en tres
categorías, según el tipo de objetivo de la entidad con el que están relaciona-
das: las operaciones, la fiabilidad de la información financiera o el cumpli-
miento de la legislación aplicable.
Aunque algunos tipos de control están relacionados solamente con un área
específica, con frecuencia afectan a diversas áreas. Dependiendo de las cir-
cunstancias, una determinada actividad de control puede ayudar a alcanzar
objetivos de la entidad que corresponden a diversas categorías. De este modo,
los controles operacionales también pueden contribuir a la fiabilidad de la
información financiera, los controles sobre la fiabilidad de la información
financiera pueden contribuir al cumplimiento de la legislación aplicable, y así,

sucesivamente.
He aquí un ejemplo de lo anterior: el jefe de ventas de una empresa
distribuidora de piezas de recambio recibe diariamente informes "relámpago"
de los jefes de zona para estar al corriente de la venta de determinados pro-
ductos y de la distribución geográfica. El jefe de ventas compara esta informa-
ción con las cifras de venta y con las comisiones de los vendedores registradas
en los libros. Por lo tanto, esta actividad de control permite satisfacer objeti-
vos relacionados con las operaciones y también con la fiabilidad de la infor-
mación financiera. Otro ejemplo puede ser una cadena de venta al por menor
en la que las notas de abono correspondientes a las devoluciones se controlan
a través de la secuencia numérica de los documentos y se resumen con el
objeto de aportar la necesaria información financiera. Este resumen también
proporciona un análisis por producto que puede ayudar al jefe de compras de
materiales en sus decisiones futuras de compra así como apoyar el control de
stocks. En este caso, las actividades de control que se realizan principalmente
a los efectos de la elaboración de información financiera, también contribuyen
a la consecución de los objetivos relacionados con las operaciones.
Aunque las categorías anteriormente mencionadas son útiles a la hora de
analizar el control interno, la categoría a la que pertenece un tipo de control,
no es tan importante como la función que desempeña dicho control en la
consecución de los objetivos de una actividad determinada.
Tipos de actividades de control

Existen muchas descripciones de tipos de actividades de control, que in-
cluyen desde controles preventivos a controles detectivos, controles manuales,
controles informáticos y controles de dirección. La categoría de una actividad
de control puede venir determinada por los objetivos de control, a los que
corresponde, como, por ejemplo, el asegurar la totalidad y exactitud del proce-
so de datos. Las actividades de control que a continuación se exponen general-
mente son llevadas a cabo por el personal a todos los niveles de una organiza-
ción. Esta presentación pretende mostrar la gama y la variedad de las
actividades de control y no proponer una clasificación específica.
■ Análisis efectuados por la dirección.— Los resultados obtenidos se anali-

zan comparándolos con los presupuestos, las previsiones, los resultados de
ejercicios anteriores y de los competidores. Con el fin de evaluar en qué
medida se están alcanzando los objetivos, la dirección realiza un segui-
miento de las iniciativas principales como campañas comerciales, progra-
ACTIVIDADES DE CONTROL 69
mas de mejora de los procesos de producción, programas de contención o

reducción de costes. También se efectúa un seguimiento de la puesta en
marcha de planes de desarrollo de nuevos productos, de creación de "joint
ventures" (sociedades de riesgo compartido) o de financiación. Las accio-
nes de la dirección relacionadas con el análisis y el seguimiento de dicha
información representan actividades de control.
■ Gestión directa de funciones por actividades.— Los responsables de las
diversas funciones o actividades revisan los informes sobre resultados al-
canzados. En el seno de un banco, por ejemplo, el responsable de los
préstamos para consumo analiza los informes obtenidos por sucursal, re-
gión y tipo de préstamo, verifica los resúmenes, identifica las tendencias y
relaciona los resultados con las estadísticas económicas y los objetivos.
Los directores de las sucursales, a su vez, reciben información sobre los
nuevos préstamos, distribuidos por responsable encargado y por segmento
del mercado. Los directores de sucursal también se preocupan del cumpli-
miento de la legislación, mediante el análisis, por ejemplo, de los informes
requeridos por los organismos de control para los nuevos depósitos que
superen un importe determinado. Los flujos de caja diarios se concilian
con las posiciones netas comunicadas a la oficina central con el objeto de
que éstas pueden efectuar las transferencias e inversiones oportunas.
■ Proceso de información.— Se realiza una serie de controles para compro-
bar la exactitud, totalidad y autorización de las transacciones. Los datos
introducidos en el ordenador se comprueban a través del punteo manual de
las ediciones o por comparación automática con los ficheros de control
aprobados. Por ejemplo, el pedido de un cliente no se acepta hasta después
de su comprobación a través del archivo de clientes y de límite de crédito
aprobados. Se controla la secuencia numérica de las transacciones, los
importes totales de los ficheros se comparan y se concilian con los saldos
anteriores y con las cuentas de control. Las anomalías que requieren un
seguimiento son analizadas por personal administrativo y son transmitidas
a los responsables cuando resulta necesario. Se controla el desarrollo de
nuevos sistemas y la modificación de los existentes, al igual que el acceso
a los datos, archivos y programas informáticos. Los controles relativos al
proceso de información se abordan en mayor detalle más adelante.
■ Controles físicos.— Los equipos de fabricación, las inversiones financie-
ras, la tesorería y otros activos son objeto de protección y periódicamente
se someten a recuentos físicos cuyos resultados se comparan con las cifras
que figuran en los registros de control.
■ Indicadores de rendimiento.— El análisis combinado de diferentes con-
juntos de datos (operativos o financieros) junto con la puesta en marcha de
acciones correctivas, constituyen actividades de control. Los indicadores
de rendimiento incluyen, por ejemplo, las fluctuaciones de los precios de

compra, el porcentaje de pedidos urgentes y la proporción de devoluciones
sobre el total de pedidos: mediante la investigación de los resultados ines-
perados o las tendencias anormales, la dirección identifica las circunstan-
cias en las que existe el peligro de que no se consigan objetivos relativos
al suministro de materiales. Si esta información se utiliza sólo como so-
porte a la toma de decisiones operacional, el análisis de los indicadores de
rendimiento actúa, exclusivamente, como un control relativo a las opera-
ciones. Si, por el contrario, dicha información también se utiliza para el
seguimiento de resultados inesperados procedentes del sistema de infor-
mación financiera, el análisis de indicadores de rendimiento también con-
tribuye al control relativo a la información financiera
■ Segregación de funciones.— Con el fin de reducir el riesgo de que se
cometan errores o irregularidades, las tareas se reparten entre los emplea-
dos. Así, por ejemplo, se separan las responsabilidades de autorizar trans-
acciones, de registrarlas y de gestionar los activos correspondientes. La
persona que autoriza ventas a crédito no será responsable de los registros
contables de la cuenta de clientes o de gestionar los ingresos en efectivo.
De la misma manera, los vendedores no pueden modificar el fichero de
precios de venta ni el de porcentajes de las comisiones.
Éstos son solamente algunos ejemplos de los múltiples procedimientos

que, aplicados de forma cotidiana en las empresas, permiten que se refuerce el
cumplimiento de los planes de acción establecidos y que se mantengan sus
organizaciones en el camino adecuado para la consecución de sus objetivos.
Políticas y procedimientos. Las actividades de control generalmente se apo-

yan en dos elementos: las políticas que determinan lo que debería hacerse
(constituyen la base del segundo elemento) y los procedimientos necesarios
para llevar a cabo las políticas. En una sociedad de valores, por ejemplo, se
podría prever que el responsable de clientes en general o de grupos de clientes
efectúe una revisión de las transacciones con clientes. El procedimiento con-
sistirá en realizar en tiempo oportuno el análisis, haciendo hincapié en facto-
res tales como el tipo y el volumen de los valores negociados y su relación
con el patrimonio neto y la antigüedad del cliente.
A menudo las políticas se comunican verbalmente. Las políticas pueden
ser eficaces aunque no estén escritas en situaciones donde las políticas hacen
referencia a prácticas muy asimiladas y conocidas y en pequeñas empresas
donde las vías de comunicación sólo implican un número limitado de respon-
sables, lo cual facilita la interacción y supervisión del personal. Con inde-
pendencia de que una política se establezca o no por escrito, hay que implan-
tarla de forma seria, concienzuda y coherente. Un procedimiento no será útil

si se lleva a cabo de forma mecánica, sin concentrarse en el objetivo por el
que se ha establecido la política.
Asimismo, es importante que las condiciones identificadas como resultado
de la aplicación de los procedimientos se investiguen y que se lleven a cabo
las acciones correctivas apropiadas. Las acciones de seguimiento pueden va-
riar según el tamaño y la estructura organizativa de la empresa. Van desde un
proceso de informes formales en grandes empresas (donde las unidades de la
empresa justifican por qué no fueron alcanzados los objetivos y cuáles son las
acciones que hay que adoptar para evitar que se repita el error) hasta el caso
de un empresario que se acerca al director de la fábrica para discutir con él
qué es lo que ha salido mal y qué es lo que hay que hacer.
Integración de las actividades de control

con la evaluación de riesgos
De forma paralela a la evaluación de los riesgos, la dirección debería
establecer y aplicar el plan de acción necesario para afrontarlos. Una vez
identificadas, estas acciones también serán útiles para definir las operaciones
de control que se aplicarán para garantizar su ejecución de forma correcta, y
en el tiempo deseado.
Por ejemplo: una compañía estableció como objetivo "alcanzar o superar
los objetivos de ventas". Los riesgos identificados incluyeron un conocimien-
to insuficiente de las necesidades de los clientes actuales o futuros. Las accio-
nes de la dirección para afrontar el riesgo incluyeron, entre otros, la recopila-
ción de información histórica sobre el comportamiento de los clientes y el
desarrollo de nuevos estudios de mercado. Estas acciones sirven también para
el desarrollo de actividades de control.
Las actividades de control forman una parte esencial del proceso mediante
el cual una empresa intenta lograr sus objetivos de explotación. Las activida-
des de control no son un fin en sí mismas, ni tampoco deben existir simple-
mente porque parece que "es lo que hay que hacer". Siguiendo con el ejemplo
anterior, la dirección tiene que tomar medidas para asegurar que se alcanzan
los objetivos de venta. Las actividades de control sirven como mecanismos
para asegurar el cumplimiento del objetivo. Tales actividades podrían incluir
tanto el seguimiento del desarrollo de las ventas por cliente comparándolo con
el calendario previsto como las medidas adoptadas para garantizar la exactitud
de la información obtenida. En este sentido, el control es un elemento integra-
do en el proceso de gestión.
Controles sobre los sistemas de información

Los sistemas de información, que desempeñan un papel fundamental en la
gestión de las empresas, deben necesariamente estar controlados, con inde-
pendencia de su tamaño o de que las informaciones obtenidas sean de natura-
leza financiera, relativo a las actividades o referente a la reglamentación.
La mayoría de las empresas, inclusive las pequeñas o las divisiones de las
grandes compañías, utilizan sistemas informáticos para generar información.
Por lo tanto, el siguiente análisis se ocupa de sistemas de información que
incluyen tanto elementos manuales como informatizados. Para los sistemas de
información que son estrictamente manuales se utilizan otro tipo de controles,
aunque se basan en los mismos conceptos.
Las actividades de control en los sistemas de información pueden agrupar-
se en dos categorías. La primera abarca los controles generales1, que son
aplicables a muchas o todas las operaciones y que ayudan a asegurar su co-
rrecto funcionamiento. La segunda categoría comprende controles de aplica-
ción que incluyen los procedimientos programados en el seno de las aplicacio-
nes y los procedimientos manuales asociados para asegurar el control del
proceso de los diversos tipos de transacciones. Juntos, estos controles sirven
para asegurar la totalidad, exactitud y autorización de la información financie-
ra y otra información almacenada en el sistema.
Controles generales
Los controles generales habitualmente incluyen controles sobre las opera-
ciones del centro de proceso de datos, la adquisición y mantenimiento de
software, el control de acceso y el desarrollo y mantenimiento de las aplica-
ciones. Estos controles son aplicables a todos los sistemas, tanto si se trata de
ordenadores centrales, como miniordenadores o del entorno del usuario.
Controles sobre las operaciones del centro de proceso de datos. Éstos

incluyen la organización y la planificación de trabajos, las intervenciones del
operador, los procesos de salvaguarda y de recuperación de datos, así como
los planes de emergencia. En un entorno sofisticado, estos controles también
incluyen la planificación de la capacidad productiva y la distribución y el uso
de los recursos. En un entorno de tecnología punta, la planificación de traba-
jos se efectúa de forma automática, pero el operador puede intervenir en todo
1
La terminología utilizada en la literatura actual es variada. Estos controles se denominan a veces controles
globales informáticos, controles globales o controles de la tecnología de la información. El termino "controles
generales" se utiliza por comodidad.
momento. Las herramientas de la gestión de almacenamiento de datos cargan

automáticamente los archivos en dispositivos de alta velocidad, en previsión
del trabajo siguiente. El supervisor de los turnos ya no tiene que inicializar el
log de consola manualmente, porque éste no se imprime, sino que se mantiene
en el sistema. Cientos de mensajes pasan cada segundo por una consola inte-
grada que soporta múltiples unidades centrales. Los miniordenadores trabajan
toda la noche sin personal.
Controles sobre el software. Éstos incluyen los controles sobre la adquisi-

ción, la implantación y el mantenimiento del software necesario para el fun-
cionamiento del conjunto del sistema y la ejecución de las aplicaciones: siste-
mas de explotación, sistemas de gestión de bases de datos, software de
telecomunicaciones, de seguridad y utilidades. Como centro neurálgico del
sistema el software de sistemas también comprende funciones de acceso y de
utilización de los recursos. El software de sistemas puede facilitar informa-
ción sobre la utilización que hacen los usuarios, de modo que si alguien
accede a una posición de responsabilidad que le permite alterar los datos, este
hecho al menos queda registrado para su revisión.
Controles sobre la seguridad de acceso. La importancia de estos controles

es cada vez mayor debido al crecimiento de las redes de telecomunicaciones.
Los usuarios del sistema pueden estar al otro lado del mundo o en el despacho
anexo. Si son eficaces, los controles sobre la seguridad de acceso permiten
proteger el sistema contra el acceso y el uso no autorizados. Si están bien
diseñados, estos controles pueden prevenir la piratería informática.
La prevención del acceso no autorizado se puede conseguir a través de
actividades de control adecuadas, como por ejemplo el cambio frecuente de
los códigos de acceso o la implantación de un sistema de rellamada (en el que
el sistema llama al usuario potencial a un código autorizado en vez de permitir
el acceso directo al sistema). Los controles de acceso limitan el acceso de los
usuarios autorizados a las aplicaciones o funciones que necesitan para su
trabajo, contribuyendo a la segregación de funciones. Deberían efectuarse
revisiones periódicamente y cada vez que se considere oportuno de los perfi-
les de usuarios que permiten o restringen el acceso a los programas. En efecto,
los ex-empleados y los empleados conflictivos pueden ser más peligrosos para
el sistema que los piratas informáticos; los passwords de acceso y los perfiles
de usuario de ex-empleados antiguos deberían eliminarse de inmediato. La
integridad de los datos y programas se protege a través de la restricción de la
utilización del sistema a personas no autorizadas.
Controles sobre el desarrollo y mantenimiento de las aplicaciones. En la

mayoría de las organizaciones, el desarrollo y el mantenimiento de las aplica-
ciones suelen generar unos costes elevados. Los costes incurridos en recursos
para los sistemas de información gerencial, el tiempo necesario, la formación
del personal que realiza estas tareas y el hardware y software necesarios
representan unas inversiones considerables. Con el fin de ejercer un control
sobre estos costes, muchas entidades han puesto en marcha algún tipo de
metodología para el desarrollo de aplicaciones que permite ejercer un control
los proyectos de desarrollo o de mantenimiento proporcionando una estructura
para el diseño y la implementación de sistemas de información, poniendo
especial énfasis en las fases específicas, las necesidades de documentación,
las aprobaciones y las comprobaciones necesarias sobre el estado de avance
de los distintos proyectos. La metodología debe proporcionar un control apro-
piado de las modificaciones introducidas en el sistema: el procedimiento de
solicitud de aprobación del proyecto de modificaciones, análisis de las mis-
mas, las aprobaciones, la verificación de los resultados y los protocolos de
puesta en marcha permitirán asegurar que las modificaciones se introducen
correctamente.
Una alternativa al desarrollo de programas por parte de la propia empresa
consiste en la utilización de paquetes estándar, lo cual es la opción que más se
viene utilizando últimamente. Los proveedores ofrecen sistemas flexibles e
integrados que, gracias a la parametrización, permiten la adaptación a las
necesidades específicas de la empresa. Muchas metodologías de desarrollo de
sistemas consideran la adquisición de paquetes estándar como una solución
alternativa al desarrollo interno, e incorporan los procedimientos de control
oportunos sobre los procesos de selección e implantación.
Controles de aplicación
Los controles de aplicación, como su nombre indica, están diseñados para
controlar el funcionamiento de las aplicaciones. Permiten asegurar la totalidad
y exactitud en el proceso de transacciones, su autorización y su validez. Hay
que prestar especial atención a las "interfaces" de las aplicaciones, ya que, a
menudo, están conectadas con otros sistemas que, a su vez, requieren contro-
les para asegurar que se procesan todos los datos y que todas las salidas de
datos se distribuyen adecuadamente.
Una de las contribuciones más importantes de los ordenadores a los siste-
mas de control es su capacidad de evitar que se introduzcan errores en el
sistema, además de detectarlos y corregirlos una vez dentro. Muchos controles
de aplicación dependen de comprobaciones de edición informatizadas, que
consisten en comprobaciones de formato, existencia, razonabilidad de datos y
otras comprobaciones que se incorporan en cada aplicación durante su des-

arrollo. Si estas comprobaciones están diseñadas correctamente, pueden ayu-
dar a controlar los datos que se introduzcan en el sistema.
Relación entre controles generales y controles de aplicación

Estas dos categorías de control de los sistemas informáticos están relacio-
nadas entre sí: los controles generales son necesarios para asegurar el funcio-
namiento adecuado de los controles de aplicación que dependen de los proce-
sos informáticos.
Por ejemplo, mediante los controles de aplicación se pueden examinar,
cotejar y editar los datos en el momento de ser introducidos. Estos controles
proporcionan información al instante cuando algo no cuadra o tiene un forma-
to equivocado, para que puedan efectuarse de inmediato las correcciones co-
rrespondientes. Asimismo, generan mensajes en la pantalla que indican dónde
se halla el error en los datos y hacen informes de excepciones para su segui-
miento.
Si los controles generales son inadecuados, no es posible apoyarse en los
controles de aplicación que suponen que el sistema propiamente dicho funcio-
na correctamente: comprobación con el fichero adecuado, proporcionar men-
sajes de error identificando adecuadamente los problemas o generar informes
de excepciones sin omisiones.
Otro ejemplo del equilibrio que se necesita entre los controles generales y
los de aplicación es el control de totalidad, que se utiliza con frecuencia para
ciertos tipos de transacciones en las que se utilizan documentos prenumerados
(suele tratarse de documentos internos, como los pedidos de compra). En base
a dicho control las transacciones duplicadas son identificadas como tal o re-
chazadas por el sistema. Para llevar a cabo este control, según el diseño
elegido, el sistema rechazará las partidas anómalas o las mantendrá en suspen-
so al mismo tiempo que se facilita a los usuarios informes sobre los números
que falten, las partidas duplicadas así como las partidas cuyas características
excedan los límites de los parámetros preestablecidos. ¿Pero, responde el sis-
tema a estas necesidades? ¿Cómo sabe la persona que debe fiarse del conteni-
do del informe? ¿Todas las partidas que deberían incluirse en el informe
realmente figuran en él?, y a la inversa ¿todas las partidas que figuran en el
informe son las que deberían figurar en el mismo?
La respuesta viene dada por los controles generales. Los controles efectua-
dos durante el desarrollo del sistema, que requiere revisiones detalladas y
pruebas de funcionamiento de las aplicaciones, permiten comprobar que la
lógica del programa que genera el informe es correcta y que todas las excep-
ciones serán identificadas adecuadamente. Una vez se ha instalado la aplica-
ción, los controles de acceso y de mantenimiento aseguran que nadie pueda

entrar en las aplicaciones y modificarlas sin la debida autorización y, por
contra, que las modificaciones necesarias y debidamente autorizadas se han
efectuado realmente. Los controles de operaciones del centro de proceso de
datos y los controles del software de sistemas aseguran que se utilizan los
archivos adecuados y que se actualizan correctamente.
La relación entre los controles de aplicación y los controles generales
consiste en que éstos son indispensables para el funcionamiento de los contro-
les de aplicación, y que ambos son necesarios para garantizar el proceso
completo y correcto de la información.
Evolución de las tecnologías

Toda reflexión referente a la aparición de nuevas tecnologías suscita inte-
rrogantes en términos de control. Estas tecnologías que engloban herramientas
de desarrollo tipo CASE ("Computer Assisted Software Engineering", des-
arrollo de software asistido por ordenador), la concepción de prototipos para
crear nuevos sistemas, el proceso de la imagen y el intercambio electrónico de
datos desempeñan un papel importante sobre la forma en que se aplican los
controles aunque sin cambiar los requisitos básicos. A título de ejemplo, en el
ámbito de los ordenadores personales, la existencia de microordenadores cada
vez más potentes y miniordenadores cada vez más baratos permite una mejor
distribución de los datos y un incremento de la potencia. Los departamentos y
las unidades operacionales pueden de esta forma generar sus propios procesos
con el soporte de una red local autónoma poco costosa. Se trata de aplicacio-
nes desarrolladas por los usuarios más que de software resultante de un proce-
so centralizado.
Para asegurar los controles necesarios al nivel de la informática indivi-
dual, se deben establecer y aplicar al nivel de la organización normas para el
desarrollo, el mantenimiento y la explotación de las aplicaciones. El entorno
informático individual debe regirse por el mismo nivel de control que un
entorno informático tradicional organizado alrededor de un sistema central.
La inteligencia artificial o los sistemas expertos son tecnologías en pleno
crecimiento. En el futuro, dado que estos sistemas estarán integrados en mu-
chas aplicaciones (independientemente de si fueron desarrolladas por el depar-
tamento de proceso de datos o por usuarios finales, o si fueron adquiridas a
terceros) lo esencial será decidir cuáles son las mejor adaptadas, qué herra-
mienta deberá utilizarse y cómo controlar su desarrollo. Muchos piensan que
estos sistemas al final se controlarán de la misma manera que ahora se contro-
la la utilización de ordenadores personales. Cuando la utilización de los orde-
nadores personales empezó a extenderse, la gente estaba preocupada hasta que
se dio cuenta de que el control se efectuaría de la misma manera que antes, es

decir, a través de actividades de control adaptadas a los objetivos.
Necesidades específicas
Dado que cada entidad tiene sus propios objetivos y estrategias de implan-
tación, surgen diferencias en la jerarquía de objetivos y en las actividades de
control correspondientes. Incluso en el caso de que dos entidades tuvieran los
mismos objetivos y jerarquía, sus actividades de control serían diferentes: en
efecto, cada entidad está dirigida por personas diferentes que aplican sus
propias ideas sobre el control interno. Además, los controles reflejan el entor-
no de la entidad y el sector en el que opera, así como la complejidad de su
organización, su historia y su cultura.
El entorno en el que una entidad opera influye en los riesgos a los que está
expuesta. En particular, puede estar sujeta a requerimientos de información a
terceros particulares o a cumplir exigencias legales o normativas específicas.
Un fabricante de sustancias químicas, por ejemplo, tiene que afrontar riesgos
medioambientales mayores que una típica empresa de servicios, además de
estar obligado a facilitar información sobre el tratamiento de residuos en sus
estados financieros.
La complejidad de una entidad, así como el tipo y el alcance de sus
actividades, repercuten en sus actividades de control. Una organización com-
pleja, con diversidad de actividades, se enfrentará a problemas de control más
difíciles que una organización más sencilla con actividades menos variadas.
Una entidad con operaciones descentralizadas y con énfasis en la autonomía
local y en la innovación necesita un tipo de controles distintos de los aplica-
dos por una entidad altamente centralizada. Hay otros factores que influyen en
la complejidad de una organización y, por lo tanto, en la naturaleza de sus
controles: la localización y la dispersión geográficas, la importancia y la com-
plejidad de las operaciones o los métodos de proceso de datos.
Todos estos factores afectan a las actividades de control de las entidades,
que tienen que diseñarse de manera que contribuyan a lograr los objetivos de
la entidad.

Los conceptos básicos de las actividades de control aplicados en las em-
presas pequeñas y medianas no difieren significativamente de los de las enti-
dades más grandes, aunque el grado de formalización de sus operaciones sí
diferirá notablemente según el tamaño de la empresa. Además, las entidades

pequeñas pueden considerar que algunos tipos de actividades de control no
serán siempre adecuadas para sus organizaciones debido a la eficacia que
habitualmente se observa en los controles aplicados por la dirección general.
Por ejemplo, si la dirección general y los demás directivos clave participan
directamente en los nuevos planes de marketing, se reservan la autorización
de las ventas a plazo y las compras significativas, así como la disposición de
créditos, pueden mantener un control muy fuerte sobre dichas actividades que
reduce o elimina la necesidad de implantar actividades de control más detalla-
das. El conocimiento directo (basado en la propia experiencia) de las ventas a
los principales clientes y el análisis pormenorizado de los ratios clave y otros
indicadores de comportamiento sirven a menudo para reducir el volumen de
actividades de control que habitualmente se ejecutan en los niveles jerárquicos
más bajos de las grandes empresas.
Parece que la segregación adecuada de funciones suele crear problemas en
las organizaciones pequeñas, al menos a priori. Sin embargo, incluso en las
empresas con pocos empleados normalmente se consigue distribuir las respon-
sabilidades de forma que se aseguren los controles necesarios. Si esto no fuera
posible (como ocurre en ocasiones) el control necesario de las actividades
incompatibles podría realizarse a través de la supervisión de las mismas por el
propietario-director. Por ejemplo, cuando existe un riesgo de pagos indebidos,
no es extraño que el propietario-director sea la única persona autorizada para
firmar cheques o que exija que los extractos bancarios le sean remitidos sin
abrir, con el fin de que pueda revisar los cheques cargados en la cuenta.
Los controles de los sistemas informáticos, sobre todo los controles infor-
máticos globales y, más específicamente, los controles de acceso, pueden
crear problemas en las empresas pequeñas y medianas, debido a la manera
informal en que habitualmente se implantan las actividades de control. La
solución puede encontrarse, otra vez, en la mayor implicación de los altos
cargos de la empresa, como ocurre habitualmente en las organizaciones pe-
queñas. Una garantía razonable de que los errores graves serán detectados
viene dada por la utilización continua por parte de la dirección de la informa-
ción generada por el sistema y por la evaluación de dicha información a la luz
de su conocimiento directo de la actividad, junto con algunos controles clave
aplicados por otros empleados.
Evaluación
Las actividades de control tienen que evaluarse en el contexto de las
directrices establecidas por la dirección para afrontar los riesgos relacionados
con los objetivos de cada actividad importante. La evaluación, por lo tanto,

tendrá en cuenta si las actividades de control están relacionadas con el proceso
de evaluación de riesgos y si son apropiadas para asegurar que las directrices
de la dirección se cumplen. Dicha evaluación se efectuará para cada actividad
importante, incluidos los controles generales de los sistemas informáticos (se
trata de cada una de las actividades identificadas al analizar el proceso de
evaluación de riesgos; véase el Capítulo 3). Las personas encargadas de efec-
tuar la evaluación tendrán en cuenta no solamente si las actividades de control
empleadas son relevantes en base al proceso de evaluación de riesgos realiza-
do, sino también si se aplican de manera correcta.
5
Información y comunicación
Resumen del capítulo: Es necesario identificar, recoger y comunicar la in-

formación relevante de un modo y en un plazo tal que permitan a cada uno
asumir sus responsabilidades. Los sistemas de información generan informes,
que recogen información operacional, financiera y la correspondiente al cum-
plimiento, que posibilitan la dirección y el control del negocio. Dichos infor-
mes contemplan, no sólo, los datos generados internamente, sino también
información sobre incidencias, actividades y condiciones externas, necesaria
para la toma de decisiones y para formular informes financieros. Por otra
parte, se debe establecer una comunicación eficaz en el sentido más amplio,
lo cual implica una circulación multidireccional de la información, es decir
ascendente, descendente y transversal. La dirección debe transmitir un men-
saje claro a todo el personal sobre la importancia de las responsabilidades de
cada uno en materia de control. Los empleados deben comprender el papel
que deben desempeñar dentro del sistema de control interno, así como la
relación existente entre las actividades propias y las de los demás empleados.
El personal deberá disponer de un sistema para comunicar información im-
portante a los niveles superiores de la empresa. Asimismo, es necesaria una
comunicación eficaz con terceros, tales como los clientes, los proveedores,
los organismos de control y los accionistas.
Todas las empresas han de obtener información relevante, tanto financiera

como de otro tipo, relacionada con las actividades y acontecimientos internos
y externos. La información a recoger debe ser de la naturaleza que la direc-
ción haya estimado relevante para la gestión del negocio y debe llegar a las
personas que la necesiten en la forma y el plazo que permitan la realización de

sus responsabilidades de control y de sus otras funciones.
Información
La gestión de la empresa y el progreso hacia los objetivos que se ha fijado
(sean relativos a las operaciones, a la información financiera o de cumpli-
miento de las leyes y normas) implican que la información es necesaria en
todos los niveles de la empresa. En este sentido, la información financiera no
se utiliza únicamente para formular los estados financieros para su difusión
general, sino también en la toma de decisiones relativas a la explotación,
incluyendo, a modo de ejemplo, las correspondientes al control del rendimien-
to y la asignación de recursos. La información presentada a la dirección relati-
va a determinadas medidas monetarias y otras análogas facilita, a modo de
ejemplo, el seguimiento de la rentabilidad de una gama de productos, la evolu-
ción de deudores por tipo de cliente, la cuota de mercado, las tendencias en
reclamaciones o las estadísticas de accidentes. Por otra parte, es imprescindi-
ble que la dirección disponga de datos fiables, a la hora de efectuar la planifi-
cación, preparar presupuestos, fijar precios, y evaluar la actuación de los
vendedores y de las agrupaciones y asociaciones con terceros.
De la misma forma, los datos relativos a las operaciones son fundamenta-
les para la formulación de los estados financieros. Dichos datos incluirán tanto
la información del día a día, tales como compras, ventas y otras transacciones,
como los relativos al contexto económico y a los nuevos productos lanzados
por la competencia, que pueden tener un impacto sobre la valoración de las
existencias y las cuentas a cobrar. Otra información de este tipo, como por
ejemplo, la relativa a las emisiones contaminantes o a los datos del personal,
puede resultar necesaria para la consecución de los objetivos de cumplimiento
con la reglamentación y de información financiera. Dicha información, tanto
si tiene origen interno como externo, o si es de carácter financiero o no, es
relevante para todas las categorías de objetivos.
Los sistemas de información permiten identificar, recoger, procesar y di-
vulgar estos datos. El término "sistemas de información" se utiliza general-
mente para denominar el procesamiento de datos generados internamente,
relativos a las transacciones (tales como compras y ventas), y a las actividades
operativas internas (tal como el proceso de producción). Efectivamente, los
sistemas de información (que pueden ser informatizados, manuales o bien una
mezcla de los dos) cubren dichas áreas. Sin embargo, aquí se utiliza el término
en un sentido mucho más amplio, incorporando también la información sobre
hechos, actividades y factores externos: los datos económicos correspondien-
INFORMACIÓN Y COMUNICACIÓN 83
tes a un determinado mercado o industria que señalan cambios en la demanda

de los productos o servicios de la empresa, información sobre bienes y servi-
cios necesarios en el proceso de producción, investigaciones de mercado sobre
la evolución en las preferencias y exigencias de los clientes, información
sobre las actividades de desarrollo de productos por la competencia y respecto
a iniciativas en materia de leyes y normativa.
Los sistemas de información a veces funcionan como herramientas de
supervisión, recogiendo un determinado tipo de datos de forma rutinaria. En
otras ocasiones, se realizan acciones puntuales para obtener la información
necesaria. Tomemos como ejemplo un sistema que recoge información sobre
el nivel de satisfacción de los clientes respecto de los productos de la entidad,
que seguramente identificarán y comunicarán, periódicamente, las ventas por
producto y zona, la obtención o pérdida de clientes, devoluciones y solicitudes
de descuentos, la aplicación de las garantías de producto e información directa
recibida en forma de quejas y otros comentarios. Por otra parte, se realizarán
acciones puntuales de vez en cuando, a fin de obtener información sobre las
necesidades cambiantes del mercado, respecto de las especificaciones técnicas
de un producto o las condiciones de entrega y de servicio por parte de los
clientes. Esta información se obtiene mediante cuestionarios, entrevistas, estu-
dios de mercado generales y estudios de grupos reducidos de consumidores.
Existen sistemas de información formales e informales, pues las conversa-
ciones con clientes, proveedores, organismos de control y empleados a menu-
do proporcionan parte de la información más vital para poder identificar ries-
gos y oportunidades. Asimismo, se puede obtener una información muy
valiosa asistiendo a seminarios profesionales o sectoriales, o formando parte
de asociaciones mercantiles y de otros tipos.
Resulta especialmente importante mantener la información acorde con las
necesidades de la empresa, al actuar ésta en un entorno de cambios constantes,
con competidores muy innovadores y ágiles, y donde la demanda evoluciona
rápidamente. Los sistemas de información deben adaptarse para dar soporte a
los nuevos objetivos de la entidad, consistentes, por ejemplo, en la reducción
del tiempo necesario para lanzar nuevos productos, en la subcontratación de
determinadas funciones o en la reestructuración de la plantilla. En tales cir-
cunstancias, es especialmente importante distinguir entre los indicadores de
alerta y la información contable cotidiana. Ambas son importantes y la segun-
da, utilizada correctamente, también dará señales de advertencia. Sin embar-
go, para ser eficaces, los sistemas de información no deben únicamente identi-
ficar y recoger la información necesaria (financiera y no financiera), sino que
también han de procesar dicha información y comunicarla en un plazo y de
una forma que resulte útil para el control de las actividades de la entidad.
Estrategias y sistemas integrados

Los sistemas de información generalmente constituyen una parte integral
de las actividades operativas. No sólo permiten recoger la información necesa-
ria para tomar las decisiones en la implantación de controles, tal como se ha
comentado, sino que se vienen concibiendo cada vez más para llevar a cabo
iniciativas estratégicas. Según un estudio de reciente publicación, el reto em-
presarial más importante de la década de los noventa consiste en la integra-
ción de la planificación, el diseño y la implantación de los sistemas con la
estrategia global de la empresa.
Apoyo de los sistemas a las iniciativas estratégicas. La utilización de los
sistemas de información con fines estratégicos ha supuesto el éxito de muchas
empresas. De entre los primeros ejemplos de dicha utilización, podemos citar
el sistema de reservas creado por una línea aérea, por el que se permitía, por
primera vez, que las agencias de viajes tuvieran el acceso inmediato a la
información de vuelos y efectuar reservas directamente. Otro ejemplo, que se
cita con frecuencia, es el del proveedor de productos sanitarios que concedió
directamente a los hospitales el acceso en línea a su sistema, creando así una
enorme ventaja competitiva, ya que los hospitales podían hacer sus pedidos
instantáneamente a través de un terminal. Estos ejemplos, entre otros, mues-
tran que los sistemas de información realmente pueden marcar la diferencia a
la hora de conseguir ventajas competitivas.
A medida que el mundo empresarial aprendía cómo utilizar los nuevos
sistemas que proporcionaban una información de mayor calidad, se iba incre-
mentando el número de empresas que realizaban un seguimiento de sus pro-
ductos en determinadas áreas y que verificaban su rentabilidad comparativa.
Cada vez más las empresas utilizan la tecnología para comprender y satisfacer
las necesidades del mercado haciendo caso de los sistemas para apoyar estra-
tegias empresariales proactivas, más que reactivas.
Integración con las operaciones. La utilización estratégica de los sistemas
demuestra la evolución desde sistemas exclusivamente financieros a sistemas
integrados con la explotación de la actividad. Dichos sistemas ayudan a con-
trolar los procesos del negocio, siguiendo y registrando las transacciones en
tiempo real, generalmente englobando una serie de las actividades de la enti-
dad en un complejo entorno de sistemas integrados.
En las instalaciones fabriles, los sistemas de información apoyan todas las
fases del proceso de producción: recepción y control de calidad de materias
primas, selección y combinación de componentes, control de calidad y distri-
bución de productos terminados, actualización de inventarios y de los ficheros
de clientes. En muchos entornos, estas acciones están encadenadas mediante
sistemas de control de procesos y la aplicación de la robótica, de forma que se

ha reducido al mínimo la intervención humana.
La utilización de dichos sistemas integrados puede tener consecuencias
muy importantes, como se puede observar en el caso del sistema de gestión de
stocks denominado "just in time". Las empresas que utilizan este método
mantienen unas existencias mínimas, por lo que reducen sus costes conside-
rablemente. Los propios sistemas emiten los pedidos de compra de materias
primas y programan su llegada automáticamente, por lo general mediante el
intercambio electrónico de datos. Las empresas que utilizan la técnica del
"just in time" dependen de sus sistemas para alcanzar sus objetivos de produc-
ción, puesto que un control de este nivel sería imposible en su ausencia.
Muchos de los sistemas nuevos de producción contemplan un alto nivel de
integración con otros sistemas organizativos, posibilitando la conexión con los
sistemas financieros de la entidad. Se actualizan los datos financieros y los
registros contables automáticamente a medida que los sistemas llevan a cabo
otras aplicaciones.
El ejemplo siguiente ilustra cómo funcionan los sistemas de este tipo.
Actualmente, las aseguradoras pueden liquidar los siniestros inmediatamente.
El tramitador de siniestros consulta el sistema respecto de los límites sobre un
determinado tipo de reclamación y de la vigencia de la póliza del asegurado,
generando el correspondiente talón de liquidación, si procede. Al mismo tiem-
po, se actualiza el fichero y las estadísticas de siniestros, así como otros
ficheros relevantes. Este procedimiento dista mucho de los sistemas no inte-
grados, en los que cada reclamación se tramita individualmente dentro de las
distintas aplicaciones o subsistemas. El sistema integrado ayuda a controlar de
forma más eficaz las transacciones, ya que la liquidación inmediata es más
rápida y eficaz que el anticuado método manual. Permite obtener información
financiera y contestar a preguntas del tipo: ¿cuántos siniestros han sido liqui-
dados durante este ejercicio? o ¿cuánto se ha pagado? También facilita el
control sobre el cumplimiento de la normativa aplicable, a través de preguntas
como: ¿se tramitan y liquidan las reclamaciones provisionadas de modo opor-
tuno? o ¿son adecuadas las provisiones técnicas para siniestros?
Coexistencia de tecnologías. A pesar de la necesidad de mantenerse al día en
los avances en la tecnología de los sistemas de información, sería una equivo-
cación suponer que los nuevos sistemas incorporan mejores mecanismos de
control por el mero hecho de ser nuevos. De hecho, puede ser todo lo contra-
rio. En muchas ocasiones, los sistemas más antiguos han demostrado su vali-
dez en el día a día, satisfaciendo las necesidades de la entidad. Los sistemas
de la empresa normalmente evolucionarán para satisfacer sus necesidades,
configurándose a partir de muchas tecnologías diferentes.
La adquisición de una nueva tecnología constituye un aspecto esencial de

toda estrategia empresarial, por lo que la elección de la tecnología a adquirir
puede representar un factor clave en la obtención de los objetivos de creci-
miento. Las decisiones sobre la selección e implantación de tecnologías de-
penden de numerosos factores, incluyendo los objetivos organizativos, las
necesidades del mercado, las exigencias competitivas y, sobre todo, el soporte
proporcionado por los nuevos sistemas para la implantación del control y, a su
vez, los controles aplicados sobre estos sistemas, para facilitar la consecución
de los objetivos de la entidad.
La calidad de la información
La calidad de la información generada por el sistema afecta a la capacidad
de la dirección de tomar decisiones adecuadas al gestionar y controlar las
actividades de la entidad. Generalmente, los sistemas modernos incorporan
una opción de consulta en línea, para que se pueda obtener información actua-
lizada en todo momento.
Resulta imprescindible que los informes ofrezcan suficientes datos rele-
vantes para posibilitar un control eficaz. La calidad de la información se
refiere a los siguientes aspectos:
■ Contenido. ¿Contiene toda la información necesaria?

■ Oportunidad. ¿Se facilita en el tiempo adecuado?
■ Actualidad. ¿Es la más reciente disponible?
■ Exactitud. ¿Los datos son correctos?
■ Accesibilidad. ¿Puede ser obtenida fácilmente por las personas adecuadas?
El diseño del sistema debe responder a todas estas preguntas. En caso

contrario, el sistema seguramente no facilitará la información necesaria a la
dirección y otros empleados.
Poder disponer de información adecuada, oportuna y accesible es esencial
para implantar el control. Por otra parte, los sistemas de información, si bien
forman parte del sistema de control interno, también han de ser controlados.
La calidad de la información puede depender del desarrollo de las actividades
de control, tal y como se comenta en el Capítulo 4.
La comunicación
La comunicación es inherente a los sistemas de información. Según se ha
comentado anteriormente, los sistemas de información deben proporcionar
información a las personas adecuadas, de forma que éstas puedan cumplir con
sus responsabilidades operacionales, de información financiera o de cumpli-
miento. Sin embargo, también debe existir una comunicación más amplia, que
aborde las expectativas y responsabilidades de las personas y los grupos, así
como otras cuestiones importantes.
Comunicación interna
Además de recibir la información necesaria para llevar a cabo sus activi-
dades, todo el personal, especialmente los empleados con responsabilidades
importantes en la gestión de la explotación y de las finanzas, debe recibir el
mensaje claro desde la alta dirección en el sentido de que debe tomar en serio
sus funciones afectas al control interno. Tanto la claridad del mensaje como la
eficacia de su comunicación son importantes.
Además, cada función concreta ha de especificarse con claridad. Cada
persona tiene que entender los aspectos relevantes del sistema de control
interno, cómo funcionan los mismos y saber cuál es su papel y responsabili-
dad en el sistema. De lo contrario, es probable que surjan problemas. Citemos
el caso de una sociedad cuyos responsables de unidad tenían que firmar un
informe mensual, certificando de esta manera que se habían realizado determi-
nadas conciliaciones. Cada mes se entregaban los informes, debidamente fir-
mados. Sin embargo, cuando más tarde se pusieron de manifiesto problemas
muy graves en el área, se descubrió que al menos dos de los responsables de
unidad no sabían exactamente qué se esperaba de ellos. Uno de ellos creía que
la conciliación estaba lista ya con la mera identificación del importe de la
diferencia entre las dos cifras. Otro responsable había seguido el proceso
conciliatorio un paso más allá, creyendo que su objetivo quedaba cumplido
cuando cada partida individual a conciliar quedaba identificada. De hecho, el
proceso previsto no podía darse por finalizado hasta que se identificasen las
causas de las diferencias y se tomasen las correspondientes medidas correcti-
vas.
A la hora de llevar a cabo sus funciones, el personal de la empresa debe
saber que cuando se produzca una incidencia conviene prestar atención no
sólo al propio acontecimiento, sino también a su causa. De esta forma, se
podrán identificar la deficiencia potencial en el sistema, tomando las medidas
necesarias para evitar que se repita. Por ejemplo, la detección de existencias
no comercializables no debería conducir solamente al registro de una provi-
sión en los estados financieros, sino también a la determinación de las razones
que originaron la imposibilidad de comercializar las existencias afectadas.
Asimismo, el personal tiene que saber cómo sus actividades están relacio-
nadas con el trabajo de los demás. Este conocimiento es necesario para reco-
nocer los problemas y determinar sus causas y la medida correctiva adecuada.

El personal tiene que saber los comportamientos esperados, aceptados e in-
aceptables. Se han dado casos de falsificación de información financiera origi-
nados porque los directivos, presionados para cumplir los presupuestos, cam-
biaron los resultados de explotación. En algunos de estos casos, nadie había
dicho a los directivos que este tipo de falsificación podría ser ilegal o, en todo
caso, inadmisible. Este ejemplo indica la transcendencia que pueden tener los
mensajes transmitidos en el seno de la empresa. El gerente que dice a sus
subordinados: "Hay que cumplir el presupuesto, sea como sea", podría estar
comunicando un mensaje equívoco sin querer.
Los empleados también necesitan disponer de un mecanismo para comuni-
car información relevante a los niveles superiores de la organización. Los
empleados de primera línea, que manejan aspectos clave de la explotación
todos los días, generalmente son los más capacitados para reconocer los pro-
blemas en el momento en que se producen: los responsables comerciales o
directores de cuentas, por ejemplo, pueden apreciar las necesidades en lo
referente a especificaciones de los productos; de igual forma, el personal de
producción observará fallos en el proceso de fabricación que tienen un eleva-
do coste para la empresa; el personal de compras tal vez reciba ofertas de
incentivos indebidos de los proveedores; los empleados del departamento de
contabilidad observarán sobrevaloraciones de ventas o existencias, o identifi-
carán casos en los que se hayan utilizado los recursos de la entidad en benefi-
cio propio.
Para que informaciones de este tipo lleguen a los niveles superiores deben
existir líneas abiertas de comunicación y la clara voluntad de escuchar por
parte de los directivos. Las personas tiene que creer que sus superiores real-
mente quieren enterarse de las incidencias producidas y que las resolverán de
manera adecuada. Generalmente, los directivos reconocen que no deben "ma-
tar al mensajero". Sin embargo, inmersos en el día a día, a veces son poco
receptivos a las personas que les comunican problemas reales. Los empleados
captan rápidamente las señales, más o menos explícitas, de que su superior no
tiene tiempo ni ganas de ocuparse de las incidencias descubiertas. Este proble-
ma se ve agravado por el hecho de que el directivo poco dispuesto a enterarse
de asuntos problemáticos suele ser el último en percatarse de que la línea de
comunicación, a efectos prácticos, se encuentra cerrada.
En la mayoría de los casos, las líneas de comunicación más adecuadas son
las habituales. A veces, no obstante, se necesitarán otras líneas de comunica-
ción independientes que actúen de mecanismo de seguridad en el caso de que
las líneas normales hayan dejado de funcionar. Algunas entidades disponen de
una línea de comunicación directa con un consejero, el responsable de audito-
ría interna o los asesores legales de la entidad. Señalamos el caso de una
sociedad, cuyo consejero delegado dedica una tarde a la semana a recibir a los
empleados, dejando claro que las visitas, respecto de cualquier tema, siempre
tendrán una acogida muy positiva. Otra la dedica a visitar la fábrica, fomen-
tando así un ambiente en el que la gente puede informar de las incidencias y
de sus preocupaciones. Si no existen líneas de comunicación abiertas así como
una actitud receptiva por parte de la dirección, la comunicación ascendente de
información en la empresa quedará bloqueada.
En todo caso, es importante que el personal entienda que no habrá represa-
lias como consecuencia de la comunicación de información relevante. Según
se comenta en el Capítulo 2, debe haber un mensaje claro sobre la existencia
de mecanismos que animen a los empleados a denunciar las posibles infrac-
ciones del código de conducta de la entidad, así como el tratamiento que
reciban los denunciantes. Se han vertido ríos de tinta sobre la conveniencia de
proteger a los denunciantes, especialmente con respecto a funcionarios del
Estado. Algunos comentaristas se oponen a dicha protección, alegando que las
empresas se verán inundadas por las quejas sin fundamento de los empleados
descontentos. Sin duda alguna, se puede y se debe establecer un equilibrio. Es
importante que la dirección comunique los mensajes correspondientes y cree
mecanismos adecuados para una auténtica comunicación ascendente.
La comunicación entre la dirección, el consejo de administración y los
comités constituidos por éste es de una importancia básica. La dirección debe
mantener al consejo informado respecto de la rentabilidad, desarrollos, ries-
gos, iniciativas significativas y demás acontecimientos e incidencias relevan-
tes. Al ser más fluidas las comunicaciones al consejo, éste podrá actuar de
modo más eficaz al cumplir con sus responsabilidades de supervisión, sirvien-
do de foro para el debate de cuestiones importantes y ofreciendo su asesoría.
De igual manera, el consejo debería informar a la dirección de sus necesida-
des de información, orientándola y comentando su actuación.
Comunicación externa
Además de una buena comunicación interna, ha de existir una eficaz co-
municación externa. Al disponer de líneas abiertas de comunicación, los clien-
tes y proveedores podrán aportar información de gran valor sobre el diseño y
la calidad de los productos y servicios de la empresa, permitiendo que la
entidad responda a los cambios en las exigencias y preferencias de los clien-
tes. Por otra parte, toda persona que entre en contacto con la entidad debe
entender que no se tolerarán actos indebidos, tales como sobornos y otros
pagos ilegítimos. Por ejemplo, la entidad puede informar directamente a los
suministradores del comportamiento esperado en sus relaciones con la enti-
dad.
Las comunicaciones recibidas de terceros a veces proporcionan informa-

ción importante sobre el funcionamiento del sistema de control interno. El
conocimiento que tienen los auditores externos de las operaciones de la enti-
dad y otros aspectos relacionados es una importante fuente de información
sobre el sistema de control para la dirección y el consejo.
Los organismos de supervisión, tales como las autoridades bancarias o de
seguros, informan de los resultados de sus revisiones o inspecciones en mate-
ria de cumplimiento, posiblemente poniendo de manifiesto deficiencias de
control. Las quejas o consultas que se reciben sobre envíos, recibos, facturas y
otras actividades a veces revelan la existencia de problemas operativos. Estas
incidencias deben ser revisadas por empleados no relacionados con las trans-
acciones originales. El personal ha de estar preparado para reconocer las im-
plicaciones de tales circunstancias e investigar y tomar las acciones correcti-
vas que resulten necesarias.
Las comunicaciones con los accionistas, organismos de control, analistas
financieros y otros terceros deberían contener información acorde a sus nece-
sidades respectivas, de modo que puedan entender el entorno y los riesgos de
la entidad. Dichas comunicaciones deben presentar datos de significación, que
sean pertinentes y oportunos, cumpliendo con los correspondientes requisitos
legales.
La comunicación establecida entre la dirección y los interlocutores exter-
nos, sea o no dinámica, realizada de forma abierta y sincera, permite transmi-
tir en uno u otro caso un mensaje a todos los ámbitos de la entidad.
Medios de comunicación
La comunicación se materializa en manuales de políticas, memorias, avi-
sos en el tablón de anuncios o mensajes en vídeo. Cuando los mensajes se
transmiten verbalmente (a grupos grandes, reuniones o a una sola persona) la
entonación y el lenguaje corporal sirven para dar énfasis al mensaje verbal.
Otro potente medio de comunicación lo constituye la actuación de la di-
rección al tratar con sus subordinados. Los directivos deberían recordar siem-
pre que "una acción vale más que mil palabras". La actuación de la dirección,
a su vez, está influida por la historia y la cultura de la entidad, basándose en el
tratamiento seguido en situaciones similares por parte de sus propios predece-
sores.
La entidad que tiene una larga historia de actuar con integridad y cuya
cultura es bien comprendida por las personas que componen la organización
no tendrá dificultades para comunicar su mensaje. Las entidades que no cuen-
tan con una tradición similar probablemente tendrán que dedicar más esfuer-
zos a la comunicación adecuada de mensajes.

Los sistemas de información en las organizaciones de dimensiones más
reducidas generalmente son menos formales que en las entidades más grandes,
pero su papel es igual de importante. Con la tecnología informática actual, es
posible procesar la información generada internamente de una forma eficaz en
la mayoría de las organizaciones, sea cual sea su tamaño. Los sistemas de
información en la pequeña y mediana empresa generalmente identifican e
informan de las incidencias, actividades y condiciones externas relevantes,
pero su eficacia generalmente depende de la capacidad de la dirección de
seguir los acontecimientos externos. Las conversaciones entre el propietario-
director u otros directivos con los clientes y proveedores clave, para poner un
ejemplo, pueden constituir una fuente fundamental de información sobre las
preferencias cambiantes de los clientes o las variaciones de las fuentes de
suministros, necesaria para realizar un seguimiento de los cambios en el entor-
no de la entidad y de los riesgos asociados.
Cabe la posibilidad de que una comunicación interna eficaz entre la alta
dirección y los empleados sea más fácil de obtener en la pequeña y mediana
empresa que en las más grandes, debido a sus dimensiones más reducidas, a la
existencia de pocos niveles jerárquicos y a la mayor presencia física y dispo-
nibilidad de la dirección general. Efectivamente, la comunicación interna tiene
lugar en las reuniones y actividades diarias en las que participan el director
gerente y los directores clave. Aunque carecen de las líneas de comunicación
formales existentes en las empresas más grandes, muchas entidades pequeñas
consideran que se consigue una comunicación eficaz por medio de los fre-
cuentes contactos diarios y una política de "puertas abiertas". Asimismo, la
política de "una acción vale más que mil palabras" puede constituir un meca-
nismo de comunicación aun más importante (tanto interna como externamen-
te) en la pequeña empresa, ya que los directores entran en contacto directo con
la mayoría de los empleados, clientes y proveedores de la entidad.
Evaluación
El evaluador deberá considerar la adecuación de los sistemas de informa-
ción y la comunicación a las necesidades de la entidad. A continuación se
relacionan algunos aspectos posibles a considerar. Todos los conceptos no
serán de aplicación a todas las entidades. Sin embargo, pueden servir de base
de referencia.
Información
■ La obtención de información externa e interna y el suministro a la direc-

ción de los informes necesarios sobre la actuación de la entidad en rela-
ción a los objetivos establecidos.
■ El suministro de información a las personas adecuadas, con el suficiente
detalle y oportunidad, permitiéndoles cumplir con sus responsabilidades
de forma eficaz y eficiente.
■ El desarrollo o revisión de los sistemas de información, basado en un plan
estratégico para los sistemas de información (vinculado a la estrategia
global de la entidad) al efecto de lograr tanto los objetivos generales de la
entidad como los de cada actividad.
■ El apoyo de la dirección al desarrollo de los sistemas de información
necesarios se pone de manifiesto en la aportación de los recursos adecua-
dos, tanto humanos como financieros.
Comunicación
■ La comunicación eficaz al personal, de sus funciones y responsabilidades

de control.
■ El establecimiento de líneas de comunicación para la denuncia de posibles
actos indebidos.
■ La sensibilidad de la dirección a las propuestas del personal respecto de
formas de mejorar la productividad, la calidad, etc.
■ La adecuación de la comunicación horizontal (por ejemplo, entre las áreas
de compras y producción) y la integridad y oportunidad de la información,
así como si ésta resulta suficiente para que los empleados puedan cumplir
con sus responsabilidades adecuadamente.
■ El nivel de apertura y eficacia en las líneas de comunicación con clientes,
proveedores y otros terceros para la captación de información sobre las
necesidades cambiantes de los clientes.
■ El nivel de comunicación a terceros de las normas éticas de las entidad.
■ La realización oportuna y adecuada del seguimiento por parte de la direc-
ción de las informaciones obtenidas de clientes, suministradores, organis-
mos de control y otros terceros.
6
Supervisión
Resumen del capítulo: Resulta necesario realizar una supervisión de los

sistemas de control interno, evaluando la calidad de su rendimiento. Dicho
seguimiento tomará la forma de actividades de supervisión continuada, de
evaluaciones periódicas o una combinación de los dos anteriores. La supervi-
sión continuada se inscribe en el marco de las actividades corrientes y com-
prende unos controles regulares efectuados por la dirección, así como deter-
minadas tareas que realiza el personal en el cumplimiento de sus funciones.
El alcance y la frecuencia de las evaluaciones puntuales se determinarán
principalmente en función de una evaluación de riesgos y de la eficacia de los
procedimientos de supervisión continuada. Las deficiencias en el sistema de
control interno, en su caso, deberán ser puestas en conocimiento de la geren-
cia y los asuntos de importancia serán comunicados al primer nivel directivo
y al consejo de administración.
Los sistemas de control interno y, en ocasiones, la forma en que los con-

troles se aplican, evolucionan con el tiempo, por lo que procedimientos que
eran eficaces en un momento dado, pueden perder su eficacia o dejar de
aplicarse. Las causas pueden ser la incorporación de nuevos empleados, de-
fectos en la formación y supervisión, restricciones de tiempo y recursos, y
presiones adicionales. Asimismo, las circunstancias en base a las cuales se
configuró el sistema de control interno en un principio también pueden cam-
biar, reduciendo su capacidad de advertir de los riesgos originados por las
nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si
el sistema de control interno es en todo momento adecuado y su capacidad de
asimilar los nuevos riesgos.
El proceso de supervisión asegura que el control interno continúa funcio-

nando adecuadamente. Este proceso comprende la evaluación, por parte de
empleados de nivel adecuado, de la manera en que se han diseñado los contro-
les, de su funcionamiento, y de la manera en que se adoptan las medidas
necesarias. Se aplicará a todas las actividades dentro de la entidad y a veces
también a externos contratados. Por ejemplo, cuando se contrata a un tercero
para la tramitación de siniestros sanitarios (con un impacto directo en el coste
de las prestaciones) será necesario realizar una supervisión del funcionamien-
to de la actividad y los controles del tramitador externo.
Las operaciones de supervisión se materializan en dos formas: actividades
continuadas o evaluaciones puntuales. Normalmente los sistemas de control
interno aseguran, en mayor o menor medida, su propia supervisión. En este
sentido, cuanto mayor sea el nivel y la eficacia de la supervisión continuada,
menor será la necesidad de evaluaciones puntuales. La frecuencia necesaria de
las evaluaciones puntuales para que la dirección tenga una seguridad razona-
ble de la eficacia del sistema de control interno se deja al juicio de la direc-
ción. A la hora de determinar dicha frecuencia, habrá que tener en cuenta lo
siguiente: la naturaleza e importancia de los cambios y los riesgos que éstos
conllevan, la competencia y experiencia de las personas que aplican los con-
troles, así como los resultados conseguidos por la supervisión continuada. Una
combinación de supervisión continuada y evaluaciones puntuales normalmen-
te asegura el mantenimiento de la eficacia del sistema de control interno.
Conviene reconocer que las actividades normales y recurrentes de la enti-
dad incorporan procedimientos de supervisión continuada que, ejecutándose
en tiempo real y arraigados en la entidad, responden de manera dinámica a las
circunstancias de cada momento. En consecuencia, resultan más eficaces que
los procedimientos aplicados en la evaluación independiente. Ésta se realiza a
posteriori, por lo que el seguimiento continuado permite identificar los posi-
bles problemas con mayor rapidez. No obstante, algunas entidades con activi-
dades estables de supervisión continuada realizan evaluaciones independientes
de su sistema de control interno o partes del mismo, de forma regular (por
ejemplo, de forma rotativa en varios años). Si la entidad advierte la necesidad
de frecuentes evaluaciones puntuales, deberá centrar sus esfuerzos en mejorar
las actividades de supervisión continuada, poniendo más énfasis en los "con-
troles integrados" que en los "controles complementarios".
Actividades de supervisión continuada

Existe una gran variedad de actividades que permiten efectuar un segui-
miento de la eficacia del control interno en el desarrollo normal del negocio.
SUPERVISIÓN 95
Comprenden actividades corrientes de gestión y supervisión, comparaciones,

conciliaciones y otras tareas rutinarias.
Se relacionan a continuación algunos ejemplos de actividades de supervi-
sión continuada:
■ Los diferentes directores de explotación comprueban que el sistema de

control interno continúa funcionando a través del cumplimiento de sus
funciones de gestión. Al incluir o conciliar los distintos informes de explo-
tación con los informes financieros, empleando los mismos continuamente
en la gestión de la explotación es probable que se identifiquen de manera
rápida los errores importantes o las excepciones en los resultados previs-
tos. En este sentido, los directores de las actividades comerciales, de com-
pras y de producción a nivel de la división, de las filiales o la sociedad
matriz están en contacto directo con la explotación, por lo que cuestiona-
rán los informes que contengan divergencias importantes respecto de su
conocimiento de la explotación. Se puede conseguir una mejora en la
eficacia del sistema de control interno presentando información financiera
completa y oportuna y resolviendo toda excepción identificada.
■ Las comunicaciones recibidas de terceros confirman la información gene-
rada internamente o señalan la existencia de problemas. En este sentido,
los clientes corroboran los datos de facturación implícitamente al pagar
sus facturas. Por el contrario, las reclamaciones respecto de la facturación
podrían indicar la existencia de deficiencias en los controles sobre el pro-
ceso de las transacciones comerciales. Asimismo, los informes elaborados
por el responsable de las inversiones, relativos a las ganancias, pérdidas e
ingresos, pueden corroborar los datos de que dispone el servicio afectado
o, por el contrario, poner en duda la fiabilidad de las información de una u
otra procedencia. La revisión practicada por una aseguradora respecto de
las políticas y prácticas de una entidad en materia de seguridad proporcio-
nará datos sobre el funcionamiento de los controles, desde el punto de
vista de la seguridad operativa, así como del cumplimiento, por lo que
constituye una técnica de supervisión. Los organismos públicos pueden
igualmente intercambiar puntos de vista con la entidad, con relación a
temas de cumplimiento de la reglamentación vigente y otros asuntos reve-
ladores del funcionamiento del sistema de control interno.
■ Una estructura adecuada y unas actividades de supervisión apropiadas
permiten comprobar las funciones de control e identificar las deficiencias
existentes. En este sentido, como rutina normal se supervisarán las tareas
administrativas que actúan de control sobre la exactitud y totalidad del
proceso de las transacciones. Asimismo, se establecerá una segregación de
funciones de manera que se ejerza una verificación recíproca, lo que servi-
rá además de disuasión al fraude, ya que dificulta el disimular las activida-

des sospechosas.
■ Los datos registrados por los sistemas de información se comparan con los
activos físicos. Las existencias de producto terminado, por ejemplo, pueden
ser recontadas periódicamente. Los resultados de estos recuentos se compa-
ran con los registros contables y se comunican las diferencias detectadas.
■ Los auditores internos y externos periódicamente proponen recomendacio-
nes encaminadas a mejorar los controles internos. En muchas entidades,
los auditores centran sus esfuerzos en la evaluación del diseño de los
controles internos y en la comprobación de su eficacia. Se identifican
posibles deficiencias y se proponen vías de actuación a la dirección, res-
paldadas, a veces, con informaciones útiles para determinar la relación
coste-beneficio. Los auditores internos o empleados que desempeñan fun-
ciones similares de revisión pueden ser especialmente eficaces en esta
misión de supervisión.
■ Los seminarios de formación, las sesiones de planificación y otras reunio-
nes permiten a la dirección obtener información importante respecto de la
eficacia de los controles. Además de los problemas concretos que indiquen
temas de control, la cultura de control de los participantes quedará mani-
fiesta en dichas reuniones.
■ Con una determinada frecuencia, se puede solicitar una manifestación ex-
plícita por parte del personal, en el sentido de si comprenden y cumplen
con el código de conducta de la entidad. De igual forma, se solicitan
manifestaciones del personal implicado en la explotación y temas finan-
cieros, respecto a la realización periódica de determinados procedimientos
de control, como sería la conciliación de determinados saldos. La direc-
ción o auditoría interna procederá a continuación a verificar la veracidad
de dichas manifestaciones.
Es evidente que las anteriores actividades de supervisión continuada hacen

frente a aspectos importantes de cada uno de los componentes del control
interno.
Evaluaciones puntuales
Aunque los procedimientos de supervisión continuada suelen proporcionar
información importante sobre la eficacia de otros componentes de control, de
vez en cuando un replanteamiento del sistema resultará útil. Con ocasión de
dicho replanteamiento, se puede examinar la continuidad de la eficacia de los
procedimientos de supervisión continuada.
SUPERVISIÓN 97
Alcance y frecuencia
El alcance y la frecuencia de la evaluación del control interno varían
según la magnitud de los riesgos objeto de control y la importancia de los
controles para la reducción de aquéllos. Así, los controles que actúan sobre los
riesgos de mayor prioridad y los más críticos para la reducción de un determi-
nado riesgo serán objeto de evaluación con más frecuencia. La evaluación de
todo el sistema de control interno (que normalmente no resultará necesaria
con la frecuencia de las evaluaciones de controles específicos) puede estar
motivada por diferentes razones: cambios importantes en la estrategia o la
dirección, importantes adquisiciones o enajenaciones, o modificaciones de
envergadura efectuadas en la explotación o en los métodos utilizados en el
proceso de la información financiera. Cuando se toma la decisión de evaluar
todo el sistema de control interno de la entidad, deberá centrarse la atención
en cada uno de los componentes del control interno afectos a todas las activi-
dades importantes. El alcance de la evaluación dependerá también de a cuál de
las tres categorías de objetivos va enfocada (operacionales, de información
financiera o de cumplimiento).
¿Quién efectúa la evaluación?

Ocurre a menudo que las evaluaciones se efectúan en forma de autoeva-
luación, llevada a cabo por las personas responsables de una unidad o función
específica que determinarán la eficacia de los controles aplicados a sus activi-
dades. El director de una división, por ejemplo, gestionará la evaluación de su
sistema de control interno, evaluando personalmente los factores relativos al
entorno de control y asignando a los encargados de las distintas actividades
operativas de la división la evaluación de la eficacia de los demás componen-
tes del control. Los jefes de línea centrarán su atención principalmente en los
objetivos operacionales y de cumplimiento, mientras que el responsable finan-
ciero de la división se centrará en el objetivo de fiabilidad de la información
financiera. A continuación, todos los resultados serán presentados a la direc-
ción responsable para su revisión. Posteriormente, las evaluaciones de la divi-
sión serán analizadas por la dirección general, junto a las evaluaciones de
control interno de las otras divisiones.
La evaluación del control interno forma parte de las funciones normales de
auditoría interna y también resulta de peticiones especiales por parte del con-
sejo de administración, la dirección general y los directores de filial o de
división. Por otra parte, el trabajo realizado por los auditores externos consti-
tuye un elemento de análisis a la hora de determinar la eficacia del control
interno. Una combinación del trabajo de las dos auditorías, la interna y la
externa, posibilita la realización de los procedimientos de evaluación que la

dirección considere necesarios.
El proceso de evaluación
La evaluación de un sistema de control interno constituye en sí todo un
proceso. Si bien los enfoques y técnicas varían, debe mantenerse una discipli-
na apropiada en todo el proceso y deben mantenerse ciertos principios funda-
mentales que le son inherentes.
El evaluador deberá entender cada una de las actividades de la entidad y
cada componente del sistema de control interno objeto de la evaluación. Con-
viene centrarse primero en el funcionamiento teórico del sistema, es decir en
su diseño, lo que implicará conversaciones previas con los empleados de la
entidad y la revisión de la documentación existente.
La tarea del evaluador es averiguar el funcionamiento real del sistema. Es
posible que, con el tiempo, determinados procedimientos diseñados para fun-
cionar de un modo determinado se modifiquen para funcionar de otro modo, o
simplemente se dejen de realizar. A veces se establecen nuevos controles, no
conocidos por las personas que, en un principio, describieron el sistema, por
lo que no se hallan en la documentación existente. A fin de determinar el
funcionamiento real del sistema, se mantendrán conversaciones con los em-
pleados que aplican y se ven afectados por los controles, se revisarán los datos
registrados sobre el cumplimiento de los controles, o una combinación de
estos dos procedimientos.
El evaluador analizará el diseño del sistema de control interno y los resul-
tados de las pruebas realizadas. Este análisis se efectuará bajo la óptica de los
criterios establecidos, con el objetivo último de determinar si el sistema ofrece
una seguridad razonable con respecto a los objetivos establecidos.
Metodología
Existe una gran variedad de metodologías y herramientas de evaluación,
incluyendo hojas de control, cuestionarios y técnicas de flujogramación. Se
han presentado técnicas cuantitativas en publicaciones académicas y especiali-
zadas. También existen relaciones de objetivos de control, identificando los
objetivos genéricos de control interno.
Algunas empresas, como parte de su metodología de evaluación, compa-
ran sus sistemas de control interno con los de otras entidades, lo que se
conoce generalmente como "benchmarking". Por ejemplo, la empresa medirá
la eficacia de su sistema por comparación con empresas que tienen fama de
contar con sistemas de control interno especialmente buenos. Es posible reali-
SUPERVISIÓN 99
zar la comparación conjuntamente con otra empresa o al amparo de alguna

asociación comercial o industrial. Los consultores de gestión pueden suminis-
trar información comparativa y los métodos de revisión que utilizan empresas
similares ayudarán a la empresa a evaluar el propio sistema de control en
comparación con dichas empresas. Cabe señalar que al comparar sistemas de
control interno habrá que tener en cuenta las diferencias, que siempre existen,
de objetivos, acontecimientos y circunstancias. Por otra parte, será necesario
considerar los cinco componentes individuales y las limitaciones inherentes al
control interno (véase el Capítulo 7).
Documentación
El nivel de documentación soporte del sistema de control interno de la
entidad varía según la dimensión y complejidad de la misma, y otros aspectos
análogos. Las entidades grandes normalmente cuentan con manuales de políti-
cas, organigramas formales, descripciones de los puestos, instrucciones opera-
tivas, flujogramas de los sistemas de información, etc. La pequeña y mediana
empresa de modo habitual tendrá sustancialmente menos documentación es-
crita.
Muchos controles son informales y no tienen documentación, sin embargo
se aplican asiduamente, resultando muy eficaces. Se puede comprobar este
tipo de control de la misma manera que los controles documentados. El hecho
de que los controles no estén documentados no impide que el sistema de
control interno sea eficaz o que no pueda ser evaluado, si bien un nivel
adecuado de documentación suele aumentar la eficacia de la evaluación. Por
otra parte, la documentación resulta útil porque favorece la comprensión por
parte de los empleados del funcionamiento del sistema y de sus funciones y
facilita su modificación en el caso de ser necesario.
El evaluador puede decidir documentar el proceso mismo de evaluación,
recurriendo a la documentación existente del sistema de control interno de la
entidad, la cual complementa normalmente con documentación adicional del
sistema, descripciones de las pruebas y de los análisis realizados durante el
proceso de evaluación.
La naturaleza y el nivel de documentación deberá ser más exhaustiva
cuando resulte necesario formular una declaración sobre el sistema o su eva-
luación de cara a terceros. En el caso de formular una declaración de cara a
terceros respecto de la eficacia del sistema de control interno, la dirección
deberá considerar la necesidad de elaborar y mantener documentación soporte
que justifique la declaración, la cual resultará útil en caso de que la declara-
ción sea cuestionada a posteriori.
Plan de acción
Los responsables de efectuar una evaluación de los sistemas de control
interno por primera vez podrían considerar las siguientes sugerencias básicas
respecto a qué hacer y por dónde empezar:
■ Determinar el alcance de la evaluación en términos de categoría de objeti-

vos, componentes de control interno y actividades objeto de la evaluación.
■ Identificar las actividades de supervisión continuada que normalmente
aseguran la eficacia del control interno.
■ Analizar el trabajo de evaluación del control realizado por los auditores
internos y reflexionar sobre las conclusiones relacionadas con el control
presentadas por los auditores externos.
■ Establecer las prioridades de las áreas de mayor riesgo, por unidad, com-
ponente de control interno u otros, para su atención inmediata.
■ En base a lo anterior, elaborar un programa de evaluaciones que conste de
actividades a corto y largo plazo.
■ Reunir a las personas que efectuarán las evaluaciones y considerar juntos
el alcance y el calendario a establecer, así como la metodología y las
herramientas a utilizar, examinar las conclusiones de los auditores internos
y externos y de los organismos públicos, definir la forma de presentación
de las conclusiones y determinar la documentación a entregar a la finaliza-
ción de la evaluación.
■ Seguir el avance de la evaluación y revisar las conclusiones obtenidas.
■ Asegurar que se tomen las acciones de seguimiento necesarias, modifican-
do los apartados correspondientes de las evaluaciones posteriores, según
proceda.
El trabajo de la evaluación será delegado en gran parte. No obstante, es

importante que la persona encargada de realizar la evaluación dirija el proceso
hasta su finalización.
Comunicación de deficiencias
Las deficiencias en el sistema de control interno pueden ser detectadas
tanto a través de los procedimientos de supervisión continuada realizados en
la entidad como de las evaluaciones puntuales del sistema de control interno,
así como a través de terceros.
El término "deficiencia" se usa aquí en un sentido amplio como referencia
a un elemento del sistema de control interno que merece atención, por lo que
SUPERVISIÓN 101
una deficiencia puede representar un defecto percibido, potencial o real, o

bien una oportunidad para reforzar el sistema de control interno con la finali-
dad de favorecer la consecución de los objetivos de la entidad.
Fuentes de información
Una de las mejores fuentes de información relativa a las deficiencias de
control es el propio sistema de control interno. Las actividades de supervisión
continuada de una entidad, incluyendo las de gestión y supervisión diarias del
personal, proporcionan la percepción de las personas directamente involucra-
das en las actividades de la entidad. El personal puede advertir aspectos de
relevancia en tiempo real que pueden servir para identificar las deficiencias
existentes rápidamente. Las evaluaciones puntuales del sistema de control
interno constituyen otra fuente de detección de las deficiencias de control. Las
evaluaciones realizadas por la dirección, los auditores internos u otros em-
pleados pueden señalar áreas que necesiten mejoras.
Existe una serie de interlocutores externos que, de forma periódica, sumi-
nistran información respecto del funcionamiento del sistema de control inter-
no de la entidad. Dentro de los mismos se incluyen los clientes, los suminis-
tradores y otros que tienen transacciones con la entidad, tales como auditores
contables externos y organismos de control. Conviene estudiar los informes
presentados por fuentes externas, buscando sus posibles repercusiones en el
control interno de la entidad y determinando las correspondientes acciones
correctivas.
De qué se debe informar

¿De qué deficiencias se debe informar? No es posible que una sola res-
puesta sea aplicable a todas las entidades, siendo un tema muy susceptible de
interpretación subjetiva. No obstante, se pueden delimitar algunos parámetros.
Naturalmente, todas las deficiencias que puedan afectar a la consecución
de los objetivos de la entidad deben ponerse en conocimiento de las personas
que pueden tomar las medidas necesarias, tal como se comenta en el siguiente
apartado. La naturaleza de los temas a comunicar dependerá del nivel de
autoridad asignada al que detecta las incidencias para resolverlas a medida
que vayan surgiendo, así como de las actividades de supervisión de los supe-
riores.
Para determinar qué deficiencias se deben comunicar, conviene examinar
el impacto de las mismas. Por ejemplo, un comercial señala un error de cálcu-
lo en las comisiones de ventas. El departamento de nóminas investiga el tema,
descubriendo que se utilizó el precio antiguo de un determinado producto, por
lo que las comisiones estaban infravaloradas, así como la facturación a los

clientes. Las medidas a tomar incluyen la rectificación de todas las comisiones
y todas las facturas emitidas desde que entró en vigor el cambio de precios.
No obstante, es posible que esta medida no cubra una serie de cuestiones
importantes relacionadas: ¿Por qué no se utilizó el precio nuevo en un princi-
pio? ¿Qué controles existen para asegurar que los incrementos de precio se
introduzcan correctamente en el sistema informático y en el momento debido?
¿Existe algún problema en los programas informáticos que calculan las comi-
siones y la facturación? En caso afirmativo, ¿requieren atención los controles
sobre el desarrollo de software y sobre su mantenimiento? En caso de que el
representante no hubiese comunicado el error, ¿otro componente del control
interno habría identificado la deficiencia de forma oportuna?
De esta manera, un problema aparentemente sencillo con una solución
evidente puede tener implicaciones de mayor trascendencia para el control
interno. Esto viene a subrayar la necesidad de comunicar los errores y otras
incidencias a niveles de mayor autoridad en la entidad, siendo vital que, ade-
más de comunicar la transacción o incidencia concreta, se vuelvan a evaluar
los controles potencialmente defectuosos.
Se puede argumentar que no existe problema tan insignificante para no
investigar sus implicaciones de control. El hecho de que un empleado se
apropie indebidamente de una pequeña cantidad de la caja chica para su uso
personal no sería importante en sí ni con respecto al importe del fondo de la
caja chica, por lo que tal vez no merezca la pena realizar una investigación o
el coste de la misma puede ser sensiblemente superior al importe investigado.
No obstante, la aceptación implícita por parte de la entidad del uso de sus
fondos para fines particulares puede constituir, de forma involuntaria, un men-
saje negativo captado por el personal.
A quién informar
La información generada por los empleados en el curso normal de sus
tareas se comunica a través de los canales habituales a su superior inmediato,
quien, a su vez, puede llevar la información a niveles superiores u horizontal-
mente en la organización, de forma que llegue a las personas que pueden y
deben tomar medidas. Tal como se comenta en el Capítulo 5, deberían existir
líneas alternativas para comunicar información sensible, tal como la relativa a
posibles actuaciones ilegales o incorrectas.
Al detectar una deficiencia del control interno, se debe comunicar el hecho
a la persona responsable de la función o actividad implicada, que podrá tomar
medidas correctivas, así como al nivel superior en la entidad. Este proceso
permite que el responsable dé el apoyo y la supervisión necesarios para las
SUPERVISIÓN 103
acciones correctivas a tomar e informe a las otras personas en la organización

cuyas actividades pueden verse afectadas. En el caso de que la deficiencia
tenga un efecto horizontal, la comunicación del hecho también debe ser hori-
zontal y alcanzar el nivel suficiente para asegurar que se tomen las medidas
correspondientes.
Directrices sobre comunicación de deficiencias

El suministro de la información necesaria con respecto a las deficiencias
en el control interno a la persona adecuada es imprescindible para mantener la
eficacia del sistema de control interno. Se pueden establecer procedimientos
para identificar la información necesaria a cada nivel jerárquico para la toma
de decisiones.
Dichos procedimientos se basan en la regla general de que un responsable
deberá recibir la información de control necesaria para influir en las actuacio-
nes o el comportamiento de las personas bajo su responsabilidad o para conse-
guir los objetivos de la actividad. En el caso de un director general, normal-
mente deseará que le comuniquen, por ejemplo, las infracciones graves de
políticas y procedimientos, así como que le faciliten la documentación de las
incidencias que podrían tener importantes consecuencias financieras o impli-
caciones estratégicas. Los directores deben ser informados de las deficiencias
en el control interno que afecten a sus unidades. Dichas deficiencias incluyen, a
modo de ejemplo, casos en que unos activos de un determinado valor monetario
corren riesgos, cuando existen deficiencias en la competencia del personal o no
se realizan como es debido importantes conciliaciones financieras. La gerencia
deberá ser informada de las deficiencias en el control interno en sus unidades,
con mayor grado de detalle en los niveles inferiores de la organización.
Los procedimientos serán establecidos por los responsables, quienes debe-
rán definir los aspectos a comunicar por sus subordinados. El grado de detalle
variará, normalmente siendo mayor en los niveles inferiores de la organiza-
ción. Si bien los procedimientos de comunicación pueden limitar la eficacia
de la comunicación si se definen de modo demasiado restrictivo, también
pueden mejorar el proceso de comunicación si se les incorpora suficiente
flexibilidad.
Las personas a las que se han de comunicar las deficiencias tal vez esta-
blezcan orientaciones específicas con respecto a la información a comunicar.
El consejo de administración o el comité de auditoría, por ejemplo, podrían
pedir a la dirección o a los auditores (internos o externos) que se les informe
solamente de las deficiencias detectadas que lleguen a un determinado umbral
de gravedad o de importancia. Un umbral utilizado en la auditoría es el de "las
deficiencias a comunicar". Las mismas quedan definidas a continuación:
"... deficiencias importantes en el diseño o en el funciona-

miento del control interno que pudieran tener un efecto negativo
en la capacidad de la entidad para registrar, procesar, resumir y
presentar información financiera de acuerdo con las aseveracio-
nes implícitas efectuadas por la dirección en los estados financie-
ros"1.
Esta definición se aplica al objetivo de fiabilidad de la información finan-

ciera, si bien se podría adaptar el concepto para dar cobertura a los objetivos
operacionales y de cumplimiento.

Las actividades de supervisión continuada en la pequeña y mediana em-
presa seguramente serán más informales, implicando al director general y a
otros directivos clave. El seguimiento que éstos realizan se deriva del control
que ejercen sobre la empresa, a través de la participación activa en la mayoría
de los aspectos del negocio, si no en todos. Su participación estrecha en el día
a día suele poner de manifiesto las desviaciones importantes respecto de las
previsiones, así como toda inexactitud en los datos operativos y financieros.
El director-propietario de una empresa visitará el taller, las instalaciones de
montaje o el almacén a menudo, comparando el inventario físico con los
importes generados por el sistema informático. El conocimiento directo de las
reclamaciones realizadas por clientes y vendedores, así como de toda comuni-
cación recibida de los organismos públicos, también puede poner a la direc-
ción de la pequeña y mediana empresa en la pista de problemas operativos o
de cumplimiento, que posiblemente tengan su origen en un fallo en los con-
troles.
En la pequeña empresa seguramente no se realizan evaluaciones puntuales
de los sistemas de control interno, lo que se compensa con actividades de
supervisión continuada de gran eficacia. En la empresa mediana, puede existir
un auditor interno que realiza las evaluaciones puntuales. Incluso en las em-
presas más pequeñas, es posible que se asignen algunas tareas al personal
contable, lo que hace las veces de una evaluación de los controles. Algunas
empresas encargan la evaluación de determinados aspectos del sistema de
control al auditor externo, posiblemente de forma rotativa, para informar al
director general sobre la eficacia de los controles.
1
"Las deficiencias a comunicar" incluyen las denominadas "deficiencias significativas" que se describen en
detalle en la Sección tercera: "Información a terceros".
SUPERVISIÓN 105
Dado que las estructuras de las pequeñas empresas son más simples, las
deficiencias detectadas a través de los procedimientos de supervisión son fá-
cilmente comunicadas a la persona adecuada. El personal de la pequeña em-
presa suele tener clara la problemática de la que los niveles superiores de la
empresa deben tener conocimiento. Sin embargo, puede ser más difícil cono-
cer la persona responsable de determinar la causa de un problema concreto y
tomar las medidas correspondientes. Este aspecto resulta tan importante en la
pequeña y mediana empresa como en las de mayores dimensiones.
Evaluación
Para llegar a una conclusión sobre la eficacia de la supervisión del control
interno, conviene considerar tanto las actividades de supervisión continuada
como las evaluaciones puntuales del sistema de control interno, o de partes
del mismo. A continuación se detallan algunos aspectos a tener en cuenta. No
se trata de una relación exhaustiva y todos los aspectos no serán aplicables a
todas las entidades, sirviendo esta relación únicamente de punto de referencia.
La supervisión continuada
■ Hasta qué punto el personal al realizar sus actividades normales obtiene

evidencia de que el sistema de control interno está funcionando adecuada-
mente.
■ En qué medida las comunicaciones procedentes de terceros corroboran la
información generada internamente o indican problemas.
■ Comparaciones periódicas entre los importes registrados por el sistema
contable con los activos físicos.
■ Receptividad ante las recomendaciones del auditor interno y externo res-
pecto de la forma de mejorar los controles internos.
■ En qué medida los seminarios de formación, las sesiones de planificación
y otras reuniones facilitan información a la dirección sobre si los controles
operan eficazmente.
■ Si se hacen encuestas periódicas al personal para que manifieste si entien-
de y cumple el código de conducta de la entidad y si se realizan normal-
mente las tareas de control críticas.
■ Eficacia de las actividades de auditoría interna.
La evaluación puntual
■ Alcance y frecuencia de las evaluaciones puntuales del sistema de control

interno.
■ Idoneidad del proceso de evaluación.
■ Si la metodología para evaluar el sistema es lógica y adecuada.
■ Adecuado volumen y calidad de la documentación.
La comunicación de las deficiencias
■ Existencia de un mecanismo para recoger y comunicar cualquier deficien-

cia detectada en el control interno.
■ Idoneidad de los procedimientos de comunicación.
■ Idoneidad de las acciones de seguimiento.
7
Limitaciones del control interno
Resumen del capítulo: El sistema de control interno, por muy bueno que
sea su diseño y funcionamiento, es capaz de proporcionar sólo una seguridad
razonable a la dirección y al consejo de administración respecto de la conse-
cución de los objetivos de la empresa. La posibilidad de conseguir dichos
objetivos está afectada por las limitaciones inherentes de todo sistema de
control interno, que incluyen, por ejemplo, juicios erróneos en la toma de
decisiones o disfunciones debidas a fallos humanos o a simples errores. Por
otra parte, dos o más personas pueden confabularse para burlar los controles
y la dirección siempre tiene la posibilidad de eludir el sistema de control
interno. Finalmente, otra limitación es la necesidad de considerar los costes y
beneficios relativos de cada control a implantar.
Algunas personas consideran el control interno como una garantía de que

la entidad no tendrá fallos, esto es, que siempre conseguirá sus objetivos
operacionales, de información financiera y de cumplimiento. En este sentido,
a veces se considera el control interno como un remedio universal a todos los
males reales y potenciales de la empresa. Esta posición es equivocada. El
control interno no es una panacea.
Al considerar las limitaciones del control interno, tenemos que distinguir
dos conceptos distintos:
■ El control interno (incluso un control interno eficaz) funciona a diferentes

niveles con respecto a los diferentes objetivos. En el caso de los objetivos
relacionados con la eficacia y eficiencia de las operaciones (consecución
de su misión básica, de los objetivos de rentabilidad y análogos) el control
interno puede ayudar a asegurar que la dirección sea consciente del pro-
greso o del estancamiento de la entidad. Sin embargo, no puede proporcio-
nar ni siquiera una seguridad razonable de que se conseguirán los objeti-
vos.
■ El control interno no puede proporcionar una seguridad absoluta con res-
pecto a cualquiera de las tres categorías de objetivos.
El primer conjunto de limitaciones se refiere al hecho de que determinados

acontecimientos o situaciones simplemente son ajenos al control de la direc-
ción, tema que se comenta en detalle en la sección "La consecución de objeti-
vos" del Capítulo 3. El segundo conjunto de limitaciones tiene que ver con el
hecho de que ningún sistema hará siempre lo que se quiere que haga. Lo más
que se puede esperar de un sistema de control interno cualquiera es la obten-
ción de una seguridad razonable. Este capítulo trata este último aspecto.
El concepto de seguridad razonable no lleva implícito el que el sistema de
control interno falle con frecuencia. Muchos factores actúan, individual o
colectivamente, para reforzar el concepto de seguridad razonable. El efecto
acumulativo de los controles, que satisface objetivos múltiples, y la naturaleza
polifacética de los controles reducen el riesgo de que la empresa no consiga
sus objetivos. Por otra parte, las tareas diarias y responsabilidades de las
personas en los distintos niveles de la organización tienen la finalidad última
de conseguir los objetivos de la empresa. Efectivamente, de entre un grupo de
empresas bien controladas, es muy probable que la mayoría tenga información
periódica respecto del progreso realizado hacia los objetivos operacionales del
negocio, normalmente conseguirán objetivos de cumplimiento y producirán
año tras año (período tras período) estados financieros fiables. No obstante,
debido a las limitaciones inherentes comentadas anteriormente, no existe ga-
rantía alguna de que, por ejemplo, un acontecimiento ajeno al control de la
empresa, un error o una incidencia en la información financiera no ocurra
nunca. En otras palabras, incluso un sistema eficaz de control interno puede
sufrir fallos: la seguridad razonable no es sinónimo de una seguridad absoluta.
Juicio
La eficacia de los controles se verá limitada por el riesgo de errores huma-
nos en la toma de decisiones. Estas decisiones se tienen que tomar basadas en
el juicio humano, dentro de unos límites temporales, en base a la información
disponible y bajo la presión diaria del negocio. Tal vez, a la luz de la observa-
ción posterior, se concluya que algunas decisiones basadas en el juicio huma-
LIMITACIONES DEL CONTROL INTERNO 109
no hayan producido resultados no deseados, por lo que puede ser necesario

modificarlas.
A continuación se describe la naturaleza de las decisiones que afectan al
control, basadas necesariamente en el juicio humano, bajo los epígrafes "Dis-
funciones del sistema", "Controles eludidos por la dirección" y "Relación
coste/beneficio".
Disfunciones del sistema

A pesar de estar bien diseñados, los controles internos pueden fallar. Pue-
de que el personal comprenda mal las instrucciones o que se cometan errores
de juicio. También se pueden cometer errores debido a la dejadez, fatiga o
despistes. El supervisor del departamento de contabilidad, responsable de in-
vestigar todas las excepciones, podría sencillamente olvidarse o dejar de in-
vestigar lo suficiente para adoptar las medidas apropiadas. Es posible que el
personal eventual realice incorrectamente las tareas de control que normal-
mente son realizadas por empleados de baja por vacaciones o enfermedad. Es
también posible que se hayan efectuado cambios en el sistema antes de formar
al personal para que sepa reaccionar adecuadamente ante indicios de un fun-
cionamiento incorrecto del mismo.
Elusión de los controles por la dirección

El sistema de control interno no puede ser más eficaz que las personas
responsables de su funcionamiento. Incluso en las entidades que tienen un
buen entorno de control (aquéllas que tienen elevados niveles de integridad y
conciencia del control) existe la posibilidad de que el personal directivo eluda
el sistema de control interno.
El término "elusión de los controles por la dirección" en el sentido en que
se emplea aquí se refiere a la omisión de políticas o procedimientos estable-
cidos con finalidades ilegítimas, con ánimo de lucro personal o para mejorar
la presentación de la situación financiera o para disimular el incumplimiento
de obligaciones legales. El director de una división o unidad o un miembro de
la alta dirección podría eludir el sistema de control por diversos motivos: para
mejorar la cifra de negocios declarada y así disimular una reducción no antici-
pada en la cuota del mercado, para mejorar artificialmente resultados con el
fin de cumplir con unos presupuestos poco realistas, para hacer subir el valor
de mercado de la empresa antes de una oferta pública o una venta, para
infravalorar las previsiones de ventas o beneficios con el fin de aumentar los
incentivos por ventas, para disimular una situación que con arreglo a condi-
ciones contractualmente establecidas podría suponer el reembolso inmediato
de los préstamos o para encubrir el incumplimiento de determinadas obliga-
ciones legales. La elusión incluye prácticas tales como actos deliberados de
falsificación ante bancos, abogados, contables y proveedores, así como la
emisión intencionada de documentos falsos, tales como órdenes de compra y
facturas de venta.
La elusión no se ha de confundir con la intervención, término que se
refiere a los actos de la dirección efectuados con finalidades legítimas, que se
desvían de las políticas y procedimientos establecidos. La intervención de la
dirección es necesaria para hacer frente a transacciones o acontecimientos
puntuales y no recurrentes que, de otra forma, no serían procesados correcta-
mente por el sistema de control. Es necesario posibilitar la intervención de la
dirección en todo sistema de control interno, dado que es imposible diseñar un
sistema capaz de anticiparse a todas las situaciones posibles. Las intervencio-
nes de la dirección, en general, se efectúan de forma abierta y tienen su
correspondiente soporte documental, o de lo contrario se comunican al perso-
nal adecuado, mientras que la elusión normalmente ni se documenta ni se
comunica, en un claro intento de encubrir los hechos.
Confabulación
La confabulación de dos o más personas puede provocar fallos en el siste-
ma de control. Cuando las personas actúan de forma colectiva para cometer y
encubrir un acto, los datos financieros y otras informaciones de gestión pue-
den verse alterados de un modo no identificable por el sistema de control. A
modo de ejemplo, el empleado que realiza una importante función de control
podría confabularse con un cliente, proveedor u otro empleado. En otro caso,
varios estratos de la dirección comercial o divisional podrían confabularse
para burlar los controles a fin de que los resultados presentados cumplan con
los presupuestos u objetivos base para los incentivos.
Relación costes/beneficios
Los recursos siempre son escasos, debiendo las entidades considerar los
costes y beneficios relativos a la implantación de controles.
A la hora de decidir si se ha de implantar un determinado control, se
considerarán tanto el riesgo de fracaso como el posible efecto en la entidad,
junto a los costes correspondientes a la implantación del nuevo control. En
LIMITACIONES DEL CONTROL INTERNO 111
este sentido, tal vez no resulte rentable implantar un sistema muy sofisticado
de inventario para controlar los niveles de materia prima; si el coste de la
materia prima utilizada en el proceso de producción no es realmente significa-
tivo, las materias no son perecederas, existe la posibilidad de un suministro
constante de la misma y se dispone de suficiente espacio de almacenaje.
Existen distintos niveles de precisión en cuanto a la determinación del
coste y el beneficio de la implantación de controles. Generalmente resulta más
fácil determinar el coste, pudiéndose cuantificar de forma bastante precisa.
Normalmente se tienen en cuenta todos los costes directos correspondientes a
la implantación de un control, así como los costes indirectos si resultan cuan-
tificables. Algunas empresas también incluyen los costes de oportunidad aso-
ciados al uso de los recursos.
En otros casos, sin embargo, la cuantificación de costes podría entrañar
mayor dificultad. Por ejemplo, resultaría difícil cuantificar el tiempo y los
esfuerzos correspondientes a determinados factores del entorno de control,
tales como el compromiso ético de la dirección o la competencia del personal,
la evaluación de riesgos y la recogida de ciertas informaciones externas, tales
como información del mercado respecto de las preferencias de los consumido-
res. En cuanto a los beneficios, la valoración suele suponer un alto grado de
subjetividad. Por ejemplo, los beneficios aportados por programas de forma-
ción suelen ser evidentes, si bien difíciles de cuantificar. No obstante, existen
determinados factores que se pueden considerar al evaluar los beneficios po-
tenciales: la probabilidad de que la condición no deseada se haga realidad, la
naturaleza de las actividades y el efecto potencial financiero u operativo que
el hecho pueda tener en la entidad.
La relación costes/beneficios se vuelve más compleja al existir relaciones
entre los controles y las actividades. En el caso de controles integrados o
incorporados en los procesos de gestión y del negocio, será difícil aislar los
costes y beneficios correspondientes.
Igualmente, muchas veces un conjunto de controles de variada naturaleza
pueden servir, individual o colectivamente, para reducir un determinado ries-
go. Tomemos el caso de la devolución de un envío. Cuando se contabiliza,
¿será suficiente la conciliación del inventario actualizado y el fichero maestro
de deudores con el total de devoluciones? ¿Será necesario verificar los códi-
gos de clientes individuales? Si es así, ¿hasta qué punto? ¿Será suficiente la
conciliación mensual de los ficheros auxiliares con los ficheros maestros? ¿Se
necesitarán procedimientos más amplios para asegurar que los registros auxi-
liares se actualicen correctamente por las devoluciones habidas? ¿Qué meca-
nismos están implantados para poner de manifiesto si las devoluciones son un
indicio de un problema sistemático en el diseño del producto, su fabricación,
su envío, facturación o el servicio al cliente? Las respuestas a las anteriores
preguntas dependerán de los riesgos implicados en las circunstancias concre-

tas del caso y de los costes y beneficios correspondientes a la implantación de
cada procedimiento de control.
La relación costes/beneficios también variará considerablemente en fun-
ción de la naturaleza de las actividades desarrolladas por la entidad. A modo
de ejemplo, en el caso de una empresa de venta por correspondencia, será muy
importante que el sistema informático suministre información relativa a la
frecuencia de pedidos por los clientes, el valor de cada pedido y el número de
artículos comprados en cada pedido. Por contra, en el caso de un fabricante de
veleros de primera calidad, dicha información detallada del perfil de sus clien-
tes sería mucho menos importante, y seguramente no estimaría práctico un
sistema informático de estas características desde el punto de vista de sus
costes y beneficios relativos. Debido a la poca importancia relativa de una
determinada actividad o su riesgo correspondiente, tal vez ni siquiera resulte
necesario realizar un análisis de los costes y beneficios. Es posible que no
haya justificación suficiente del esfuerzo necesario para realizar el análisis.
Es una cuestión de equilibrio. Un control excesivo resulta costoso y con-
traproducente. El cliente que realiza sus pedidos por teléfono pondrá resisten-
cia a procedimientos de aceptación de pedidos que sean demasiado farragosos
o largos. Igualmente, el banco que obliga a los prestatarios potenciales con
buen historial crediticio a hacer "malabarismos" tendrá dificultades para cap-
tar muchos clientes nuevos. Por otra parte, la falta de control supone el riesgo
de morosos. Es necesario, pues, hallar el equilibrio adecuado en un entorno
sujeto a mucha competencia. Sin embargo, a pesar de las dificultades, se
podrán tomar decisiones en base a la relación costes/beneficios.
8
Resumen del capítulo: Todos los miembros de una organización tienen al-
guna responsabilidad en materia de control interno. Sin embargo, la respon-
sabilidad del sistema de control interno recae en la dirección y, en primer
lugar, en el presidente o director general. Los responsables de las áreas de
finanzas y contabilidad son personas claves en cuanto a la forma en que la
dirección ejerce el control, si bien todo el personal directivo tiene un papel
importante en la medida que cada uno es responsable del control de las
actividades de sus unidades. Asimismo, los auditores internos contribuyen a
la eficacia continuada del sistema de control interno, si bien no son los
principales responsables en su establecimiento o mantenimiento. El consejo
de administración y su comité de auditoría supervisan el sistema de control
interno. Algunos terceros, como los auditores externos, contribuyen a menudo
a la consecución de los objetivos de la entidad y proporcionan información
útil para ejercitar el control interno. No obstante, no son responsables de la
eficacia del sistema de control interno de la entidad, ni forman parte de él.
El sistema de control interno se realiza por diferentes personas, cada una

con responsabilidades importantes. El consejo de administración (directamen-
te o a través de sus comités), la dirección, los auditores internos y demás
miembros del personal contribuyen de forma importante a la eficacia del
sistema de control interno. Determinados terceros, tales como los auditores
externos y los organismos de control, están a veces relacionados con el con-
trol interno. Debe distinguirse entre aquellas personas que son parte del siste-
ma de control interno y las que, sin serlo, pueden, por sus actuaciones, afectar
al sistema o ayudar a alcanzar los objetivos de la organización.
Las personas pertenecientes a una organización forman parte del sistema

de control interno. Contribuyen, cada una a su manera, a un control interno
efectivo, es decir, a proporcionar un grado razonable de seguridad de que se
alcancen los objetivos específicos de la entidad.
Los terceros también pueden ayudar a que la entidad consiga sus objetivos
realizando acciones que proporcionen información útil para el control interno,
o contribuyan de forma independiente al cumplimiento de sus objetivos. No
obstante, el mero hecho de contribuir, directa o indirectamente, a alcanzar los
objetivos de la entidad no implica la pertenencia a su sistema de control
interno.
Responsables
Todos los empleados de una entidad desempeñan alguna función en la
operativa del control interno. Las funciones varían según el tipo de responsa-
bilidad y el grado de implicación. Las funciones y responsabilidades de la alta
dirección, el consejo de administración, los auditores internos y demás miem-
bros del personal se explican a continuación.
La dirección
La dirección es directamente responsable de todas las actividades de una
entidad, entre ellas su sistema de control interno. Naturalmente, las responsa-
bilidades de los diferentes niveles directivos de una entidad en relación al
control interno varían, en función de su jerarquía y diferirán a menudo consi-
derablemente, según las características de la entidad.
En cualquier organización, el presidente o director general es el máximo
responsable del sistema de control interno. Uno de los aspectos más importan-
tes del ejercicio de esta responsabilidad es asegurar que existe un entorno de
control positivo. Más que ningún otro individuo o función, el presidente mar-
ca la pauta en cuanto a los factores del entorno de control y otros componen-
tes del control interno. Su influencia sobre la entidad no debe ser subestimada.
Lo que puede resultar menos obvio es la influencia que ejerce el presidente
sobre la selección de los miembros del consejo de administración. Un presi-
dente con altos valores éticos puede ayudar mucho a instaurar los mismos
valores en el consejo de administración. En cambio, un presidente que carezca
de dichos valores no podrá o no querrá tener miembros del consejo que sí los
posean. Un miembro de varios consejos y comités de auditoría ha afirmado
claramente que, si tuviera alguna duda sobre la integridad del presidente de una
entidad, rechazaría tajantemente la invitación de incorporarse a su consejo.
FUNCIONES Y RESPONSABILIDADES 115
Los consejos y comités de auditoría eficaces deben examinar la integridad y

valores éticos de los altos cargos para determinar si el sistema de control
interno dispone de los necesarios apoyos críticos.
Las responsabilidades del presidente incluyen averiguar que todos los
componentes del control interno están en funcionamiento. En general, el pre-
sidente cumple con esta responsabilidad de las siguientes maneras:
■ Dirigiendo y orientando las actividades de los altos cargos. Con su ayuda,

el presidente establece los valores, principios y políticas operativas impor-
tantes que forman la base del sistema de control interno de la entidad. Por
ejemplo, el presidente y los principales altos cargos fijan los objetivos
generales de la entidad. Ellos mismos toman medidas en cuanto a la es-
tructura organizativa de la entidad, el contenido y la comunicación de
políticas claves y el tipo de planificación y sistemas de información que se
van a utilizar.
■ Reuniéndose periódicamente con los responsables de las áreas funcionales
más importantes (ventas, marketing, producción, compras, finanzas, recur-
sos humanos, etcétera.) para revisar sus responsabilidades y, en particular,
la manera en que controlan sus actividades. El presidente aumentará sus
conocimientos sobre los controles inherentes a sus operaciones, las mejo-
ras necesarias y la evolución de las medidas en curso de mejoramiento.
Para cumplir con esa responsabilidad es muy importante que el presidente
defina de forma clara la información que necesita.
Los directivos de cada unidad tienen responsabilidad sobre el control in-

terno relacionado con los objetivos de su unidad. Ellos guían el desarrollo y la
implantación de políticas y procedimientos de control interno que permitan la
consecución de los objetivos de su unidad y aseguran que éstos sean coheren-
tes con los objetivos de la entidad. Los directivos en este nivel elaboran, por
ejemplo, instrucciones tanto sobre la estructura de la organización y las prácti-
cas de contratación del personal y su formación, como sobre la preparación de
presupuestos y otros sistemas de información que contribuyan al control sobre
las actividades de la unidad. Así, en una estructura con responsabilidades
descentralizadas, cada ejecutivo es, en cierta manera, el presidente de su área
de responsabilidad.
En general, los directivos asignan la responsabilidad de establecer proce-
dimientos de control interno más específicos al personal responsable de las
funciones de cada unidad, que normalmente tendrá una participación directa
en la determinación de los procedimientos de control interno específicos para
su unidad. A menudo, son responsables directos de establecer procedimientos
de control interno que permitan la consecución de los objetivos de la unidad,
como el desarrollo de procedimientos de autorización para comprar materias

primas, aceptar nuevos clientes o la revisión de informes para supervisar los
niveles de producción. También harán recomendaciones sobre los controles,
realizarán un seguimiento de su aplicación e informarán a sus superiores sobre
su funcionamiento.
En función de los niveles jerárquicos que existan en una entidad, los
responsables de subunidades, o mandos inferiores o supervisores, estarán di-
rectamente involucrados en la ejecución detallada de las políticas y procedi-
mientos de control. Su responsabilidad es emprender acciones cuando surjan
excepciones u otros problemas. Ello se traduce, por ejemplo, en la investiga-
ción de errores en la introducción de datos para las transacciones que aparez-
can en el informe de excepciones, en el análisis de las desviaciones del presu-
puesto de gastos de un departamento, en el seguimiento de pedidos de clientes
pendientes de servir o de la situación de las existencias de un producto. Los
asuntos importantes, relacionados con una transacción en particular o que sean
indicio de problemas mayores, deben comunicarse a los niveles superiores de
la organización.
Cada responsable debe tener la autoridad necesaria para ejercer sus fun-
ciones, pero también la responsabilidad en lo referente al sistema de control
interno de su área, y el presidente tiene la responsabilidad última ante el
consejo de administración.
Aunque los distintos niveles directivos tienen responsabilidades y funcio-
nes distintas en cuanto al control interno, sus actuaciones deben integrarse en
el seno del sistema de control interno de la entidad.
Responsables de las funciones financieras

Los directores financieros y sus equipos tienen una importancia vital por-
que sus actividades están estrechamente vinculadas con el resto de unidades
operativas y funcionales de una entidad. Normalmente están involucrados en
el desarrollo de presupuestos y en la planificación financiera. Controlan, si-
guen y analizan el rendimiento, no sólo desde una perspectiva financiera sino
también, en muchas ocasiones, en relación al resto de operaciones de la enti-
dad y al cumplimiento de requisitos legales. Normalmente estas actividades
forman parte de la organización central o "corporativa" de la entidad, pero a
menudo, también tienen responsabilidades claves en el seguimiento de las
actividades a nivel de división, filial u otras unidades. El director financiero,
el jefe de contabilidad, el "controller" y otros responsables de las funciones
financieras de una entidad son claves para determinar la forma en que la
dirección ejerce el control.
En el informe de la Comisión Treadway se subraya la importancia del

papel del jefe de contabilidad en prevenir y detectar información financiera
fraudulenta: "Como miembro de la dirección, el jefe de contabilidad contribuye
a establecer las normas éticas de comportamiento de la organización. Es res-
ponsable de los estados financieros y, en general, es el último responsable en
el diseño, implantación y supervisión del sistema de información financiera de
la entidad. Está en una posición clave para identificar situaciones anormales
causadas por información financiera fraudulenta". El informe especifica que
las funciones propias del jefe de contabilidad pueden ser desempeñadas por el
director financiero o el "controller".
Cuando se examinan los componentes del control interno, está claro que el
director financiero (o el jefe de contabilidad) y su equipo tienen funciones
básicas. Deberían tener un papel importante a la hora de establecer los objeti-
vos y decidir sobre la estrategia de la organización, analizar los riesgos y
tomar decisiones sobre cómo implantar cambios que afecten a la entidad. Su
aportación a dichos procesos es valiosa y su posición es estratégica para
asegurar la supervisión y el seguimiento de las actuaciones decididas.
Por consiguiente, las intervenciones del director financiero (o del jefe de
contabilidad) deberían tener la misma relevancia que las de los demás respon-
sables operativos y funcionales de la entidad. Cualquier intento de la dirección
de limitar su área de influencia (por ejemplo, únicamente a las áreas de infor-
mación financiera y tesorería) podría limitar seriamente la capacidad de éxito
de cualquier entidad.
Consejo de administración
La dirección es responsable ante el consejo de administración, cuya fun-
ción es gobernar, orientar y controlar las actividades de la entidad. Al selec-
cionar a la dirección, el consejo define sus expectativas en cuanto a integridad
y valores éticos, debiendo confirmarlas mediante sus actividades de supervi-
sión. Además, al reservarse la autoridad para tomar decisiones de cierta rele-
vancia, el consejo puede desempeñar un papel importante en el estable-
cimiento de objetivos y en la planificación estratégica. A través de su
supervisión, el consejo se involucra en todos los aspectos referentes al control
interno.
El consejero eficaz es objetivo, competente y curioso. Conoce las activida-
des y el entorno de la entidad y dedica el tiempo necesario al desempeño de
sus responsabilidades en el consejo. Debería disponer de los medios necesa-
rios para investigar cualquier asunto que considere importante, y debería po-
derse comunicar abiertamente y sin restricciones con todo el personal, inclu-
yendo los auditores internos, así como con los auditores externos y los aseso-
res legales.
Muchos consejos de administración llevan a cabo sus tareas a través de
comités. Sus funciones y la importancia de sus trabajos varían de una entidad
a otra, pero suelen incluir las áreas de auditoría, remuneraciones, finanzas,
nombramientos y prestaciones sociales. Cada comité puede poner un énfasis
específico en determinados elementos del control interno. Por ejemplo, el
comité de auditoría tiene un papel directo en la información financiera y el
comité de nombramientos desempeña un papel importante en el control inter-
no, al considerar la competencia de posibles futuros miembros del consejo. De
hecho, todos los comités del consejo, a través de su papel de supervisión, son
elementos importantes del sistema de control interno. Para las áreas en que no
se haya creado un comité específico, las funciones correspondientes serán
realizadas directamente por el consejo.
Comité de auditoría
Durante los últimos años, organizaciones profesionales y organismos de
control han dedicado mucha atención al establecimiento de comités de audito-
ría. Si bien con el paso del tiempo se les ha dado cada vez más importancia,
los comités de auditoría no son obligatorios ni están definidas de manera
oficial sus tareas y actividades específicas. Los comités de auditoría tienen
responsabilidades diferentes de una entidad a otra, variando también la impor-
tancia de su participación.
Si bien son necesarias y apropiadas algunas diferencias en cuanto a res-
ponsabilidades y funciones, existen ciertas características que, en general, son
comunes a todo comité de auditoría eficaz. Aunque la dirección es responsa-
ble de la fiabilidad de los estados financieros, un comité de auditoría eficaz
también desempeña un papel importante. El comité de auditoría (o, en su
defecto, el consejo) está en una posición privilegiada. Tiene la autoridad para
interrogar a los directivos sobre la forma en que están asumiendo sus respon-
sabilidades en cuanto a la información financiera, y para asegurar que se
tomen medidas correctivas. El comité de auditoría, junto con, o además de,
una función de auditoría interna fuerte, está muchas veces en la mejor posi-
ción dentro de una entidad para identificar situaciones en que los altos directi-
vos intentan eludir los controles internos o tergiversar los resultados financie-
ros y actuar en consecuencia. Por ello, existen situaciones en las que el comité
de auditoría o el consejo deben afrontar directamente asuntos o circunstancias
graves.
La Comisión Treadway ha emitido directrices generales sobre el tamaño
del comité de auditoría y los plazos de nombramiento, calendarios de reunió-
nes y participantes, información al consejo, el conocimiento por parte de cada

miembro de las operaciones de la empresa, la revisión de los planes de los
auditores internos y externos, la adopción de nuevos principios de contabili-
dad, estimaciones importantes, reservas, contingencias y las variaciones de un
ejercicio a otro.
La Comisión Treadway ha hecho hincapié en la utilidad de los comités de
auditoría y recomienda la obligatoriedad de constituir comités de auditoría
compuestos únicamente por consejeros independientes en las empresas con
cotización en bolsa. La New York Stock Exchange exige la existencia de
dichos comités y la National Association of Securities Dealers exige comités
de auditoría con una mayoría de consejeros independientes a las empresas que
tengan acciones u obligaciones cotizadas en el NASDAQ (National Market
System). La Comisión Treadway ha reconocido las dificultades prácticas, so-
bre todo para empresas pequeñas que no lleven cotizando en bolsa mucho
tiempo, de reclutar un número suficiente de consejeros independientes y cuali-
ficados. También ha reconocido que pueden existir procedimientos y contro-
les que sean funcionalmente equivalentes a un comité de auditoría. Si bien no
hay una obligación general de constituir éstos comités de auditoría, está claro
que su presencia refuerza el control interno. Tener un comité de auditoría
compuesto por consejeros independientes tiene sentido incluso para las em-
presas pequeñas, si es factible.
Comité de remuneraciones
Este comité puede asegurar que se potencien acuerdos salariales que con-
tribuyan a alcanzar los objetivos de la entidad y que no pongan demasiado
énfasis en el corto plazo en detrimento de los resultados a largo plazo.
Comité de finanzas
Este comité es útil para controlar grandes compromisos financieros y para
asegurar que los presupuestos de inversiones estén en línea con los planes
operativos.
Comité de nombramientos
Este comité controla la selección de candidatos para ocupar los cargos
directivos y, en ocasiones, para los altos cargos.
Comité de prestaciones sociales

Este comité supervisa los planes de prestaciones a los empleados y asegu-
ra su coherencia con los objetivos de la entidad y el correcto cumplimiento de
las responsabilidades fiduciarias.
Otros comités
El consejo de administración puede proceder a la creación de otros comi-
tés que supervisen otras áreas específicas, tales como el respeto de normas
éticas, políticas públicas y tecnología. En general, estos comités sólo se esta-
blecen en algunas grandes organizaciones o en circunstancias particulares.
Auditores internos
Los auditores internos examinan directamente los controles internos y re-
comiendan mejoras a los mismos. Las normas emitidas por el Institute of
Internal Auditors especifican que el alcance de una auditoría interna debería
abarcar el examen y la evaluación de la suficiencia y la efectividad del siste-
ma de control interno de la entidad así como una evaluación cualitativa de las
actuaciones individuales para cumplir con las responsabilidades asignadas1.
Según dichas normas, los auditores internos deberían:
■ "Revisar la fiabilidad y la integridad de la información financiera y opera-

tiva y los procedimientos empleados para identificar, medir, clasificar y
difundir dicha información."
■ "Revisar los sistemas establecidos para asegurar el cumplimiento de aque-
llas políticas, planes, procedimientos, leyes y normativas susceptibles de
tener un efecto importante sobre las operaciones e informes, así como
determinar si la organización cumple con los mismos."
■ "Revisar los medios utilizados para la salvaguarda de activos y verificar la
existencia de los mismos."
■ "Valorar la eficiencia en el empleo de los recursos".
■ "Revisar las operaciones o programas para cerciorarse de si los resultados
son coherentes con los objetivos y las metas establecidas y si se han
llevado a cabo según los planes previstos."
1
The Institute of Internal Auditors, Inc., Codification of Standards for the Professional Practice of Internal
Auditing (Altamonte Springs, FL:IIA, 1989)
Todas las actividades dentro de una organización caen, potencialmente,

dentro del ámbito de responsabilidad de los auditores internos. En algunas
entidades, la función de auditoría interna está muy involucrada en los contro-
les sobre las operaciones. Por ejemplo, los auditores internos pueden verificar
periódicamente la calidad de la producción, los envíos a clientes en los plazos
previstos o la eficiencia de la organización de la fábrica. En otras organizacio-
nes, la función de auditoría interna puede centrarse básicamente en el cumpli-
miento de requerimientos legales o en actividades relacionadas con la infor-
mación financiera.
Las normas del Institute of Internal Auditors también delimitan la respon-
sabilidad del auditor interno en sus actuaciones. Estas normas establecen,
entre otras cosas, que los auditores internos deberían ser independientes de
las actividades que auditan. Esta independencia resulta, o debería resultar, de
su posición y autoridad dentro de la entidad y del reconocimiento de su
objetividad.
Su posición y autoridad en el seno de una organización depende de que
exista una vía de comunicación con una persona que tenga la autoridad sufi-
ciente para asegurar, por un lado, la cobertura de todas las actividades de la
entidad por parte de la auditoría, y, por otro, la profesionalidad con que se
afronten los problemas y la validez de las soluciones aportadas. Sus prerroga-
tivas también dependen de que el consejo de administración o el comité de
auditoría aprueben el nombramiento y destitución del responsable de la audi-
toría interna, las vías de comunicación que existan entre el auditor interno y el
consejo o comité de auditoría y la autoridad que tenga para efectuar un segui-
miento de las conclusiones y recomendaciones a las que haya llegado a través
de su trabajo.
Los auditores internos solo pueden ser imparciales cuando no están obli-
gados a subordinar su juicio sobre asuntos de auditoría al juicio de otros. El
principal medio de asegurar la objetividad de la auditoría interna es la asigna-
ción de personal adecuado para la función de auditoría, evitando posibles
conflictos de intereses y prejuicios. Debería haber una rotación periódica en el
personal asignado y los auditores internos no deberían asumir responsabilida-
des operativas. Igualmente, no deberían estar asignados a la auditoría de
actividades en las cuales hubiesen tenido alguna responsabilidad operativa
reciente.
Debe recordarse que la función de auditoría interna (en contra de lo que
cree algún sector de opinión) no tiene como responsabilidad principal el esta-
blecimiento o mantenimiento del sistema de control interno. Esta responsabili-
dad, como se ha dicho antes, le incumbe al presidente, junto con los altos
directivos (que pueden incluir al responsable del departamento de auditoría
interna). Los auditores internos tienen un papel importante en la evaluación de
la eficacia de los sistemas de control, contribuyendo así a su eficacia conti-

nuada. Gracias a su posición y autoridad en el seno de una entidad, y a la
objetividad en el desarrollo de sus actividades, la auditoría interna desempeña,
a menudo, un papel muy importante en el control interno eficaz.
Otro personal de la entidad

El control interno es, en cierto modo, responsabilidad de todos los miem-
bros de la organización por lo que debería ser mencionado, de manera explíci-
ta o implícita, en la descripción de los puestos de trabajo de todos los emplea-
dos. Esta responsabilidad es doble:
■ En primer lugar, casi todos los empleados desempeñan algún papel a la

hora de efectuar el control. Puede ser que generen información utilizada
en el sistema de control interno (por ejemplo, registros de existencias,
información sobre el trabajo en curso, estadísticas de ventas o de gastos),
o que tomen las medidas necesarias para asegurar el control. Estas actua-
ciones incluyen, por ejemplo, la realización de conciliaciones, el segui-
miento de informes de excepciones, la realización de recuentos físicos, o
el análisis de las variaciones en costes u otros indicadores de rendimiento.
El esmero con el que se realizan estas actividades incide directamente en
la eficacia del sistema de control interno.
■ En segundo lugar, todo el personal debería poner en conocimiento de los
niveles superiores cualquier problema operativo, incumplimiento del códi-
go de conducta o de las políticas establecidas o actuaciones ilegales. El
control interno depende de las comprobaciones, la segregación de funcio-
nes, y de que los empleados no "hagan la vista gorda" ante actuaciones
incorrectas o irregulares. El personal debería entender la necesidad de no
ceder ante las presiones de sus superiores para participar en actividades
irregulares y, en consecuencia, deberían existir vías de comunicación fue-
ra de las habituales para permitir la denuncia de tales circunstancias.
El control interno es asunto de todos y las funciones y las responsabilida-

des de todo el personal deben quedar bien definidos y ser comunicados de
forma eficaz.
Terceros ajenos a la entidad

Otras personas ajenas a la entidad pueden contribuir a la realización de sus
objetivos, a veces a través de actividades paralelas a las que tienen lugar
dentro de la misma. En otros casos, pueden proporcionar información útil para

las actividades de control interno de la entidad.
Auditores externos
Quizás ningún otro tercero ajeno a la entidad tenga un papel tan importan-
te en la consecución de sus objetivos de información financiera como los
auditores externos. Ellos aportan a la dirección y al consejo de administración
un punto de vista objetivo e independiente, y contribuyen a la consecución de
los objetivos de información financiera operativos y de cumplimiento de los
requisitos legales de la entidad.
En relación con la auditoría de estados financieros, el auditor expresa una
opinión sobre la imagen fiel presentada por los estados financieros conforme a
los principios contables generalmente aceptados y así contribuye a alcanzar
los objetivos de información financiera de la entidad. El grado de seguridad
que el sistema de control interno de una entidad puede proporcionar, con
respecto a la presentación fiel de los estados financieros, queda reforzado por
los auditores externos. Además, el auditor suele proporcionar información útil
a la dirección para cumplir con sus responsabilidades en materia de control.
Hay diferentes percepciones acerca de la atención dedicada al sistema de
control interno en el transcurso de una auditoría de estados financieros. Existe
la creencia de que un informe sin salvedades sobre los estados financieros
emitido por un auditor también implica que el sistema de control interno de la
entidad es eficaz. Otros opinan que, como mínimo, el auditor ha realizado,
necesariamente, una revisión lo suficientemente profunda del sistema de con-
trol interno como para identificar todas o la mayoría de las deficiencias impor-
tantes. Ninguno de estos dos puntos de vista es acertado.
Hay que tener en cuenta que un sistema de control interno ineficaz no
significa que el auditor no pueda opinar que los estados financieros reflejan
una imagen fiel de la entidad. En tal situación el auditor centra su atención
directamente sobre los estados financieros. Si se requieren ajustes en los esta-
dos financieros, éstos se pueden registrar y se puede seguir emitiendo un
informe sin salvedades. El auditor expresa una opinión sobre los estados fi-
nancieros, no sobre el sistema de control interno. No obstante, los controles
inadecuados pueden afectar a la auditoría e incrementar su coste, debido a la
necesidad del auditor de realizar un mayor número de pruebas sobre los saldos
registrados en los estados financieros, antes de formular una opinión.
Un auditor debe adquirir conocimientos suficientes del sistema de control
de una entidad para planificar su auditoría. La atención prestada al control
interno varía de una auditoría a otra. En ocasiones se le presta mucha atención
y en otras relativamente poca. Pero, incluso en el primer caso, un auditor
normalmente no estará en situación de identificar todas las deficiencias de

control interno que pudieran existir.
En la mayoría de los casos, cuando realizan una auditoría de estados
financieros los auditores proporcionan información útil a la dirección en el
desempeño de sus responsabilidades relacionadas con el control interno:
■ Comunicando las conclusiones de la auditoría, los resultados de la revisión

analítica y las recomendaciones para tomar las medidas necesarias para
conseguir los objetivos de la entidad.
■ Comunicando las conclusiones sobre las deficiencias del control interno
detectadas en el desarrollo de la auditoría, así como sus recomendaciones
de mejora.
Esta información se comunica a la dirección y, según su importancia, al

consejo de administración o el comité de auditoría; se refiere, a menudo, no
sólo a la información financiera, sino también a las actividades operativas y al
cumplimiento de obligaciones legales y puede contribuir en gran medida a la
consecución de los objetivos de una entidad en cada una de dichas áreas.
Legisladores y organismos de control

Los legisladores y los organismos de control tienen incidencia sobre el
control interno de muchas entidades, bien controlándolas directamente, bien
obligándolas a establecer controles internos. Muchas leyes y normativas rele-
vantes se centran exclusivamente en los controles internos sobre la informa-
ción financiera, aunque algunas, especialmente las que se aplican a entidades
gubernamentales, también pueden abarcar los objetivos operacionales y de
cumplimiento.
La Foreign Corrupt Practices Act (Ley sobre Prácticas Corruptas en el
Extranjero), de 1977, obliga a las empresas que cotizan en bolsa a establecer y
mantener sistemas de control contables que satisfagan determinados objetivos.
Otras leyes y normativas federales americanas son de aplicación a programas
federales de asistencia financiera y cubren una amplia gama de actividades,
desde los derechos civiles a la gestión de tesorería, especificando los procedi-
mientos o prácticas de control interno requeridas. La Single Audit Act, de
1984, exige a los auditores externos la emisión de informes sobre el cumpli-
miento por parte de la entidad de los requisitos legales, así como sobre el
cumplimiento de la normativa de diversos sectores, como el de servicios fi-
nancieros. La Federal Deposit Insurance Corporation Improvement Act, de
1991, obliga a ciertos bancos a publicar un informe sobre la eficacia de sus
controles internos sobre la información financiera, acompañado del informe

de un auditor externo independiente.
Diversos organismos de control examinan directamente las entidades so-
bre las que tienen responsabilidad de supervisión. Por ejemplo, los inspectores
bancarios federales y estatales llevan a cabo inspecciones de bancos, centrán-
dose en muchas ocasiones en ciertos aspectos de los sistemas de control inter-
no. Estos organismos efectúan recomendaciones y en muchos casos tienen la
facultad de tomar medidas para asegurar su cumplimiento.
De esta manera, los legisladores y organismos de control inciden de dos
maneras en los sistemas de control interno de las entidades. Establecen nor-
mativas que motivan a la dirección para que asegure que los sistemas de
control interno satisfagan los mínimos establecidos por los requisitos legales y
reglamentarios. Asimismo, y tras la inspección de una entidad en particular,
proporcionan información utilizada por el sistema de control interno de la
misma, y emiten recomendaciones y algunas veces directrices a la dirección
sobre mejoras necesarias en el sistema de control interno.
Terceros relacionados con la entidad

Los clientes, los proveedores y otros terceros que tienen relación con la
entidad son una fuente importante de información que se utiliza en las activi-
dades de control:
■ Un cliente, por ejemplo, puede informar a la entidad sobre las demoras en

la entrega de pedidos, el empeoramiento de la calidad de los productos o
cualquier otro aspecto en el que no se satisfagan sus necesidades. Otro
cliente podrá ser más activo y colaborar con la entidad en el desarrollo de
la mejoras necesarias en el producto.
■ Un proveedor proporciona información sobre los pedidos, total o parcial-
mente entregados, y las facturas emitidas, permitiendo así identificar y
corregir diferencias y conciliar saldos.
■ Un proveedor potencial puede informar a la dirección acerca del intento de
corrupción por parte de un empleado de la entidad.
Estos terceros proporcionan una información que, en algunos casos, puede

ser sumamente importante para que la entidad cumpla con sus objetivos relati-
vos a operaciones, información financiera y cumplimiento de la normativa. La
entidad debe implementar los mecanismos necesarios para recibir dicha infor-
mación y tomar las medidas apropiadas. Estas medidas no deben estar dirigi-
das a afrontar y resolver únicamente una situación en concreto, sino también a
investigar y resolver la causa de fondo del problema.
Además de los clientes y los proveedores, otros terceros, tales como los
acreedores, pueden proporcionar alguna visión sobre la consecución de los
objetivos de la entidad. Un banco, por ejemplo, puede pedir informes sobre el
cumplimiento de acuerdos sobre endeudamiento y recomendar indicadores de
rendimiento o controles necesarios.
Analistas financieros, agencias de calificación de valores

y medios de comunicación
Los analistas financieros y las agencias de calificación de valores tienen
en cuenta muchos factores relevantes al determinar el valor de una entidad
como inversión. Analizan los objetivos y las estrategias de la dirección, los
estados financieros históricos, las proyecciones financieras, las acciones em-
prendidas como respuesta a las condiciones cambiantes de la economía y del
mercado, las posibilidades de éxito a corto y a largo plazo, los resultados del
sector en que operan y realizan comparaciones con otras sociedades del sec-
tor. En ocasiones, los medios de comunicación, en particular la prensa econó-
mica, también realizan análisis similares.
Las actividades de investigación y de seguimiento de estos terceros permi-
ten a la dirección conocer cómo otras personas perciben el comportamiento de
la entidad, los riesgos micro y macroeconómicos que afronta, las estrategias
innovadoras operativas y financieras que pueden mejorar el rendimiento de la
sociedad, y las tendencias en el sector. A veces esta información se comunica
de forma directa en reuniones entre los terceros y la dirección, o indirecta-
mente a través de análisis efectuados para accionistas, posibles inversores y el
público en general. En ambos casos, la dirección debería tener en cuenta las
observaciones y puntos de vista de los analistas financieros, las agencias de
calificación de valores y los medios de comunicación que puedan implicar
posibles mejoras en el control interno.
Anexo A
Antecedentes y acontecimientos
que condujeron a este estudio
La necesidad de ejercer un control dentro de las organizaciones fue

constatada por los primeros gobernantes, jefes religiosos y dirigentes
empresariales. Dada la necesidad de dirigir y supervisar las actividades de la
organización, se establecieron controles para asegurar la consecución de los
objetivos.
Con el tiempo, la importancia del control interno para el éxito de una
entidad ha sido reconocida no sólo por sus responsables sino también por un
gran número de terceros. Algunos han acudido al control interno para resolver
temas que iban más allá de aquellos que los empresarios consideraban, a
priori, relevantes para sus necesidades.
En los últimos años, diversos órganos públicos, privados y profesionales
han dedicado una considerable atención al control interno y han propuesto
recomendaciones o directrices sobre el tema. De este interés creciente han
surgido diversas filosofías que han originado distintas opiniones sobre la
naturaleza, el objetivo y la forma de conseguir un control interno eficaz. A
título informativo, se presenta a continuación un breve resumen de los des-
arrollos principales.
Quizás el primer cambio importante en la manera de considerar el control
interno surgió de la necesidad de contar con información fiable como un
medio indispensable para llevar a cabo un control eficaz. Los directivos de
empresas en expansión han venido dando cada vez más importancia al uso de
información financiera y no financiera para controlar las actividades de las
mismas. Por ello, se elaboraron sistemas para mejorar la utilidad y la fiabili-

dad de la información. Asimismo, los directivos de sociedades de mayor di-
mensión, por tamaño y empleados, han ido tomando conciencia de la necesi-
dad de controlar y limitar las decisiones que podían ser tomadas sin consultar
a un superior. De ahí el desarrollo de prácticas de dirección eficaces para
orientar las actividades de los empleados y ejercer un mayor control sobre sus
actuaciones.
Desde el punto de vista de la auditoría, hace tiempo se ha reconocido que
una auditoría de los estados financieros de entidades con sistemas de control
interno eficaces se podría llevar a cabo de forma más eficiente centrando la
atención en los controles internos. A partir de los años cuarenta, las organiza-
ciones profesionales de auditoría interna y externa han publicado informes,
recomendaciones y normas acerca de las implicaciones del control interno en
las auditorías. Estos documentos también incluyen la definición y los elemen-
tos del control interno, así como las técnicas para su evaluación y la responsa-
bilidad de las diversas partes implicadas.
Watergate
Hasta mediados de los años setenta, las actividades relativas al control
interno predominaban en las áreas de diseño de sistemas y en auditoría, cen-
trándose en cómo mejorar los sistemas de control interno y cómo integrarlos
en las auditorías. No obstante, a partir de las investigaciones del caso Water-
gate llevadas a cabo entre 1973 y 1976, las autoridades legislativas y de
control comenzaron a prestar considerable atención al control interno. Otras
investigaciones paralelas, llevadas a cabo por parte de la Oficina del Fiscal
especial del caso Watergate y la Securities and Exchange Commission revela-
ron que varias grandes empresas estadounidenses habían estado involucradas
en operaciones ilegales de financiación de partidos políticos y en pagos dudo-
sos o ilegales, entre ellos sobornos a representantes de gobiernos extranjeros.
En respuesta a estas investigaciones se creó un comité formado por miembros
del Congreso para investigar los pagos indebidos a representantes de gobier-
nos extranjeros realizados por empresas norteamericanas. Se elaboró un pro-
yecto de ley que finalmente fue aprobado con el nombre de Foreign Corrupt
Practices Act, de 1977 (FCPA).
ANEXO A: ANTECEDENTES Y ACONTECIMIENTOS QUE CONDUJERON A ESTE ESTUDIO 129
Foreign Corrupt Practices Act, de 1977

Además de las disposiciones contra sobornos, la FCPA contiene disposi-
ciones relacionadas con la contabilidad y el control interno. Según estas
disposiciones, el empresario está obligado a llevar libros, registros y cuentas
que reflejen de manera fiel y exacta las transacciones y la utilización de los
activos de la empresa y a elaborar y mantener un sistema de control interno
adecuado para conseguir ciertos objetivos. Esta ley pretendía que un buen
sistema de control interno podía actuar como medida disuasoria de pagos
ilegales.
Inmediatamente después de la aprobación de esta ley, numerosas entidades
empezaron a diseñar sistemas de control interno. Muchas empresas con
cotización en bolsa ampliaron el tamaño y las funciones de sus auditorías
internas y examinaron cuidadosamente sus sistemas de control interno. Ade-
más, varios organismos, tanto profesionales como reguladores, estudiaron di-
versos aspectos del control interno y emitieron una serie de propuestas y
directrices.
La Comisión Cohén
La Commission on Auditors' Responsabilities, más conocida como la Co-
misión Cohén, fue constituida en 1974 por el AICPA con el fin de estudiar las
responsabilidades de los auditores. Una de las recomendaciones de dicha co-
misión1 fue que, junto con los estados financieros, la dirección debía publicar
un informe sobre el sistema de control interno de la sociedad. Otra recomen-
dación fue que los auditores opinaran sobre dicho informe. Después de la
publicación de las conclusiones de la Comisión Cohén en 1978, el Financial
Executives Institute (FEI) dirigió un escrito a sus miembros aprobando la
recomendación de la Comisión Cohén en relación a la publicación de un
informe sobre el control interno y dando directrices para su aplicación. Dichos
informes han aparecido cada vez con mayor frecuencia en las memorias anua-
les dirigidas a los accionistas.
1
Report, Conclusions and Recommendations. (The Commission on Auditors' Responsibilities, 1978).
Securities and Exchange Commission (SEC)

En 1979, la SEC continuó en la línea de la Comisión Cohén y del FEI y
propuso la introducción de normas exigiendo a los directivos la publicación de
un informe sobre los procedimientos de control interno contable2. Las normas
propuestas exigían también la presentación de un informe elaborado por un
auditor externo.
La propuesta de la SEC fue importante por varias razones. Afirmaba que
mantener un sistema de control interno era siempre una responsabilidad
importante de la dirección. También sugería que la información relativa a la
eficacia del sistema de control interno de una entidad era necesaria para per-
mitir a los inversores evaluar mejor el cumplimiento de las responsabilidades
de la dirección así como la fiabilidad de información intermedia y otra infor-
mación financiera no auditada. Aunque la propuesta fue posteriormente retira-
da —tras las críticas recibidas por el coste que todo ello suponía, la irrelevan-
cia de la información que se daba y su correlación demasiado estrecha con la
FPCA en cuanto al requisito de hacer mención del cumplimiento de la ley por
las empresas— contribuyó a afianzar el reconocimiento de la responsabilidad
de la dirección de mantener un sistema eficaz de control interno sobre la
información financiera intermedia y demás información no auditada. Al retirar
la propuesta, la SEC afirmó que la cuestión de la emisión de un informe sobre
el control interno por parte de la dirección sería revisada de nuevo.
El Comité Minahan
En parte como respuesta a la FPCA y a las propuestas de informar sobre el
sistema de control interno, en 1979 el AICPA constituyó un comité especial
—Special Advisory Committee on Internal Control—, encargado de proponer
recomendaciones para establecer y evaluar el control interno. Este comité, que
se creó justo antes de la aprobación de la FPCA, fue instaurado para cubrir el
vacío detectado en materia de directrices de control interno. Las directrices
existentes sólo aparecían en bibliografía relativa a la auditoría profesional y
habían sido elaboradas especialmente para los auditores. Se consideró necesa-
rio elaborar directrices adicionales para ayudar a la dirección en el cumpli-
miento de sus responsabilidades sobre el control interno. Si bien ese comité no
fue creado específicamente con este fin, declaró que las recomendaciones que
contenía su informe ayudarían a la dirección y a los consejos de administra-
2
Statement of Management on Internal Accounting Control (SEC Reléase n° 34-15772, 1979)
ción a considerar si sus empresas cumplían con las disposiciones de control

interno establecidas por la FPCA.
Financial Executives Research Foundation (FERF)

En respuesta a la FCPA, la FERF contrató un equipo de investigadores
para estudiar la situación del control interno en las empresas estadounidenses.
Una aportación importante del estudio3 , publicado en 1980, fue la catalo-
gación de las características, condiciones, prácticas y procedimientos de con-
trol interno y la identificación de los diversos puntos de vista con respecto a la
definición, naturaleza y objetivo del control interno, así como la forma de
asegurar su eficacia. En 1981, un estudio complementario4 al anterior identi-
ficó criterios conceptuales generales para evaluar el control interno.
Pronunciamientos de auditoría
Entre 1980 y 1985 se produjo un desarrollo y perfeccionamiento de las
normas profesionales de auditoría relacionadas con el control interno:
■ En 1980, el AICPA publicó una norma sobre la evaluación del control
interno y los informes correspondientes, por parte del auditor externo5.
■ En 1982, el AICPA publicó una revisión de las directrices relativas a la
responsabilidad del auditor externo en el examen y evaluación del sistema
de control interno en el marco de una auditoría de estados financieros6.
■ En 1983, el Institute of Internal Auditors (IIA) publicó una norma dirigida
a los auditores internos que establecía nuevas directrices sobre la naturale-
za del control interno y las funciones de aquellos que intervienen en su
establecimiento y evaluación7.
■ En 1984, el AICPA publicó directrices adicionales relativas al efecto de la
informática sobre el control interno8.
3
R.K. Mautz, W.G. Kell, M.W. Maher, A.G. Merten, R.R. Reilly, D.G. Severance and B.J. White, Internal
Control in U.S. Corporations: The State of the Art (New York: Financial Executives Research Foundation, 1980).
4
R.K. Mautz and J. Winjum, Criteria for Management Control Systems (New York: Financial Executives
Research Foundation, 1980).
5
Statement on Auditing Standards N° 30. Reporting on Internal Accounting Control (New York: AICPA, 1980).
6
Statement on Auditing Standards N° 43. Ómnibus Statement on Auditing Standards (New York: AICPA,
1982).
7
Statement on Internal Auditing Standards N° 1. Control: Concepts and Responsabilities (Altamonte Springs,
FL: The Institute of Internal Auditors, Inc., 1983).
8
Statement on Auditing Standards N°. 48, The Effects of Computer Processing on the Examination of Financial
Statements (New York: AICPA. 1984).
Iniciativas legislativas
En torno a 1985 el control interno volvió a ser, y con más intensidad, el
centro de atención. A causa de una serie de fracasos empresariales y errores
de auditoría, un subcomité formado por miembros del Congreso comenzó a
indagar sobre diversos acontecimientos relacionados con empresas con cotiza-
ción en bolsa, que ponían en duda el comportamiento de la dirección, la
presentación correcta de la información financiera y la eficacia de las audito-
rías externas.
Durante estas investigaciones se redactó legislación que intentaba corregir
los problemas relacionados con la presentación de la información financiera,
incluyendo la obligación de evaluar e informar sobre la eficacia del control
interno por parte de la dirección de las sociedades con cotización en bolsa.
Uno de los proyectos de la ley contenía una disposición que requería un
informe de auditoría sobre el informe presentado por la dirección.
Aunque la citada legislación no fue aprobada, el subcomité amplió el
alcance de sus investigaciones para examinar otros aspectos del proceso de
presentación de la información financiera y mantuvo el tema de control inter-
no en el centro de la atención pública.
La Comisión Treadway
La National Commission on Fraudulent Financial Reporting, más conocida
como la Comisión Treadway, fue creada en 1985 bajo el patrocinio conjunto
de la AICPA, la American Accounting Association, el FEI, el HA y el Institu-
te of Management Accountants (IMA, antes National Association of Account-
ants). El objetivo principal de la Comisión Treadway era identificar los facto-
res causantes de información financiera fraudulenta y emitir recomendaciones
para reducir su incidencia. El informe de la comisión9, publicado en 1987,
incluía recomendaciones para la dirección y los consejos de administración de
empresas con cotización en bolsa, para los profesionales de la contabilidad, la
SEC y otros organismos de control y legislativos así como académicos.
La comisión propuso una serie de recomendaciones referentes al sistema
de control interno. Subrayó la importancia del entorno de control, los códigos
de conducta, la existencia de comités de auditoría involucrados y competentes
y una auditoría interna activa y objetiva. Reiteró la necesidad de emitir infor-
9
Report of the National Commission on Fraudulent Financial Reporting (National Commission on Fraudulent
Financial Reporting, 1987).
mes sobre la eficacia del control interno. Además, la comisión pidió que las
organizaciones patrocinadoras trabajaran juntas con el fin de integrar los di-
versos conceptos y definiciones relacionados con el control interno y desarro-
llar una base común de referencia. Se sugirió que estas guías generales ayuda-
rían a las empresas con cotización en bolsa a mejorar sus sistemas de control
interno y a juzgar su eficacia.
En base a esta recomendación, y bajo los auspicios del Committee of
Sponsoring Organization of the Treadway Commission, se formó un equipo
de trabajo para revisar la bibliografía existente sobre control interno. El estu-
dio, publicado por el IMA, recomendaba a las organizaciones patrocinadoras
que proporcionaran criterios prácticos y generalmente aceptados para estable-
cer el control interno y evaluar su efectividad. El equipo de trabajo recomendó
que los criterios fueran los adecuados para cubrir las necesidades de la direc-
ción, dado que es la última responsable en el establecimiento, supervisión,
evaluación e informe sobre el control interno. No obstante, sugirió que los
criterios fueran desarrollados de forma que pudieran ser adoptados por otros
grupos con interés en el control interno, tales como auditores internos y exter-
nos, educadores y organismos de control. Este estudio es el resultado de dicha
recomendación.
Iniciativas recientes
Han surgido otras iniciativas en materia de control interno. En 1988, el
Auditing Standards Board del AICPA publicó una nueva versión de las nor-
mas de auditoría relativas al control interno10. Esta versión define de forma
más explícita los elementos de la estructura del control interno de una entidad,
aumenta la responsabilidad de comprenderlo por parte del auditor y propor-
ciona directrices sobre la evaluación del riesgo de control en una auditoría de
los estados financieros.
Asimismo, la SEC confirmó, en 1988, la recomendación de la Comisión
Treadway en cuanto a la emisión de un informe sobre el control interno.
Propuso un reglamento que, entre otras disposiciones, exigía a la dirección
publicar informes estableciendo su responsabilidad en materia de control in-
terno así como su evaluación de la eficacia del sistema. La propuesta requería
asimismo cierto grado de participación del auditor externo en el informe pre-
sentado por la dirección.
10
Statement on Auditing Standards N" 55. Consideration of the Infernal Control Structure in a Financial State-
ment Audit (New York: AICPA, 1988). Actualmente, el Auditing Standards Board está en proceso de revisión de las
normas de información sobre el control interno.
Desde entonces, los legisladores y organismos de control han tomado di-

versas iniciativas en el ámbito del control interno. Algunas han ido dirigidas a
sectores específicos como bancos, cajas de ahorro y entidades de crédito y
empresas dependientes del Ministerio de Defensa mientras que otras han sido
más generales, pudiendo afectar a todas las entidades inscritas en la SEC. La
legislación propuesta incluía la obligación por parte de la dirección de evaluar
e informar sobre la eficacia de sus controles internos y que un auditor externo
acreditara la validez de dichos informes. Uno de estos proyectos de ley relati-
vo al sector bancario, fue aprobado por la Federal Deposit Insurance Corpora-
tion Improvement Act, de 1991. Los interesados en el tema esperan que surjan
más iniciativas de este tipo.
También en 1991 se ultimaron dos iniciativas diferentes que contemplaban
ciertos aspectos del control interno. En primer lugar, el Institute of Internal
Auditors' Research Foundation publicó un informe con directrices sobre el
control y la auditoría de los sistemas de información11. En ese mismo año, la
US Sentencing Commission aprobó unas directrices12 para el uso del derecho
penal en la determinación de las sanciones correspondientes a delitos cometi-
dos en el entorno profesional. Estas directrices, que permiten reducir conside-
rablemente las sanciones a las entidades que cuenten con sistemas efectivos
para prevenir y detectar acciones ilegales, contemplan en gran medida lo que
se consideran controles internos relacionados con el cumplimiento de leyes y
normas.
El estudio
A lo largo de los años, se ha desarrollado una gran diversidad de concep-
tos y puntos de vista relacionados con el control interno, materializados en
proyectos de ley, reglamentos, normas profesionales y directrices, informes
públicos y privados y bibliografía especializada.
El alcance de estos documentos es tan amplio como los posibles objetivos
del control interno y las muchas perspectivas desde las que puede ser contem-
plado. Contienen distintas definiciones del control interno, diferentes opinio-
nes acerca de la función del control interno en una entidad y cómo debe ser
establecido, así como opiniones diversas sobre cómo se debe evaluar la efica-
cia de dicho control.
11
Systems Auditability and Control (Altamonte Springs, FL: The Institute of Internal Auditors Research Founda-
tion, 1991).
12
United States Sentencing Commission, Federal Sentencing Guidelines (Washington, DC, 1991).
El mayor énfasis dado al control interno, tanto por el sector público como
el privado, ha aumentado la sensibilidad de la dirección, los auditores internos
y externos, legisladores y organismos de control y académicos y el público en
general hacia la necesidad de un sistema eficaz de control interno para dirigir
y controlar las actividades de una entidad. Este estudio se inició para llegar a
una interpretación común del control interno por todas las partes implicadas y
para ayudar a la dirección a ejercer un control más eficaz sobre las actividades
de su organización.
Anexo B
La metodología
La metodología empleada para realizar este estudio tenía por objeto la

elaboración de un informe que satisficiera los objetivos siguientes: ayudar a la
dirección a mejorar los sistemas de control interno de sus entidades y ofrecer
a todas las partes interesadas una interpretación estándar del control interno.
Esta metodología tenía como objetivo la obtención de un informe que sentara
las bases teóricas del control interno, además de satisfacer las necesidades de
los directivos y demás responsables en su implantación a nivel práctico.
Dada la gran diversidad de necesidades, se diseñó el plan del proyecto de
forma que contemplara los puntos de vista de todas las personas que pudieran
estar interesadas en el control interno, entre ellas, ejecutivos, legisladores,
miembros de la administración pública, académicos y auditores. Numerosos
directivos de categorías diversas (directores generales, directores financieros,
controllers, auditores internos) pertenecientes a sociedades de distintos tama-
ños, con cotización en bolsa o no, y de diferentes sectores, han contribuido a
este proyecto.
El proyecto se realizó en siete fases:
1. Recopilación de información: con el fin de identificar los diferentes con-

ceptos, puntos de vista e interpretaciones que existen respecto al control
interno.
2. Entrevistas individuales: para recoger los puntos de vista de personas bien
informadas y de diversa procedencia, sobre cómo controlan las actividades
de sus empresas, tanto a nivel teórico como en la práctica.
3. Cuestionario: con el fin de obtener aportaciones adicionales respecto a

determinados aspectos poco claros en la información obtenida en las fases
anteriores.
4. Grupos de trabajo: para obtener comentarios y recomendaciones sobre el
primer borrador del informe.
5. Presentación del informe: con el fin de determinar la validez del informe,
su lógica y su utilidad para los directivos de empresas y otras partes
interesadas.
6. Pruebas: con el fin de obtener respuestas adicionales sobre los criterios de
evaluación, las metodologías y las herramientas utilizadas.
7. Segunda presentación y reuniones: con el fin de determinar si las modifi-
caciones al primer borrador recogían adecuadamente los problemas identi-
ficados.
El proyecto fue diseñado como un proceso acumulativo, por lo que no se

trataron todas las materias en cada fase. Los resultados de una fase alimenta-
ban la siguiente y determinaban su desarrollo posterior. De este modo, los
conceptos, elementos y criterios recogidos en este informe evolucionaron a lo
largo del proyecto, siendo el resultado de informaciones recibidas en cada una
de las fases de dicho proyecto.
Como era de esperar, las opiniones sobre los temas tratados eran diversas
y a veces contradictorias, tanto dentro de una fase del proyecto como entre las
distintas fases. El equipo del proyecto sopesaba la validez de las distintas
posturas, tanto de forma individual como teniendo en cuenta su efecto sobre
los temas relacionados, otorgando mayor importancia a aquéllas que facilita-
sen el desarrollo de criterios pertinentes, lógicos y coherentes.
A lo largo del proyecto, el equipo recibió el asesoramiento y las recomen-
daciones del Advisory Council to the Committee of Sponsoring Organiza-
tions. Dicho consejo, compuesto por directores financieros, auditores internos
y externos y académicos, se reunía periódicamente con el equipo para revisar
el plan del proyecto, estudiar los borradores del informe y comentar las cues-
tiones surgidas. El punto de vista del Advisory Council se refleja sin restric-
ciones en este informe.
A continuación se resumen las fases del proyecto.
Recopilación de información
Se recopiló información con el fin de identificar los diferentes conceptos,
puntos de vista e interpretaciones del control interno, es decir, se identificó
ANEXO B: LA METODOLOGÍA 139
información relevante ya publicada. La información se obtuvo principalmente

de dos bases de datos.
Se utilizó la base de datos Accountants Index para identificar la biblio-
grafía relacionada de forma directa con el control interno. Por otra parte, se
recurrió a la base de datos Abstracted Business Information/Inform para iden-
tificar fuentes no relacionadas directamente con el control interno aplicado a
la información financiera, centrándose en campos no relacionados con la con-
tabilidad y la auditoría. Por ejemplo, se encontraron documentos sobre los
criterios de evaluación de la eficacia de un departamento de investigación y
desarrollo, de una institución académica y de un centro de asistencia sanitaria.
El equipo del proyecto leyó resúmenes de aproximadamente 1.700 artícu-
los, libros y otras publicaciones con información susceptible de ser útil. A
partir de dichos resúmenes, se seleccionaron y leyeron 700 documentos apro-
ximadamente, los cuales se complementaron con información procedente de
otras fuentes aportadas al equipo.
Entrevistas individuales
Se realizaron entrevistas con directores generales, directores financieros,
legisladores, miembros de la administración pública, auditores, consultores de
gestión y académicos.
Los directivos de empresa fueron seleccionados mediante un proceso de
selección aleatoria coordinado por la Decisión Research Corporation (DRC)
con la ayuda de la base de datos FINEX, con el fin de obtener una muestra
representativa basada en el tamaño de las empresas, su localización geográfi-
ca, el sector y la estructura del accionariado. Esta muestra fue completada con
otras personas designadas por la Financial Executives Research Foundation, el
Advisory Council y el equipo del proyecto.
Se realizaron 45 entrevistas individuales según el siguiente detalle:
Directores generales .......................................................... 7

Directores financieros ..................................................... 14
Controllers ....................................................................... 2
Auditores internos ............................................................ 1
Legisladores y miembros de la administración pública . 8
Directivos de firmas auditoras y consultoras de
distintas dimensiones................................................... 8
Académicos ........................................................................ 5
TOTAL .............................................................................. 45
Muchos entrevistados iban acompañados por colegas de la profesión. Ge-

neralmente, dos miembros del proyecto asistían a las entrevistas, que se reali-
zaban de acuerdo con la guía preparada por el equipo del proyecto con la
cooperación de la DRC. Los resultados de las entrevistas se resumieron en un
formato estándar.
Cuestionario
El cuestionario fue diseñado para obtener aportaciones adicionales a una
serie de temas que, como consecuencia de las informaciones obtenidas en
fases anteriores, el equipo del proyecto identificó como susceptibles de ser
estudiados en mayor profundidad.
Se enviaron cuestionarios a directivos de empresas (directores generales,
directores financieros, controllers y directores de auditoría interna), miembros
de consejos de administración y de la administración pública, legisladores,
auditores externos y académicos.
Los directivos incluidos en el mailing fueron seleccionados al azar por la
DRC a partir de la base de datos FINEX. La selección de los administradores
se hizo en base a los otorgamientos de poderes publicados durante el año
anterior al mailing. El equipo seleccionó los legisladores y miembros de la
administración pública de acuerdo con los datos obtenidos durante las entre-
vistas individuales y, en el caso de determinadas categorías funcionales, tales
como comisiones de bancos o de aseguradoras, con la ayuda del Congressio-
nal Directory for Committees, Departments or Independent Agencies y del
State Legislative Leadership, Committees & Staff del período 1989-1990. Los
auditores externos fueron seleccionados por el equipo del proyecto a partir de
una lista facilitada por el AICPA, que incluía socios de auditoría y consultoría
de firmas de diverso tamaño y de distintos puntos del país. Los académicos,
entre ellos, profesores universitarios de contabilidad, finanzas y dirección de
empresas, fueron seleccionados a partir del Accounting and Faculty Directory
de 1989, así como de listas recomendadas por los decanos de escuelas de
negocios.
Las 522 respuestas recibidas se distribuyen de la siguiente forma:

Directores financieros ..................................................... 108
Controllers ...................................................................... 78
Responsables de auditoría interna .................................... 86
Miembros de consejos de administración, incluyendo
presidentes y miembros de comités de auditoría .......... 26
Legisladores y miembros de la administración pública . 60

Auditores externos ............................................................ 49
Académicos ....................................................................... 81
TOTAL .............................................................................. 522
Grupos de trabajo
Se organizaron ocho grupos de trabajo para obtener comentarios y reco-
mendaciones en relación al primer borrador del informe. Se organizó un grupo
de trabajo con cada una de las cinco organizaciones patrocinadoras, uno con
miembros de organismos legislativos y de control, uno con directivos del
sector de servicios financieros y otro con representantes del Committee on
Law and Accounting de la Business Law Section de la American Bar Associa-
tion.
Todas las organizaciones patrocinadoras designaron a los miembros de su
organización que debían participar en los grupos. El equipo del proyecto se-
leccionó a las personas que debían participar en el grupo de organismos legis-
lativos y de control; el FERF seleccionó los participantes en el grupo del
sector de servicios financieros y el presidente del ABA seleccionó a los parti-
cipantes de este último grupo.
Cada grupo fue dirigido por dos miembros del equipo del proyecto. Pre-
viamente, los participantes habían recibido una copia del borrador del informe
para que pudiesen identificar los temas que debían ser discutidos. Los grupos
de trabajo constaban de una presentación general del proyecto y del borrador
del informe, seguida por una discusión de los temas identificados en la lectura
previa.
Presentación del informe

Con el fin de recoger comentarios sobre el informe, se distribuyó un bo-
rrador del mismo a los miembros de las cinco organizaciones patrocinadoras,
a directores generales, legisladores y organismos federales. Se distribuyeron
más de 40.000 copias.
Se recibieron 211 cartas procedentes de las siguientes categorías profesio-
nales (los comentarios de organizaciones profesionales se recogen en la cate-
goría correspondiente):

Directores financieros y controllers ................................ 107
Auditores internos ........................................................... 37
Legisladores y organismos públicos................................. 12
Auditores externos............................................................. 23
Académicos ........................................................................ 14
Otros ................................................................................. 5
TOTAL ............................................................................... 211
Pruebas
Con el fin de obtener información adicional, cinco empresas realizaron
pruebas sobre los criterios de evaluación, la metodología y las herramientas
utilizadas. Las empresas provenían de sectores distintos, desde empresas con
ventas inferiores a 10 millones de dólares, hasta una empresa con una cifra de
ventas de miles de millones de dólares. Los encargados del análisis sopesaron
cada aspecto, centrándose en al menos una actividad: en algunos casos, la
evaluación se limitó a los controles sobre la información financiera y en otros,
se analizaron también los controles operacionales y de cumplimiento.
Presentación y reuniones
Se distribuyó el informe revisado a las personas que habían contestado a la
distribución del primer borrador, a grupos elegidos por las organizaciones
patrocinadoras y a otros que lo solicitaron. Se distribuyó un total de 3.000
copias aproximadamente y se recibieron 45 cartas con comentarios.
Se celebraron doce reuniones, con un alcance similar al de los grupos de
trabajo, para obtener comentarios y recomendaciones sobre el borrador revisa-
do. Se celebraron un total de cinco reuniones con cuatro de las organizaciones
patrocinadoras. Asimismo, se celebraron reuniones con representantes de or-
ganismos de control del sector bancario, de la SEC y el General Accounting
Office y del Committee on Law and Accounting de la Business Law Section
de la American Bar Association, así como con miembros del American Ban-
king Association, de consejos de administración, de comités de auditoría y del
AICPA Public Oversight Board. Por otra parte, se celebró una reunión abierta
con aquellos que habían recibido el borrador revisado y que no habían partici-
pado en las otras reuniones.
Agradecimientos
El Project Advisory Council y Coopers & Lybrand desean expresar su
agradecimiento a las personas que hicieron contribuciones importantes a este
estudio.
Las siguientes personas aportaron sus comentarios sobre diversos temas
durante las reuniones: Lewis E. Burnham, auditor general, Phillips Petroleum;
John H. Dykes, vicepresidente y director financiero, Engraph Inc.; Williard E.
Hick, segundo vicepresidente, Mass. Mutual Life Insurance Company; James
K. Loebbecke, School of Accounting, College of Business, Universidad de
Utah; James L. Moody, Jr., presidente y director general, Hannaford Bros. Co;
Donald S. Perkins, ex-presidente del consejo de administración, Jewel Com-
panies, Inc.; Owen Robbins, vicepresidente financiero, Teradyne; Robert J.
Sack, profesor, Darden Gradúate School of Business, Universidad de Virgi-
nia; Edward J. Sot, controller, Merck & Co., Inc.; John B. Sullivan, socio,
Deloitte & Touche; y Dr. Wanda A. Wallace, School of Business Administra-
tion, The College of William and Mary.
Las siguientes personas asesoraron a Coopers & Lybrand en el transcurso
del estudio: Henry R. Jaenicke, profesor de contabilidad, Universidad de Dre-
xel; Alan J. Winters, profesor de contabilidad, Universidad de Carolina del
Sur; y Maureen Berman, Decisión Research Corporation.
Roland L. Laing de la Financial Executives Research Foundation coordinó
las primeras fases del estudio.
Muchas otras personas, entre ellas ejecutivos, miembros de la administra-
ción pública, auditores y académicos dedicaron tiempo y esfuerzos participan-
do y contribuyendo en diferentes aspectos de este estudio.
Anexo C
Interpretaciones de la definición
Muchos grupos utilizan, pero con diferente significado, el término "con-

trol interno" o un término similar. Para responder a las necesidades de cada
grupo se han creado diferentes términos y definiciones, empleados tanto en la
práctica como en la bibliografía existente sobre el control interno.
Si bien es necesario que haya diferentes acepciones sobre el control inter-
no, la variedad de las definiciones impide tener una noción clara sobre el
mismo. Por ello, los responsables ejecutivos o financieros, los administrado-
res, los auditores internos y externos, los legisladores y organismos de con-
trol, así como los inversores y los acreedores, a menudo perciben de forma
distinta el control interno.
Antes de intentar definir el control interno, sería necesario revisar el signi-
ficado de las palabras "control" e "interno", para después considerar las inter-
pretaciones de las distintas partes.
La palabra "control" puede tener las siguientes acepciones: comprobación,
inspección, fiscalización, intervención; dominio, mando, preponderancia; re-
gulación, normal o automática, sobre un sistema1. Estas definiciones hacen
todas referencia a la guía o dirección de actividades, pero no se centran en el
resultado final deseado. Sin embargo, el concepto de búsqueda de un objetivo
deseado sí que aparece en la siguiente definición:
"Ejercer una influencia deliberada para conseguir un objetivo

predeterminado"2.
1
Real Academia Española, Diccionario de la Lengua Española, vigésima primera edición (Espasa Calpe,1992).
2
James R. Beniger, The Control Revolution (Cambridge, MA: Harvard University Press, 1986).
Esta definición engloba dos conceptos estrechamente relacionados:
■ Para ejercer el control, es necesaria la existencia de objetivos predetermi-

nados. Sin objetivos, el control carece de sentido.
■ Ejercer un control implica ejercer influencia sobre alguien o sobre algo
—por ejemplo, los empleados, una unidad de negocio o toda una empre-
sa— con el fin de alcanzar los objetivos.
Establecer objetivos y emprender acciones para conseguirlos son elemen-

tos fundamentales del concepto de control. Las acciones pueden consistir en
dirigir, guiar, restringir, regular o gestionar. Pero para ejercer el control dichas
acciones deben ir encaminadas a conseguir unos objetivos preestablecidos.
El diccionario define "interno" de la siguiente forma: "que existe o está
situado dentro de los límites de algo". A efectos de este estudio, ese "algo" es
una entidad o una empresa. Es decir, el centro de atención es el interior de un
negocio o cualquier otro tipo de entidad, como, por ejemplo, las universida-
des, la administración pública, organizaciones sin fines lucrativos o un plan de
prestaciones sociales. De esta forma el control interno incluiría, por ejemplo,
las actuaciones del consejo de administración de una entidad, los directores u
otros empleados, incluyendo auditores internos, pero excluiría las actuaciones
de organismos de control y auditores externos.
Distintas interpretaciones
El hecho de que existan distintas acepciones sobre el control interno no es
del todo indeseable. El control interno está relacionado con los objetivos de la
entidad y los diferentes grupos tienen interés en distintos objetivos por razo-
nes varias.
Dirección
La dirección contempla el control interno desde una perspectiva amplia
que incluye toda la organización. Su responsabilidad es desarrollar los objeti-
vos y estrategias de la entidad, así como dirigir sus recursos humanos y mate-
riales para conseguir dichos objetivos.
Para la dirección, el control interno cubre diversas áreas, entre las que se
encuentran las políticas, los procedimientos y las actuaciones que ayudan a
asegurar que una entidad logre sus objetivos. Incluye todas las actividades
llevadas a cabo, personalmente o de forma descentralizada, que permiten a la
dirección dirigir y supervisar las operaciones, tener conocimiento de todos
ANEXO C: INTERPRETACIONES DE LA DEFINICIÓN 147
los acontecimientos internos y externos relevantes e identificar y gestionar

riesgos.
El control interno permite a la dirección reaccionar rápidamente ante cam-
bios en las condiciones del entorno. Proporciona información sobre, por ejem-
plo, niveles de producción, ventas, existencias y otras áreas que son importan-
tes para tomar decisiones eficientes. También contempla hechos de carácter
más general, como podrían ser cambios tecnológicos, innovaciones industria-
les, actuaciones de los competidores, clientes y proveedores, así como cam-
bios en la legislación. Esto permite a la dirección atenuar efectos negativos o
aprovechar oportunidades emergentes. El control interno también ayuda a la
dirección a asegurarse del cumplimiento de sus obligaciones medioambienta-
les, sociales y legales. Estas obligaciones incluyen las normas sobre planes de
prestaciones a empleados, los reglamentos sobre seguridad en el trabajo y la
normativa sobre la correcta eliminación de residuos peligrosos. Asegurar el
cumplimiento de estas obligaciones protege la reputación de la entidad.
Auditores internos
El Institute of Internal Auditors (IIA) define el control interno como
"cualquier acción emprendida por la dirección para aumentar la probabilidad
de conseguir los objetivos y metas establecidos", destacando que el control es
el resultado de la planificación, organización y gestión adecuada por parte de
la dirección3.
Esta amplia concepción del control interno es consecuente con el punto de
vista del IIA sobre la función de la auditoría interna en una entidad: "la
auditoría interna consiste en el examen y evaluación de los procesos de plani-
ficación, organización y gestión con el fin de determinar si existe una seguri-
dad razonable de que se alcanzarán los objetivos y metas establecidos". Todos
los sistemas, procesos, operaciones, funciones y actividades de una entidad
quedan dentro del ámbito del control interno. En la práctica, el alcance de la
función de auditoría interna variará en función de sus competencias dentro de
la entidad.
3
Statement on Internal Auditing Standards No. 1. Control: Concepts and Responsabilities (Altamonte Springs,
FL: The Institue of Internal Auditors, Inc., 1983).
Auditores externos
Los auditores externos, debido a su papel de auditores de estados financie-
ros, han enfocado su concepción del control interno básicamente sobre aque-
llos aspectos que inciden, positiva o negativamente, sobre la información fi-
nanciera de la entidad divulgada a terceros.
En principio, la bibliografía publicada por el AICPA define el control
interno, en términos generales, de la siguiente forma: "las políticas y los
procedimientos establecidos para proporcionar una seguridad razonable de
que los objetivos específicos de una entidad podrán alcanzarse".4. Esta defini-
ción es coherente con las interpretaciones de la dirección y los auditores
internos antes mencionadas.
Sin embargo, esta definición general es delimitada posteriormente para
identificar los aspectos del control interno relacionados con las responsabili-
dades del auditor externo. Esta delimitación se realiza destacando que las
políticas y procedimientos son relevantes para la auditoría de los estados
financieros de una entidad cuando "se refieren a la capacidad de la misma de
registrar, procesar, resumir y publicar información financiera de conformidad
con la información contenida en los estados financieros".5
Si bien para la planificación de la auditoría los auditores externos adquie-
ren conocimientos del negocio de la entidad y el sector en la que opera (inclu-
yendo sus objetivos, estrategias y su posición respecto a la competencia), no
es necesario efectuar un análisis profundo de la totalidad del control interno
para auditar los estados financieros de la entidad.
Otros terceros
Legisladores, organismos de control, inversores y acreedores tienen todos
ellos una concepción diferente del control interno.
Los legisladores y los organismos de control han desarrollado diversas
definiciones del control interno que se ajustan a sus responsabilidades. Estas
definiciones suelen relacionarse con los tipos de actividades que supervisan y
pueden incluir la consecución de las metas y objetivos de la entidad, la obliga-
ción de divulgar la información financiera, el uso de los recursos de conformi-
dad con las leyes y reglamentos, y la salvaguarda de los recursos frente al
despilfarro, pérdida y uso indebido. En determinados casos, como en el Fo-
reign Corrupt Practices Act (FCPA) de 1977, el gobierno se ha centrado en
4
Stateraent on Auditing Standards No. 55. Consideration of the Internal Control Structure in a Financial
Statement Audit (New York: AICPA, 1988), para 6.
5
Ibid.
una área en particular. Según la definición del FCPA, el control interno debe
proporcionar una seguridad razonable en cuanto a la consecución de ciertos
objetivos relacionados con la ejecución de transacciones autorizadas por la
dirección, el registro de las transacciones para poder preparar los estados
financieros de acuerdo con principios contables generalmente aceptados y
para mantener un sistema adecuado de control sobre los activos, restringiendo
el acceso a los mismos y comparándolos con los registros contables.
Los inversores y los acreedores necesitan información, básicamente finan-
ciera, que suele ser del mismo tipo que la examinada por los auditores exter-
nos. Otros terceros necesitan otro tipo de información sobre una entidad; sin
embargo, estas personas tienen una capacidad limitada a la hora de exigir que
las empresas proporcionen dicha información y normalmente no están en si-
tuación de imponer su interpretación del control interno.
Definición
A pesar de la diversidad de interpretaciones, existen puntos en común.
Generalmente se considera que el control interno se refiere a un conjunto de
actividades llevadas a cabo dentro de una organización. También existe con-
senso en cuanto a que la finalidad del control interno es ayudar a alcanzar los
objetivos de una entidad, siendo así un medio para conseguir un fin. También
está comúnmente reconocido que el control interno constituye un conjunto de
acciones positivas realizadas por una entidad para fomentar un comportamien-
to apropiado por parte de sus empleados. Estas interpretaciones comunes son
consecuentes con la ya mencionada definición de control, a saber: "influencia
deliberada para conseguir un objetivo predeterminado" y nos llevan a la con-
clusión de que existen dos elementos esenciales para cualquier definición del
control interno:
■ Deben existir objetivos que la entidad quiera alcanzar.

■ Deben tomarse acciones para alcanzar tales objetivos.
Aunque los distintos interesados puedan utilizar definiciones diferentes,

cualquier definición en particular debe ser lo suficientemente precisa como
para evitar malentendidos y expectativas no realistas. Dado que la consecu-
ción de los objetivos es la razón por la cual se implantan controles internos, su
definición básica debería ser integral —lo suficientemente amplia como para
cubrir la mayoría de los objetivos aplicables a todas las entidades— y al
mismo tiempo, lo bastante estructurada para permitir una delimitación de su
significado, a un solo objetivo o a una categoría de objetivos. La relación
entre el control interno y los objetivos proporciona la base para establecer

una definición básica, a partir de la cual se pueden extrapolar todas las demás
definiciones.
Definición básica
En este estudio se utiliza una definición básica que reúne las carac-
terísticas necesarias:

ción, la dirección y el resto del personal de una entidad, diseñado con el
objeto de proporcionar una seguridad razonable en cuanto a la consecu-
ción de objetivos dentro de las siguientes categorías:
Las tres categorías de objetivos son diferentes, aunque a veces se solapan,

y, en general, responden a necesidades distintas. En general, la mejor forma
de evaluar la eficacia de los controles es verificándolos para las tres categorías
por separado.
El control interno implantado en una de estas categorías, o en todas ellas,

puede ser eficaz e ineficaz. El control interno será considerado eficaz si el
consejo de administración y la dirección tienen una seguridad razonable
acerca de:
■ La medida en que se están alcanzando los objetivos de la entidad.
■ Los estados financieros divulgados a terceros se preparan con fiabili-
dad.
■ Se están cumpliendo las leyes y normas que sean aplicables.
Definiciones específicas
Una entidad puede considerar la eficacia de las tres categorías de objeti-
vos, o centrarse en alguna de ellas en particular, y quizás sólo en ciertas
actividades dentro de una categoría. Por esta razón, son necesarias ciertas
definiciones específicas para determinadas actividades u objetivos. La identi-
ficación y descripción de objetivos específicos permiten la elaboración de las
definiciones de control interno correspondientes, a partir de la definición
básica.
Una definición específica de control interno básica, referente a la eficacia

y eficiencia de las actividades de ventas, derivada de la definición, sería la
siguiente:
El control interno sobre las operaciones de ventas es un proceso, implan-

tado por el director comercial y otros empleados de la empresa, diseñado
para obtener una seguridad razonable de que se están alcanzando los obje-
tivos señalados en el presupuesto de ventas de 19xx.
El control interno sobre las operaciones de ventas podrá ser evaluado

como eficaz cuando el director comercial obtenga una seguridad razonable
acerca de la medida en que se están alcanzando los objetivos señalados en el
presupuesto de ventas de 19xx de la entidad.
En relación con el objetivo de información financiera fiable, una posible
definición sería:
El control interno sobre la preparación de los estados financieros públi-

cos es un proceso, realizado por el consejo de administración, la dirección
y resto del personal de una entidad, destinado a obtener una seguridad
razonable acerca de l&fiabilidad de dichos estados financieros.
El control interno sobre la preparación de los estados financieros públi-

cos será eficaz cuando el consejo de administración y la dirección de una
entidad tengan la seguridad razonable de que la preparación de dichos esta-
dos financieros es fiable.
Asimismo, una definición para el objetivo de cumplimiento con la regla-
mentación gubernamental sobre contratación sería como sigue:
El control interno sobre el cumplimiento de la reglamentación guberna-

mental sobre contratación es un proceso, realizado por el consejo de ad-
ministración, la dirección y el personal de una entidad, destinado a obte-
ner una seguridad razonable de que se estén cumpliendo dichos
reglamentos.
El control interno sobre el cumplimiento de la reglamentación guberna-

mental sobre contratación será eficaz cuando el consejo de administración y
la dirección de una entidad tengan la seguridad razonable de que se están
cumpliendo todos los requisitos gubernamentales sobre la contratación que le
sean aplicables.
Anexo D
Análisis de los comentarios
Tal como se ha señalado en el Anexo B, se publicó un borrador de este

informe para obtener comentarios al mismo, recibiéndose 211 cartas. Las
cartas recogen miles de comentarios sobre las diversas cuestiones tratadas en
el informe. Posteriormente, se distribuyó un borrador modificado a los en-
cuestados que habían respondido al primer borrador; el borrador modificado
fue utilizado en las reuniones celebradas para tratar su contenido. Esa segunda
fase generó 45 cartas de comentarios y multitud de comentarios verbales. Se
tuvieron en cuenta todos los comentarios al elaborar los distintos borradores
del informe.
En este anexo se resumen los comentarios más importantes, así como las
modificaciones resultantes reflejadas en la versión final del informe. También
se exponen las razones por las que ciertos puntos de vista fueron aceptados y
otros no.
Definición
Alcance de la definición
El primer borrador definió el control interno de forma general, contem-
plando la consecución de todas las categorías de objetivos de la entidad:
eficacia y eficiencia en las operaciones, fiabilidad de la información financie-
ra y cumplimiento de las leyes y normas en vigor. Algunos encuestados apo-
yaron la definición general, pero otros consideraron que era demasiado global
y que debía centrarse únicamente en los objetivos relacionados con la infor-
mación financiera. Estos últimos indicaron que la definición general podía dar
lugar a expectativas no realistas y malentendidos respecto de la capacidad de
la entidad para conseguir todos sus objetivos y que no estaba en consonancia
con las directrices respecto a la información divulgada para terceros, que se
limitan a la fiabilidad de la información financiera.
Se llegó a la conclusión de que se debía mantener una definición general,
por varios motivos:
■ Un concepto básico en todo marco de análisis es que defina el objeto en su

conjunto, así como sus componentes. Por lo tanto, un análisis del control
interno debe definir lo que éste abarca en su totalidad, así como sus cate-
gorías específicas. Una definición general, junto con la identificación de
los componentes facilitará la comunicación, evitará los malentendidos y
reducirá la diferencia entre lo que se espera del control interno y lo que, en
la práctica, éste es capaz de proporcionar.
■ Una definición general del control interno puede englobar interpretaciones
más precisas. La definición propuesta en este informe incluye la mayoría,
si no todas las definiciones más concretas que han sido sugeridas y permi-
te poner mayor énfasis sobre conceptos específicos.
■ Las tres categorías del control interno —operaciones, información finan-
ciera y cumplimiento de legislación— están relacionadas entre sí, mientras
que el control interno mismo está integrado en el negocio y la gestión. Se
perderían estas relaciones al utilizar una definición concreta, limitada, por
ejemplo, a la información financiera.
Categorías de objetivos
El primer borrador presentó tres categorías de objetivos pero sin reflejar-
los explícitamente en la definición formal del control interno. Algunos en-
cuestados consideraron que las categorías de objetivos debían incluirse en la
definición.
Se acordó la inclusión explícita de las tres categorías en la definición por
dos motivos: por su importancia básica en el control interno y porque su
enumeración dejaría claro que se podía prestar atención a una de esas catego-
rías en concreto.
Proceso
El primer borrador definió el control interno como un proceso. Algunos
encuestados estuvieron de acuerdo con este concepto, pero otros opinaron que
el control interno es un estado o una condición.
ANEXO D: ANÁLISIS DE LOS COMENTARIOS 155
Se llegó a la conclusión de que, en efecto, el control interno es un proceso

y que debía ser definido como tal a fin de evidenciar su relación con el
proceso de gestión y su naturaleza dinámica. Sin embargo, a fin de reconocer
que el procedimiento puede ser identificado como un cierto estado o condi-
ción, se acordó presentar otra definición en relación al estado del control
interno. Por consiguiente, el informe final contempla dos definiciones: una del
control interno, como proceso, y otra del control interno "eficaz", como esta-
do o condición del proceso.
Objetivos específicos
La definición enunciada en el primer borrador se refería a la consecución
de "objetivos específicos". Algunos encuestados sugirieron que un término
más acertado sería "los objetivos específicos de la entidad", al entender que
no existen objetivos comunes a todas las entidades.
Se ha modificado el informe para reflejar esta observación. La definición
del control interno eficaz refleja la idea de que los objetivos relacionados con
las operaciones son distintos en cada entidad. La definición sí mantiene, sin
embargo, la idea de que los objetivos relacionados con la fiabilidad de la
información financiera y el cumplimiento de las leyes y normas en vigor son
establecidos principalmente por terceros y son generalmente los mismos para
todas las entidades.
Seguridad razonable
La definición del primer borrador incluyó el término "seguridad razona-
ble". Algunos encuestados manifestaron que, si bien el control interno no
puede dar una seguridad absoluta, no se debía emplear la palabra "razonable"
porque la dirección podría utilizarla para eludir responsabilidades. Otros con-
sideraron que la palabra "seguridad" no era adecuada porque implicaba una
garantía de que siempre se cumplirían los objetivos. Como alternativa, se
sugirió el término "probabilidad razonable".
Se ha mantenido el término "seguridad razonable" en la definición por
considerar que describe de la mejor manera posible las limitaciones del con-
trol interno. Gran parte de la bibliografía existente sobre la materia emplea
este término, que se utiliza de forma habitual en el mundo empresarial. Para
comunicar mejor el significado de la seguridad razonable, en el informe final
se ha vinculado el concepto de forma más directa con las materias tratadas en
el capítulo sobre las limitaciones del control interno. Esta vinculación directa
pretende representar de forma más completa el concepto de seguridad razona-
ble, así como dar cabida a los puntos propuestos por los encuestados.
Otro comentario relacionado con el término "seguridad razonable" se cen-

tra en la cuestión de a quién se ofrece esta seguridad. El informe final deja
claro que el control interno es una herramienta de gestión para ser utilizada
por y para la dirección y el consejo. (Al publicar un informe de gestión, la
dirección afirma públicamente que ella y el consejo tienen una seguridad
razonable en cuanto a la consecución de los objetivos especificados.)
Mención de los componentes en la definición

La definición del primer borrador incluía los nueve componentes del con-
trol interno. Algunos encuestados propusieron su eliminación de la definición
porque la hacían demasiado extensa, lo que dificultaba su comprensión. Otros
sugirieron que se conservaran los componentes porque, al constituir un ele-
mento fundamental en el marco de análisis del control interno, debían formar
parte de la definición. Es más, mantenerlos en la definición ayuda a transmitir
la idea de que todos los componentes son aplicables a cada una de las tres
categorías de objetivos.
Se concluyó que se podían eliminar los componentes de control interno de
la definición para reducir su extensión sin perder la claridad o la importancia
atribuida a los conceptos correspondientes a los diferentes componentes. Asi-
mismo, con el fin de describir mejor las relaciones entre las categorías de
objetivos y los componentes, se ha incluido una tabla ilustrando dichas rela-
ciones.
Consecución de los objetivos relacionados con las operaciones

Algunos encuestados opinaron que la definición del primer borrador daba
a entender que para tener un control interno eficaz, la entidad debía alcanzar
todos sus objetivos, incluyendo los objetivos relativos a las operaciones. En
general, estaban de acuerdo con la idea de que el sistema de control interno
puede proporcionar información sobre el grado de realización de los objeti-
vos operativos y propusieron modificar la definición para reflejar mejor este
hecho.
La incorporación en el informe final de una definición del control interno
eficaz responde a dicha propuesta. El informe define de forma explícita el
control interno eficaz sobre las operaciones, precisando que esta eficacia se
consigue cuando la dirección y el consejo de administración disponen de
información apropiada sobre en qué medida los objetivos operativos de la
entidad son susceptibles de ser alcanzados.
Fiabilidad de la información financiera

El borrador utilizaba el término "fiabilidad" de la información financiera.
Algunos encuestados señalaron que el término tenía connotaciones negativas
de responsabilidad, por lo que debía ser sustituido. Por las mismas razones,
opinaron que debía evitarse el uso del término "materialmente correcto".
El informe final mantiene el término "fiable" porque es de uso común, si
bien lo define en el contexto de la preparación de estados financieros que
proporcionen una imagen fiel de la entidad, apoyado en afirmaciones concre-
tas respecto de los estados financieros. Se eliminó el término "materialmente
correcto".
Salvaguarda de activos
Aquellos encuestados que opinaban que la definición del control interno
debía limitarse únicamente a los objetivos de la información financiera, tam-
bién sugirieron la inclusión de objetivos relacionados con la salvaguarda de
activos.
El informe final tiene en cuenta dicho comentario, señalando que, si bien
los objetivos de salvaguarda están relacionados con los objetivos operativos,
determinados aspectos de dicho concepto quedan enmarcados dentro de cada
una de las categorías de objetivos: operaciones, información financiera y cum-
plimiento y normas que sean aplicables. El informe final contiene comentarios
adicionales acerca de las circunstancias en las cuales se podrían incluir deter-
minados controles de salvaguarda de activos en la categoría de objetivos rela-
cionados con la información financiera.
Componentes del control interno
Agrupación de los componentes

Algunos de los encuestados que habían hecho comentarios sobre los com-
ponentes del control interno estuvieron de acuerdo con los componentes pro-
puestos. Otros, en cambio, opinaron que nueve eran demasiados, produciéndo-
se coincidencias y reiteraciones entre los mismos. Se realizaron numerosas
sugerencias para la reestructuración de los componentes.
Se llegó a la conclusión de que se podía racionalizar la estructura de los
componentes, eliminando las repeticiones innecesarias sin afectar a la esencia
del texto, realizando la siguiente reestructuración:
Primer borrador Informe final

Integridad, valores éticos Entorno de control
y competencia profesional
Entorno de control
Objetivos —
Evaluación de riesgos Evaluación de los riesgos
Gestión de cambios
Procedimientos de control Actividades de control
Sistemas de información Información y comunicación
Comunicación
Supervisión Supervisión
El componente "objetivos" ha sido eliminado como componente inde-

pendiente. Se ha adoptado el criterio de algunos encuestados, a saber, que el
establecimiento de objetivos forma parte del proceso de gestión, pero no del
control interno. El informe final contempla esta distinción, y considera que el
establecimiento de objetivos es una condición previa al control interno.
Se efectuaron dos cambios en la terminología utilizada. La expresión "pro-
cedimientos de control" fue sustituida por "actividades de control", para re-
marcar que engloba tanto las políticas como los procedimientos necesarios
para poner a aquéllas en práctica. El término "sistemas de información" ha
sido sustituido por "información", para que no parezca que se limita a siste-
mas informáticos. El componente "información (y comunicación)" es un con-
cepto mucho más amplio.
Determinación de la eficacia
Algunos encuestados pusieron en tela de juicio la afirmación del borrador
según la cual los nueve componentes han de estar presentes para poder con-
cluir que el control interno es eficaz. Señalaron que se debían considerar los
componentes en su conjunto, no siendo necesaria su presencia de forma indi-
vidualizada para que el control interno fuera eficaz. Sugirieron que el informe
reconociese que las deficiencias en unos componentes podían ser compensa-
das con otros componentes.
Se llegó a la conclusión de que el concepto presentado en el borrador, a
saber, que todos los componentes debían estar presentes para que el control
interno fuera eficaz debía mantenerse en el informe. Sin embargo, también se

ha reconocido la validez de la opinión según la cual las debilidades de deter-
minados componentes pueden quedar compensadas por los otros. El informe
final reconoce que los controles de un componente pueden compensar los
controles deficientes en otro, destacando que la existencia de controles com-
plementarios en los distintos componentes pueden, en conjunto, proporcionar
un control interno eficaz.
El control interno y el proceso de gestión
Actividades de gestión
Algunos encuestados dijeron que el control interno es únicamente una
parte, aunque importante, del proceso de gestión y que el primer borrador
definía el control interno incorrectamente, dando a entender que engloba, o
que parece englobar, todo el proceso de gestión. Estos encuestados conside-
raron que la definición sugería que el control interno puede garantizar la
consecución de los objetivos de la entidad por parte de la dirección, lo que
puede agravar la distancia entre lo que se espera del control interno y lo que
realmente es capaz de realizar.
En respuesta a estos comentarios, se ha hecho una distinción muy clara en
el informe final entre el control interno y otros aspectos del proceso de ges-
tión. Se ha precisado claramente que muchas responsabilidades de gestión,
tales como el establecimiento de objetivos, la toma de decisiones empresaria-
les, realización de transacciones e implantación de planes, figuran entre las
actividades que están integradas en el sistema de control interno, pero sin
formar parte de él.
Prevenir las quiebras

Además de las observaciones descritas anteriormente, algunos encuesta-
dos opinaron que el borrador daba a entender que un control interno eficaz
podía prevenir la quiebra y otros problemas en la entidad, lo cual también
podía incrementar la diferencia entre lo que se espera del control interno y lo
que éste es capaz de proporcionar. Sugirieron una presentación más detallada
de las limitaciones inherentes al control interno.
El informe final pone un mayor énfasis en las limitaciones inherentes al
control interno, señalando explícitamente que el control interno no puede ga-
rantizar la consecución de los objetivos, y que no es una panacea. La incorpo-
ración de una definición de control interno eficaz y la clarificación de la

distinción entre el control interno y el proceso de gestión (comentado en
párrafos anteriores) también pretenden dar cabida a dichas observaciones.
Responsabilidad de la dirección
Algunos encuestados sugirieron que el informe debía ser más concreto en
cuanto a la responsabilidad de la dirección frente al consejo de administra-
ción.
El informe fue modificado para dejar claro que la dirección es responsable
del sistema de control interno y que es responsable ante el consejo de adminis-
tración del establecimiento de un sistema que proporcione una seguridad razo-
nable acerca de la consecución de los objetivos de la entidad. El consejo de
administración, por su parte, dirigirá y supervisará las actividades, aportando
directrices sobre la forma de llevarlas a cabo.
El consejo de administración y el comité de auditoría

Algunos encuestados sugirieron que el informe debía recomendar que los
comités de auditoría estuviesen formados únicamente por consejeros inde-
pendientes, pues su independencia aumentaría la eficacia del comité. Algunos
encuestados opinaron que los consejos de administración deben estar forma-
dos mayoritariamente por consejeros independientes, para que el sistema de
control interno pueda ser eficaz. Según ellos, sólo un consejo de administra-
ción formado de esa manera podrá oponerse a las acciones de la dirección y
juzgar con objetividad la integridad y los valores éticos de los directivos.
Se consideró conveniente resaltar los beneficios de la existencia de un
comité de auditoría independiente, por lo que el informe final incluye reco-
mendaciones y requisitos para la puesta en marcha de comités de auditoría
independientes. También indica su utilidad y conveniencia, reconociendo, no
obstante, que para algunas empresas existen limitaciones prácticas. El informe
final deja claro que es necesario un consejo de administración activo para que
el control interno sea eficaz (con la excepción de entidades pequeñas dirigidas
por sus propietarios en los que no existen otros accionistas). Aunque no se
considera esencial que exista una mayoría de consejeros independientes, sí lo
es que tengan un peso importante en el consejo.
Entidades grandes y pequeñas

Algunos encuestados indicaron que el borrador parecía estar dirigido úni-
camente a las grandes entidades, no siendo aplicable para la pequeña y media-
na empresa.
Se concluyó que, aunque se pretendía que el informe fuera aplicable a
todo tipo de empresas, especialmente a las empresas pequeñas que necesitan
orientación a la hora de evaluar y mejorar sus sistemas de control interno,
dicha pretensión no había quedado suficientemente reflejada. Por dicho moti-
vo, se ampliaron los comentarios sobre la aplicabilidad de los conceptos del
control interno en la pequeña y mediana empresa. Estos comentarios figuran,
en el informe definitivo, dentro de los capítulos referentes a los componentes
del control interno.
Información divulgada a terceros

El borrador del informe contenía un capítulo sobre la información del
control interno que debía ser proporcionada a terceros. Algunos encuestados
opinaron a favor, otros lo hicieron en contra, mientras que otros presentaron
propuestas alternativas.
Los encuestados contrarios a la inclusión de esta información argumenta-
ron que quedaba fuera del alcance del estudio, puesto que el propósito era
desarrollar un marco de análisis para el control interno. El estudio es el resul-
tado de una recomendación de la Comisión Treadway a las organizaciones
patrocinadoras en cuanto a la realización de un trabajo conjunto para desarro-
llar una definición común del control interno, así como formular directrices
para evaluar su eficacia y mejorarlo. Tal como se indica en el borrador, la
publicación de información sobre el control interno no es un componente del
control interno, pues no es necesario que una entidad informe sobre su sistema
de control interno para que éste sea eficaz. Por otra parte, dichos encuestados
opinaron que la publicación de información sobre el control interno es un
asunto que debe ser resuelto por la legislación y los organismos de control
correspondientes.
Los encuestados a favor de la inclusión de dicha información conside-
raban que se trataba de un tema importante para la dirección, que debía estar
estrechamente vinculado a un informe que pretende diseñar un marco de aná-
lisis del control interno. Señalaron que muchas empresas que cotizan en bolsa
incorporan un informe sobre el control interno en sus cuentas anuales, por lo
que podría ser útil incluir directrices sobre su elaboración.
Por último, algunos encuestados sugirieron que el estudio sobre la publica-

ción de información sobre el control interno formase parte de un anexo o
documento independiente. Indicaron que, aunque el tema no debía incluirse
dentro del marco de análisis del control interno, sí sería útil proporcionar una
serie de directrices al respecto.
Finalmente, se concluyó que el estudio sobre la publicación de informa-
ción sobre el control interno debía separarse del documento principal sobre el
marco de análisis del control interno, ya que la publicación de información
sobre el control interno no tiene relación con la definición del control interno
ni con la determinación de su eficacia. Sin embargo, dado el elevado número
de empresas que publican informes sobre el control interno o que se lo plan-
tean, se decidió que la presentación del estudio proporcionaría información
útil y que podría contribuir a una mejor y más coherente comunicación a los
lectores del informe. Por consiguiente, el estudio se presenta en un documento
independiente.
Otras consideraciones
Concepto de persona prudente

Al tratar las limitaciones inherentes a todo sistema de control interno, el
borrador describía el concepto de persona prudente. Algunos encuestados con-
sideraron que no era apropiado incluirlo puesto que dicho concepto se refiere
a la responsabilidad legal de los autores de actos dolosos.
Se ha sustituido este punto por un comentario sobre la necesidad de tomar,
con buen juicio, las decisiones referentes al control interno.
Forma y presentación
Los encuestados también opinaron sobre la extensión, el formato, el estilo
y el tono del borrador, aportando una serie de ideas para la presentación y
simplificación del informe.
En base a los comentarios recibidos, se concluyó que debía reestructurarse
el borrador y reducir su extensión. El resumen del borrador fue sustituido por
un resumen más breve, incluido en este documento. Se han publicado en
documentos individuales el capítulo sobre la información a divulgar a terceros
referente al control interno y las herramientas de gestión, debido a que com-
plementan el cuadro de análisis del control interno, aunque sin ser parte inte-
grante del mismo. Por otra parte, se han reducido las reiteraciones y se ha
simplificado la redacción del informe.
Bibliografía
Algunos encuestados propusieron incluir una bibliografía compuesta por
los artículos y demás publicaciones utilizados durante la fase de estudio del
proyecto.
Se decidió no incluir esta bibliografía porque constituye sólo una de las
muchas fuentes de información utilizadas al desarrollar el marco de análisis y
porque, debido a que los resultados de una fase del proyecto eran utilizados
como punto de partida para la siguiente, no existe una relación directa entre la
bibliografía y el informe final. Por consiguiente, se concluyó que la inclusión
de una bibliografía no sería de utilidad y que, de hecho, podría crear confu-
siones.
Glosario
Algunos encuestados manifestaron que podía ser útil la inclusión de un
glosario con los principales términos utilizados en el estudio.
Se incluyó dicho glosario porque se consideró que, de este modo, se facili-
taría la comprensión de dichos términos y la comunicación de los conceptos
básicos.
Herramientas de evaluación
Algunos encuestados consideraron que podía interpretarse que las herra-
mientas de evaluación eran normas para la evaluación de la eficacia del con-
trol interno. Expresaron la preocupación de que, en caso de que la dirección se
viera legalmente obligada a informar sobre el control interno, cabía la posibi-
lidad de que los legisladores esperasen que las herramientas de evaluación
sustituyeran los métodos de evaluación actualmente utilizados en sus entida-
des. Otros encuestados opinaron que las herramientas de evaluación consti-
tuían una ayuda importante.
Se incluyeron las herramientas en el borrador con la pretensión de ilustrar
una técnica, entre muchas, que podía ser utilizada parcial o totalmente en una
evaluación de control interno o, incluso, no ser utilizada en absoluto. El infor-
me final expresa esta pretensión de forma más clara, poniendo especial énfasis
en que se han incluido las herramientas sólo como guía para mostrar una
forma de realizar la evaluación. Con la finalidad de subrayar que las herra-
mientas no forman parte directa del documento de análisis principal, se han

publicado en un documento independiente. Por otra parte, se resaltó la necesi-
dad de que aquellas entidades que utilicen las herramientas propuestas las
adapten a sus propias necesidades.
Reglamentación innecesaria
Algunos encuestados expresaron la preocupación de que el marco de aná-
lisis podía dar lugar a una reglamentación innecesaria, altos costes de implan-
tación y mayor responsabilidad. Esta cuestión tiene relación con la preocupa-
ción sobre la amplitud de la definición del control interno y la información
que debe proporcionar la dirección.
Como ya se ha mencionado anteriormente, la definición que figura en el
informe final resalta las diferencias entre las tres categorías del control inter-
no, analizándolas de forma pormenorizada. Asimismo, la sección de "Infor-
mación a terceros" amplía los comentarios acerca de las diferencias y ofrece
directrices explícitas únicamente respecto a la segunda categoría, los controles
sobre la información financiera.
Existe la posibilidad de examinar los comentarios al informe, que se encuen-

tran depositados en la biblioteca del American Institute of Certified Public
Accountants, 1211 Avenue of the Americas, New York, NY, 10036-8775,
U.S.A.
Anexo E
Glosario
Categoría
Uno de los tres grupos de objetivos de control interno, actividades de
control o controles. Las categorías son la eficacia y eficiencia de las opera-
ciones, la fiabilidad de la información financiera y el cumplimiento de las
leyes y normas que sean aplicables. Las categorías se solapan de modo que un
objetivo concreto puede, por ejemplo, pertenecer a más de una categoría.
Componente
Uno de los cinco elementos de control interno. Los componentes de con-
trol interno son: el entorno de control, la evaluación de los riesgos, las activi-
dades de control, la información y comunicación, y la supervisión.
Control
1) Sustantivo utilizado como sujeto para indicar la existencia de una políti-
ca o procedimiento que forma parte del control interno. Un control puede
existir dentro de cualquiera de los cinco componentes de control interno. 2)
Sustantivo utilizado como complemento, para indicar el resultado de políticas
y procedimientos diseñados para controlar.
Controlar
Regular. Establecer o implantar una política mediante la cual se ejerce
control.
Control detectivo
Control diseñado para detectar un acontecimiento o resultado no intencio-
nado (compárese con Control preventivo).
Controles de las aplicaciones

Los procedimientos programados en el software de las aplicaciones y los
procedimientos manuales correspondientes, diseñados para asegurar la totali-
dad y la exactitud de la información procesada. Por ejemplo, verificaciones
programadas de la información introducida en el ordenador, verificaciones de
las secuencias numéricas y procedimientos manuales para realizar el segui-
miento de los informes de excepciones.
Controles generales
Políticas y procedimientos que contribuyen a asegurar el funcionamiento
correcto y continuado de los sistemas informáticos. Incluyen controles sobre
las operaciones de los centros de proceso de datos, la adquisición y el mante-
nimiento de los sistemas, los controles de acceso y el desarrollo y manteni-
miento de las aplicaciones. Los controles generales apoyan el funcionamiento
de los controles programados de las aplicaciones. Otros términos utilizados
para describir los controles generales son "Controles generales informáticos"
y "Controles informáticos".
Controles informáticos
1) Controles llevados a cabo por el sistema informático, es decir, controles
programados en el software (compárese con Controles manuales). 2) Contro-
les sobre el procesamiento informático de la información, que comprenden los
controles generales y los de las aplicaciones (tanto programados como manua-
les).
Controles jerárquicos
Controles llevados a cabo por uno o más responsables de cualquier nivel
de la organización.
Controles manuales
Controles que son ejecutados manualmente y no a través del sistema infor-
mático (compárese con Controles informáticos, 1.a acep.).
Control interno
Un proceso efectuado por el consejo de administración, la dirección y los
demás empleados de una entidad, diseñado para proporcionar un grado de
seguridad razonable con respecto a la consecución de objetivos dentro de las
siguientes categorías:
ANEXO E: GLOSARIO 167

Cuando un sistema de control interno cumple unos criterios específicos se
puede considerar eficaz.
Control interno eficaz

El control interno puede considerarse eficaz en cada una de las tres cate-
gorías, respectivamente, si el consejo de administración y la dirección tienen
la seguridad razonable de que:
■ Conocen en qué medida se están consiguiendo los objetivos operacio-
nales de la entidad.
■ Los estados financieros públicos se han preparado de manera fiable.
■ Se están cumpliendo las leyes y normas que sean aplicables.
Se trata de una condición del control interno.
Control preventivo
Control diseñado para evitar que se produzca un resultado o aconteci-
miento no intencionado (compárese con Control defectivo).
Criterios
Pautas a través de las cuales se puede determinar la eficacia del sistema de
control interno. Los cinco componentes del control interno, considerados des-
de la perspectiva de las limitaciones inherentes del control interno, repre-
sentan criterios de eficacia del control interno para cada una de las tres cate-
gorías de control. Para la categoría fiabilidad de la información financiera,
existe un criterio más detallado: el concepto de deficiencia significativa.
Cumplimiento
Término que hace referencia al cumplimiento de las leyes y normas
aplicables a una entidad.
Deficiencia
Es un defecto detectado, potencial o real, del control interno o una oportu-
nidad para fortalecer el sistema de control interno con el fin de incrementar
las posibilidades de conseguir los objetivos de la entidad.
Deficiencia a comunicar
Deficiencia de control interno relacionada con la información financiera,
es una deficiencia importante en el diseño o en el funcionamiento del control
interno que pudiera tener un efecto negativo en la capacidad de la entidad para

registrar, procesar, resumir y presentar la información financiera de acuerdo
con las aseveraciones de acuerdo implícitas efectuadas por la dirección en los
estados financieros.
Diseño
1) Utilizado en la definición de control interno, el diseño del sistema de
control interno tiene como propósito proporcionar un grado de seguridad razo-
nable acerca de la consecución de los objetivos. Cuando dicho propósito se
logra, se puede considerar que el sistema es eficaz. 2) La forma en que debería
funcionar un sistema, en contraposición a cómo funciona realmente.
Efectuado
Usado en relación a un sistema de control interno: diseñado y mantenido.
Elusión de controles por parte de la dirección

Acciones de la dirección para dejar de aplicar, por razones ilegítimas, unas
políticas o unos procedimientos establecidos con el objeto de obtener un bene-
ficio personal, mejorar la imagen de la situación financiera o encubrir el
incumplimiento de leyes y reglamentos en vigor (compárese con Intervención
por parte de la dirección).
Entidad
Organización de cualquier tamaño, creada para un propósito concreto. Una
entidad puede ser, por ejemplo, una empresa comercial, una organización sin
ánimo de lucro, un organismo gubernamental o una institución académica.
Organización y empresa se utilizan como sinónimos.
Estados financieros públicos

Son los estados financieros o cuentas anuales, los estados financieros in-
termedios o resumidos, además de los datos relevantes derivados de dichos
estados financieros, tales como la publicación de resultados.
Fiabilidad de la información financiera

Utilizado en el contexto de los estados financieros públicos, la fiabilidad
se define como la capacidad de los estados financieros para reflejar la imagen
fiel de la entidad de acuerdo con principios contables generalmente aceptados
(u otros principios pertinentes y apropiados) y los requisitos legales aplicables
a la documentación financiera publicada, dentro del contexto de la materiali-
dad. La noción de imagen fiel se basa en cinco aseveraciones implícitas sobre
los estados financieros: existencia, totalidad, derechos y obligaciones, valora-
ción y presentación y desglose. En el caso de estados financieros intermedios
ANEXO E: GLOSARIO 169
o resumidos o datos relevantes derivados de dichos estados financieros, los

factores que representan la presentación correcta y las afirmaciones previa-
mente mencionadas sólo son aplicables en la medida en que sean relevantes.
Información financiera
Utilizada junto con "objetivos" o "controles" se refiere a la fiabilidad de
los estados financieros públicos.
Integridad
Honradez, honestidad y sinceridad. El deseo de hacer lo correcto. Profesar
con una serie de valores y expectativas y actuar de acuerdo con los mismos.
Intervención por parte de la dirección

Actuaciones llevadas a cabo por la dirección para dejar de aplicar por
razones legítimas unas políticas o unos procedimientos establecidos. La inter-
vención de la dirección normalmente es necesaria en transacciones o aconteci-
mientos no recurrentes y atípicos que, en el caso de no producirse tal interven-
ción, podrían ser tratados inadecuadamente por el sistema (compárese con
Elusión de controles por parte de la dirección).
Limitaciones inherentes
Las limitaciones que son propias a todo sistema de control interno. Estas
limitaciones resultan de lo limitado del juicio humano, la escasez de recursos
y la necesidad de considerar el coste de los controles en relación con los
beneficios previstos, el riesgo de crisis del sistema, la posibilidad de elusión
de los controles por parte de la dirección y el riesgo de confabulación
Operaciones
Al utilizarse con "objetivos" o "controles", se refiere a la eficacia y la
eficiencia de las operaciones de una entidad, incluyendo los objetivos de ren-
dimiento y de rentabilidad, y la salvaguarda de los recursos disponibles.
Política
Directriz emitida por la dirección sobre lo que hay que hacer para efectuar
el control. Constituye la base de los procedimientos que se requieren para la
implantación del control.
Procedimiento
Conjunto de acciones mediante el cual se implanta una política.
Proceso de gestión
Conjunto de acciones emprendidas por la dirección para gestionar una
entidad. El sistema de control interno forma parte de dicho proceso y está
integrado en él.
Seguridad razonable
Concepto según el cual el control interno, por muy bien diseñado y ejecu-
tado que esté, no puede garantizar que los objetivos de una entidad se consi-
gan, debido a las limitaciones inherentes de todo sistema de control interno.
Sistema de control interno

Sinónimo de control interno.
Sistema de control interno eficaz

Sinónimo de control interno eficaz.
Valores éticos
Valores morales que permiten determinar una línea de comportamiento
apropiada en la toma de decisiones. Estos valores deberían basarse en lo que
es correcto y no limitarse únicamente a la legalidad.
Sección tercera
Información a terceros
9
Información a terceros
Resumen del capítulo: En los Estados Unidos muchas entidades incluyen

informes de la dirección sobre el control interno en sus informes anuales.
Estos informes tratan del sistema de control interno aplicado en el proceso de
formulación de los estados financieros públicos. También existen iniciativas
por parte de los legisladores y autoridades reclamando que se facilite dicha
información. Las recomendaciones contenidas aquí sugieren que, si se emiten
informes sobre el control interno, los mismos aborden la eficacia de tales
controles e identifiquen los criterios aplicados para evaluar el sistema y la
fecha a la que se refieren la conclusiones de la dirección. Se incluyen ejem-
plos de informes a título ilustrativo.
En los últimos años, en Estados Unidos, se ha prestado una atención espe-

cial a la publicación de informes sobre el control interno. Entidades tanto
privadas como públicas han presentado muchas recomendaciones y propuestas
y actualmente algunas empresas ya incluyen en sus memorias anuales un
informe de la dirección sobre el control interno.
Determinados organismos privados, tales como la Cohen Commission, el
Financial Executives Institute y la Treadway Commission, han recomendado
que la dirección publique un informe sobre el control interno. Recientemente
se ha aprobado una ley que obliga a determinadas entidades financieras a
publicar dicho informe. Siguen en estudio las normas propuestas (pendientes
de aprobar en su versión definitiva) por el SEC (Security and Exchange Com-
mission) así como otras leyes y normas.
Aproximadamente una de cada cuatro entidades mercantiles incluye en su
memoria un informe de la dirección que contempla algunos aspectos del con-
trol interno1. Entre las 500 empresas más grandes (las Fortune 500), el por-
centaje llega aproximadamente al 60%. Como se expone a continuación, el
contenido de estos informes varía mucho de una a otra entidad.
La gran mayoría de tales informes tratan del control interno en lo que
afecta a la formulación de los estados financieros públicos. Asimismo, las
mencionadas recomendaciones y propuestas contemplan este tema de forma
exclusiva. Salvo que se indique lo contrario, este análisis sólo estudia los
asuntos relacionados con el control interno sobre el proceso de formulación
de los estados financieros públicos de una entidad.
Los informes anuales publicados suelen tratar otros asuntos, además del
control interno. Los informes anuales pueden tratar temas tales como, por
ejemplo, la responsabilidad de los administradores con referencia a los esta-
dos financieros, la aplicación de estimaciones y elementos de juicio en su
formulación, la responsabilidad de los auditores independientes en cuanto a su
examen de los estados financieros, los cambios de auditores, las responsabili-
dades sociales de la entidad y las incertidumbres a que se enfrenta. Salvo que
se indique lo contrario, las recomendaciones del presente estudio sólo se refie-
ren a la información facilitada por la dirección sobre el control interno.
Tradicionalmente se conoce con el nombre de "Informe de la dirección"
sobre el control interno el informe firmado por los administradores en nombre
de la empresa. Debido a este uso común el término "Informe de la dirección"
es utilizado en esta exposición para referirse a dicho informe.
El objeto del presente documento es orientar a las entidades que ya publi-
can información sobre sus sistemas de control interno o que están conside-
rando la posibilidad de hacerlo. El interés de que se emita un informe sobre el
control interno está siendo analizado por las entidades públicas y privadas que
tienen responsabilidad o interés en este tema. Este informe no expresa una
posición sobre el mismo. El compromiso de los auditores externos con los
informes públicos de la dirección sobre control interno está también siendo
analizado por diversos organismos públicos y privados. Este es un tema que
queda fuera del alcance de este informe.
Debe quedar claro que informar públicamente sobre el control interno no
constituye un componente del control interno eficaz ni es un criterio para
conseguirlo. Una entidad puede tener un sistema de control interno eficaz sin
emitir un informe público al respecto. Si bien es posible que los miembros del
consejo de administración que prevén la emisión de un informe sobre el con-
trol interno tiendan a analizar el sistema con más detalle e introducir mejoras
1
Basado en memorias publicadas del ejercicio 1989
INFORMACIÓN A TERCEROS 175
en el mismo, su eficacia vendrá finalmente determinada por las características

del sistema y no por los comentarios efectuados acerca del mismo.
Alcance del informe

Un aspecto de particular importancia de un informe de la dirección sobre
el control interno es que contenga una definición sobre el alcance de la infor-
mación facilitada. Tal y como se expone en la sección de este informe titulada
"Marco general" de este informe, la siguiente definición básica del control
interno puede cubrir todos los objetivos de una entidad:

ción, la dirección y los demás miembros de una entidad, diseñado para
proporcionar un grado de seguridad razonable en cuanto a la consecución
de objetivos en los siguientes ámbitos:
■ Fiabilidad de la información financiera .
■ Cumplimiento de leyes y normas que sean aplicables.
Los informes preparados exclusivamente para uso interno pueden referirse

a controles internos relacionados con cualquiera de estos objetivos. Sin em-
bargo, los informes públicos se han limitado casi siempre a los controles
relativos a la fiabilidad de los estados financieros. De acuerdo con este enfo-
que, y con la definición básica expuesta arriba, el control interno puede defi-
nirse de la siguiente forma:
El control interno relativo a la formulación de estados financieros públicos

es un proceso realizado por el consejo de administración, la dirección y el
resto del personal de una entidad, diseñado para proporcionar un grado
razonable de seguridad en cuanto a la fiabilidad de dichos estados finan-
cieros.
El control interno relativo a la formulación de estados financieros públicos

puede considerarse eficaz si el consejo de administración y la dirección de la
entidad tienen una seguridad razonable de que dichos estados financieros se
están preparando de forma fiable. El término "estados financieros públicos"
en este contexto se refiere a los estados financieros propiamente dichos, esta-
dos financieros intermedios o abreviados así como datos seleccionados que se
derivan de dichos estados, tales como comunicados sobre beneficios obteni-
dos en un período, que se divulgan públicamente. El término "fiabilidad" está

relacionado con la formulación de estados financieros de modo que expresen
una "imagen fiel" de acuerdo con los principios contables generalmente acep-
tados (u otros principios pertinentes) y que se adecuen a los requisitos regla-
mentarios aplicables a los documentos de difusión pública. El término "ima-
gen fiel" y las afirmaciones subyacentes de los estados financieros están
definidos en la sección titulada "Marco general" del presente informe. Al
analizar si el control interno cubre estos objetivos adecuadamente, hay que
recurrir a los cinco componentes de control interno, teniendo en cuenta las
limitaciones inherentes a todos los sistemas de control interno (que se comen-
tan en la sección "Marco general") así como el nivel de las deficiencias del
sistema (que se trata más adelante).
La publicación de dichos informes coincide con las necesidades de los
accionistas, obligacionistas y terceros que posiblemente busquen en los infor-
mes sobre el control interno las afirmaciones de la dirección sobre el proceso
seguido para formular los estados financieros. Al centrar los informes sobre
control interno exclusivamente en los controles establecidos sobre la formula-
ción de estados financieros, se delimita la profusión de información, conside-
rando las limitaciones inherentes a cualquier sistema. Si el alcance de la infor-
mación a proporcionar se extendiese a los objetivos operacionales y de
cumplimiento, no sólo se incrementarían sustancialmente los esfuerzos y los
costes relacionados, sino que además surgirían nuevos problemas. Esto se
debe al hecho de que la evaluación y la preparación de informes sobre la
formulación de estados financieros son disciplinas más desarrolladas.
Controles sobre el cumplimiento de las leyes y normas

El respeto a las leyes y normas es un aspecto que cada vez se trata con
mayor frecuencia en los informes sobre el control interno publicados por la
dirección. En Estados Unidos, este tipo de informes han sido emitidos princi-
pal, si no exclusivamente, por organismos públicos. La "Federal Managers
Financial Integrity Act" exige que se facilite información sobre los controles
de cumplimiento, pero se puede considerar que esta información es básica-
mente para el uso interno de los administradores.
Por otra parte, en un futuro cercano, la "Federal Deposit Insurance Corpo-
ration Improvement Act" de 1991 obligará a ciertos bancos a informar sobre
el cumplimiento de las leyes. Si bien la ley se refiere de momento a informar
sobre el cumplimiento propiamente dicho, es posible que en el futuro se exijan
información sobre los controles aplicados para asegurar su cumplimiento. De
hecho, centrarse en el sistema de control sería la mejor manera de conseguir el
objetivo básico de prevenir el incumplimiento. Al informar sobre los contro-
les, la dirección dirigiría sus esfuerzos más hacia las condiciones del sistema y
en acciones preventivas que en detectar casos de incumplimiento ocurridos en
el pasado.
Si la normativa acaba por obligar a la dirección a proporcionar informa-
ción sobre los controles de cumplimiento, la sección "Marco general" podría
utilizarse como referencia. No obstante, habría que identificar un umbral apro-
piado para medir la gravedad de las deficiencias de control, quizás algo pare-
cido al concepto de importancia relativa. El concepto de deficiencia significa-
tiva, si bien es aplicable a la información sobre los controles de fiabilidad de
la información financiera, no es tan relevante para los controles de cumpli-
miento, y ello por dos razones. La primera es que sería engorroso intentar
relacionar deficiencias de control sobre, por ejemplo, la seguridad en el traba-
jo o del medioambiente, a la importancia relativa en los estados financieros.
La otra es que es poco probable que la normativa pretenda limitar esta infor-
mación al umbral de importancia relativa de los estados financieros, por lo
que si informar sobre controles de cumplimiento ha de ser viable, habrá que
desarrollar un umbral apropiado.
Definición de diferentes categorías de control

Al existir áreas comunes entre los objetivos, puede resultar difícil determi-
nar cuáles de los controles deben considerarse dentro del alcance de un infor-
me referido a los controles sobre la información financiera. A pesar de esta
dificultad, es importante delimitar el campo de actuación para asegurar que la
realidad del alcance del informe se ajuste a las expectativas razonables de los
usuarios del mismo.
En la sección "Marco general", se describen tres categorías de objetivos:
operacionales, sobre información financiera y de cumplimiento, con ejemplos
de cada una. En los párrafos siguientes se describen unas pautas adicionales
para distinguir entre los controles sobre información financiera y otros tipos
de controles. Se presentan ejemplos de controles sobre información financiera
para cada componente. También se analizan los controles que, por estar dirigi-
dos fundamentalmente hacia objetivos de operaciones o de cumplimiento, no
suelen tenerse en cuenta al determinar si el sistema de control interno de una
entidad proporciona una seguridad razonable de que se estén consiguiendo sus
objetivos en cuanto a la información financiera.
Al considerar los párrafos siguientes, han de tenerse en cuenta dos concep-
tos:
■ En primer lugar, la mayor parte de los controles internos sirven para

cumplir más de un objetivo. En muchas ocasiones, los controles estable-
cidos en principio para conseguir objetivos de operaciones o de cumpli-

miento también pueden satisfacer objetivos relativos a la información fi-
nanciera. En estos casos, donde los controles tradicionales sobre la fiabili-
dad de la información financiera no están presentes, la dirección puede
recurrir a otros controles que cumplen la misma función. Dichos controles
pueden quedar dentro del alcance de los informes sobre control interno.
■ En segundo lugar, los controles dirigidos hacia las operaciones o el cum-
plimiento pueden cubrir acontecimientos, transacciones u otros sucesos
que hay que divulgar en los estados financieros de la entidad. Esto no
quiere decir que los controles sobre las operaciones y el cumplimiento
entran dentro del alcance del informe de la dirección sobre control interno,
sino que los resultados de las actividades sujetas a estos otros controles
deben reflejarse debidamente en los estados financieros.
Entorno de control
La sección "Marco general" identifica siete factores que deben formar
parte integrante del entorno de control. Una evaluación del grado en que el
entorno de control de una entidad favorece sus objetivos de información fi-
nanciera seguramente se centraría en algunos aspectos concretos de dichos
factores.
Integridad y valores éticos. Los indicios de falta de integridad o valores

éticos en cualquier acción de los altos ejecutivos, ya sea en relación con la
dirección ejecutiva, operativa o financiera, ponen en entredicho la fiabilidad
del proceso de formulación de información financiera. Es difícil, si no impo-
sible, distinguir claramente entre los aspectos de la integridad y los valores
éticos que están relacionados con la formulación de la información financiera
y aquellos que no lo están. Las dudas sobre la integridad o la ética del
personal de una entidad deberían, como mínimo,, causar preocupación por la
posibilidad de que tales defectos repercutan en la fiabilidad de la información
financiera.
Los factores siguientes, entre otros, tienen impacto sobre la fiabilidad de
los estados financieros:
■ La actitud de la dirección hacia el incumplimiento de los controles estable-

cidos principalmente para la consecución de objetivos de información fi-
nanciera.
■ Los acuerdos de la dirección con los auditores internos y externos y aseso-
res externos sobre asuntos relacionados con la información financiera,
como podría ser el grado de divulgación de información sobre asuntos que

podrían tener un efecto negativo en los estados financieros.
■ La integridad de la dirección durante la formulación de los estados finan-

cieros (tratada más adelante en el apartado "Filosofía de dirección y el
estilo de gestión").
Compromiso de competencia profesional. La fiabilidad de los estados fi-

nancieros de una entidad puede resultar comprometida si personas incompe-
tentes o carentes de convicción están involucradas en el proceso de formula-
ción de los mismos. Los conocimientos y la capacidad profesional del
personal que prepara los estados financieros, respecto a la naturaleza y el
alcance de la información financiera y de las operaciones, inciden directamen-
te en la fiabilidad de los mismos. También hay que considerar si tales conoci-
mientos y capacidad profesional son adecuados para dar un tratamiento ade-
cuado a las nuevas actividades, productos y servicios, en su caso, o a los ya
existentes, en el caso de una reorganización.
Filosofía de dirección y el estilo de gestión. La delegación de autoridad en

el proceso de formulación de la información financiera es esencial para alcan-
zar los objetivos de la entidad al respecto; particularmente para ejercer el
juicio y hacer las estimaciones contables que son parte integrante del proceso
de formulación de dicha información. Igualmente, conviene considerar la ra-
zonabilidad de las políticas y estimaciones contables utilizadas en la prepara-
ción de los estados financieros, y especialmente determinar si tales estimacio-
nes y políticas de la dirección son prudentes o agresivas (es decir, al límite de
lo "razonable")- Se debería considerar la inclusión de las deficiencias detecta-
das en este ámbito en el informe de la dirección sobre el control interno. Por
contra, la cuestión de si la dirección es o no reacia a asumir el riesgo de entrar
en nuevos mercados puede afectar a los objetivos operativos de una entidad
pero, en general, no incidirá en la preparación de información financiera.
La actitud de la dirección hacia la información financiera también afecta a
la capacidad de la entidad de alcanzar sus objetivos en este sentido. Por
ejemplo, la actitud de la dirección hacia la función de contabilidad y la autori-
dad delegada a la misma (sin intervención injustificada en la obtención de
información relevante y de las conclusiones apropiadas) pueden tener un im-
pacto importante sobre la consecución de los objetivos de información finan-
ciera. ¿El personal de contabilidad es considerado un vehículo importante para
ejercer el control? ¿Tiene el personal de contabilidad de cada división la
responsabilidad de informar a la dirección corporativa? ¿La dirección corpo-
rativa o las direcciones operacionales ejercen presión excesiva para conseguir
que los informes financieros sean favorables?
Estructura organizativa. Entre los aspectos de la estructura organizativa que

tienen una relación específica con los objetivos de información financiera hay
factores relacionados con el personal de contabilidad, tales como:
■ Adecuación de las vías de comunicación existentes.

■ Número suficiente de personal con experiencia adecuada.
■ Claridad en la delegación de autoridad y tareas.
■ El grado en que la estructura organizativa permite al personal contable
colaborar con otros departamentos y actividades de la organización, tener,
acceso a datos clave y contabilizar correctamente las conclusiones resul-
tantes.
Si personas ajenas al departamento de contabilidad realizan funciones de

control importantes para la información financiera (como es el caso del perso-
nal de producción que realiza la conciliación entre las existencias de producto
en curso contabilizadas y reales, o el personal que analiza las desviaciones
entre costes estándar y reales a los efectos de la información financiera), estas
funciones pueden ser relevantes para un informe sobre el control interno. Sin
embargo, los aspectos no contables de la estructura organizativa, tales como la
organización y las responsabilidades del departamento de marketing de la
entidad, o de sus asesores legales, normalmente son relevantes sólo para con-
seguir objetivos operacionales y de cumplimiento.
Asignación de autoridad y responsabilidad. Las deficiencias detectadas en

la manera de asignar poderes y responsabilidades entre los empleados con
funciones contables, de custodia y gestión de activos pueden afectar a la
capacidad de la organización de alcanzar sus objetivos de información finan-
ciera, por lo que dichas deficiencias normalmente deberían incluirse en el
informe sobre el control interno. Los temas a tener en cuenta incluyen la
suficiencia de los recursos humanos y si la organización asegura una adecuada
segregación de funciones. La delegación de poderes y la asignación de respon-
sabilidades a los empleados en otras áreas, tales como la función de ventas,
generalmente están encaminadas a alcanzar objetivos operacionales más que
objetivos de información financiera.
Políticas y prácticas de recursos humanos. Las políticas y procedimientos

de recursos humanos suelen tener un enfoque operativo. Sin embargo, la capa-
cidad de una entidad de conseguir sus objetivos de información financiera
puede reflejar sus procedimientos y políticas de contratación, formación, pro-
moción, retención y retribución en cuanto afecten a la actuación del personal
contable y de los empleados en otras funciones que llevan a cabo controles
sobre la información financiera. En aquellas áreas en las que tal actuación sea
clave para mantener controles eficaces sobre la información financiera, las
deficiencias potenciales en las políticas y prácticas de recursos humanos han
de tenerse en cuenta.
Consejo de administración y comité de auditoría. La composición del con-

sejo de administración y del comité de auditoría así como la forma en que sus
miembros cumplen sus responsabilidades en cuanto a control del proceso de
formulación de estados financieros son aspectos fundamentales del entorno de
control. La participación del consejo y del comité de auditoría en la supervi-
sión del proceso de formulación de la información financiera, tarea que inclu-
ye la evaluación de la razonabilidad de las decisiones contables tomadas por
la dirección y sus estimaciones así como la revisión de las principales declara-
ciones o cuentas presentadas ante los organismos de control, es de particular
interés para los controles sobre la información financiera.
Evaluación de riesgos y actividades de control

Teniendo en cuenta la cultura de control y los objetivos globales de la
entidad, la dirección establece objetivos a nivel de actividades así como meca-
nismos para identificar y analizar los riesgos relacionados con su consecución
y desarrolla las acciones y actividades de control necesarias para afrontar
estos riesgos. Estos componentes del sistema de control interno, la evaluación
de los riesgos y las actividades de control se consideran de forma conjunta en
este informe.
El alcance de un informe de la dirección sobre el control interno normal-
mente incluirá los riesgos asociados con la consecución de los objetivos rela-
cionados con la formulación de estados financieros que expresen una "imagen
fiel", así como las cinco aseveraciones implícitas de los estados financieros,
además de las actividades de control para asegurar que se realicen las acciones
dirigidas a satisfacer dichos objetivos. En la mayoría de los casos es relativa-
mente fácil reconocer los objetivos, riesgos y actividades de control relaciona-
dos con la información financiera. Un mecanismo de control se incluye dentro
del alcance del informe si es importante para satisfacer los requisitos de refle-
jar una imagen fiel o para apoyar las aseveraciones implícitas de los estados
financieros. En caso contrario, queda fuera del alcance del informe. Tam-
bién hay que tener en cuenta los conceptos ya mencionados en relación con
los controles que cubren más de un objetivo, y la distinción entre los con-
troles sobre operaciones y cumplimiento y los controles destinados a infor-
mar correctamente sobre los resultados de estas actividades en los estados
financieros.
A modo de ejemplo, consideremos el objetivo de operaciones de que los

proveedores suministren material de calidad que reúna las especificaciones
técnicas de la entidad. Los riesgos asociados incluyen la insatisfacción del
cliente con el producto de la entidad, el incumplimiento con los objetivos de
ventas del producto, la existencia de procesos de producción impracticables o
con un coste excesivamente elevado y que existan costes sustanciales en el
proceso de retirar, rehacer o reparar el producto bajo garantía. Este objetivo, y
la evaluación de los correspondientes riesgos, planes de actuación y activida-
des de control, están orientados hacia las operaciones por lo que quedan fuera
del alcance del informe sobre control interno. A pesar de las implicaciones
para la información financiera, puesto que el material defectuoso puede reque-
rir ajustes al valor de existencias y afectar a la estimación por parte de la
dirección de las provisiones para garantías, deberían existir controles sobre la
información financiera para captar la información necesaria para reflejar estos
riesgos en los estados financieros. Si no es así, la dirección debe centrarse en
los controles dirigidos a operaciones para determinar si se están satisfaciendo
los objetivos de información financiera. Sólo en ese caso se procedería a
incluir dichos controles en el alcance del informe de la dirección sobre control
interno.
Otro ejemplo sería que el objetivo de operaciones de una entidad de alcan-
zar objetivos específicos de ventas y de beneficio se viera afectado por la
entrada de un nuevo competidor en el mismo mercado. Este hecho también
tiene implicaciones para la información financiera, como la posible necesidad
de reflejar las existencias a su valor neto de realización debido a reducciones
de márgenes. No obstante, los controles relacionados con la consecución de
este objetivo estarían fuera del alcance del informe siempre que existan con-
troles realizados por el personal con responsabilidad de preparar la informa-
ción financiera para identificar el impacto que la entrada de un nuevo compe-
tidor podría tener sobre el precio de venta del producto de la entidad.
El componente del control interno que constituye la información y comu-
nicación requiere la identificación, captación, tratamiento y comunicación de
información relevante a toda la organización. Algunos de estos mensajes son
relevantes para conseguir los objetivos de información financiera de la enti-
dad. Como ejemplo de la información y comunicación que permiten a una
entidad alcanzar sus objetivos de información financiera podemos citar la
comunicación a todos los niveles de las normas de conducta ética o el envío
de extractos mensuales a clientes con el correspondiente seguimiento de cual-
quier discrepancia.
Muchos aspectos de los sistemas de información y comunicación guardan

relación con los objetivos de operaciones y de cumplimiento, y en general
quedan fuera del alcance de un informe sobre el control interno. Un ejemplo
es la obtención de datos del personal de ventas sobre posibles mejoras en
productos para satisfacer las necesidades futuras de los clientes y la posterior
comunicación de dichos datos al personal técnico y de producción. Otros
ejemplos son los procedimientos para recibir y responder a las reclamaciones
de los clientes sobre productos defectuosos, presentar reclamaciones a provee-
dores sobre defectos en los materiales comprados y el correspondiente segui-
miento. En cada uno de estos casos, el control se establece para conseguir
objetivos operacionales, y no los objetivos de información financiera.
Aunque las comunicaciones en los dos últimos casos pueden contener
información importante para la información financiera, es decir información
que puede ayudar a valorar los saldos a cobrar y las existencias, así como para
determinar los pasivos, una organización debería tener un mecanismo dentro
de la función contable para identificar la necesidad de hacer los ajustes nece-
sarios a estas cuentas, a efectos de la información financiera. Si no fuera el
caso, un seguimiento adecuado de las comunicaciones con los clientes y los
proveedores podría servir como un método alternativo para conseguir los ob-
jetivos de la entidad en cuanto a la información financiera en las mencionadas
áreas y podría incorporarse en el alcance de un informe de la dirección sobre
control interno.
Supervisión
Las actividades de supervisión continuada contemplan la eficacia de otros
componentes del control interno para conseguir los objetivos de la informa-
ción financiera, por ejemplo:
■ Supervisión de la exactitud y totalidad de los saldos de existencias realiza-

da por el personal de contabilidad como parte de los procedimientos de
recuento mensual de inventarios cíclicos.
■ Supervisión de la valoración de las cuentas a cobrar realizada por el encar-
gado de crédito, a través de sus comunicaciones mensuales con los clien-
tes morosos.
■ Supervisión de las cuentas a pagar contabilizadas por el departamento de
compras en relación con el trato con los proveedores.
Los procedimientos de supervisión continuada de este tipo, o procedi-

mientos con fines similares realizados en conexión con evaluaciones puntua-
les, se incluyen normalmente dentro del alcance de un informe de la dirección.
Muchas actividades de supervisión tienen que ver con los controles sobre
objetivos operacionales y de cumplimiento y, generalmente, quedan fuera del
alcance de un informe sobre el control interno. A modo de ejemplo, la direc-
ción puede realizar revisiones periódicas de informes sobre operaciones para
seguir la evolución de la producción y las ventas. En cada caso, el fin princi-
pal del control de supervisión es ayudar a la entidad a conseguir sus objetivos
operacionales, y no sus objetivos de información financiera. No obstante,
como ya se ha observado, al llevar a cabo estos controles sobre operaciones,
el responsable de realizar la revisión puede estar en condiciones de identificar
datos financieros inexactos o incompletos. En ese caso, y si no existieran los
tipos tradicionales de controles de supervisión sobre la información financie-
ra, estos controles sobre operaciones y cumplimiento podrían ser considerados
dentro del alcance del informe sobre control interno.
La utilización por parte de la dirección de las conclusiones de los audito-
res internos y externos estará dentro o fuera del alcance del informe de la
dirección en función de la naturaleza de las actividades y los controles corres-
pondientes a los que se refieren dichas conclusiones.
Marco temporal
Los informes pueden referirse al control interno durante un período de
tiempo o a su situación en un momento concreto. Por ejemplo, la dirección
puede informar sobre el funcionamiento del control interno a lo largo de un
ejercicio completo (período de tiempo) o en un día durante el ejercicio (mo-
mento en el tiempo). El marco temporal es importante por dos motivos: influ-
ye en el proceso de evaluación y en la divulgación de las deficiencias detecta-
das y corregidas durante el período.
Cuando la dirección informa sobre los controles durante un período de
tiempo, su proceso de evaluación normalmente será bastante más extenso que
cuando se trata de un informe referido a una fecha específica. Cuando el
informe se refiere a un momento concreto (el cierre del ejercicio, por ejem-
plo)2, se puede limitar el alcance de la evaluación para contemplar solamente
la eficacia de los controles en vigor a dicha fecha3. Por otra parte, un informe
2
La dirección puede preferir informar sobre otro momento en el tiempo, como podría ser la fecha en que se
publican las cuentas anuales.
3
Desde un punto de vista práctico, no se realizará una evaluación sobre un momento en el tiempo. Las
actividades de supervisión continuada del sistema de control interno, que identifican las deficiencias de control y las
oportunidades de mejora, normalmente servirán de base a la evaluación. En ocasiones, la dirección lleva a cabo
procedimientos de evaluación en varias oportunidades a lo largo del ejercicio, prestando atención a cambios poste-
riores introducidos en el sistema antes del cierre del ejercicio.
que cubra un ejercicio entero requerirá una evaluación de la eficacia del siste-
ma de control durante todo el período de referencia, que es un proceso mucho
más extenso.
En relación con la divulgación de deficiencias, cuando un informe se
refiere a un momento determinado, muchas veces la dirección ya habrá tenido
tiempo para corregir una deficiencia detectada anteriormente durante el perío-
do. En tales casos, la dirección estaría en condiciones de informar sobre la
existencia de un sistema de control interno eficaz en aquel momento. Por otra
parte, si el informe cubriese un período, como un ejercicio anual entero, la
existencia de una deficiencia importante por un período de tiempo significati-
vo dentro de ese ejercicio podría impedir que la dirección pueda manifestar
que el sistema de control interno había funcionado de forma eficaz durante
todo el ejercicio de referencia.
La información emitida sobre un período de tiempo o sobre un momento
determinado, como el cierre del ejercicio social, debería satisfacer las necesi-
dades de los accionistas, obligacionistas y otros destinatarios de dicha infor-
mación. Sin embargo, es probable que informar sobre un momento determina-
do sea la alternativa preferida, ya que crea un ambiente más propicio a la
identificación y corrección de deficiencias. Tanto los sistemas de control in-
terno como las condiciones de su entorno están cambiando continuamente y es
importante entender que seguramente surgirán deficiencias de vez en cuando.
Informar sobre un momento determinado proporciona un enfoque constructi-
vo, que permite a la dirección dedicar su atención en la rápida solución de
problema más que en la divulgación de las deficiencias ya identificadas duran-
te el año y oportunamente corregidas.
Información anual o intermedia

Aunque muchos de los mismos controles se aplican a los procesos de
formulación de información financiera tanto anual como intermedia (por
ejemplo, trimestral), es posible aplicar controles diferentes4. Por consiguiente,
en un informe sobre el control interno de un momento determinado, como el
cierre del ejercicio5, cabe preguntarse si el informe sólo cubre el proceso de
formulación de información correspondiente al ejercicio completo o si tam-
bién cubre el proceso de formulación de información intermedia.
4
La Accounting Principies Board Opinión N° 28, Interim Financial Reporting (New York: AICPA, 1973),
reconoce las "dificultades inherentes" al informar sobre los resultados de las operaciones de períodos intermedios y
comenta los tipos de estimaciones que requiere el proceso de formulación de la información interina (párrafo 4).
5
A partir de aquí se supone que sólo se utilizan informes correspondientes a un momento determinado.
Dado que el informe de la dirección contempla el control interno sobre la

formulación de todos los estados financieros publicados de una entidad, es
apropiado que haga referencia a los controles sobre la información intermedia,
además de la anual. No obstante, hay que reconocer que el informe se refiere a
la situación del control interno sobre los procesos de preparación de informa-
ción intermedia y anual en un momento determinado, como la fecha de cierre
del ejercicio.
En consecuencia, no quiere decir que el control interno sobre la informa-
ción intermedia fuera necesariamente eficaz al final de cada período interino.
Por ejemplo, la dirección puede haber tenido conocimiento de la existencia de
deficiencias en los controles sobre la información intermedia durante el año,
pero si la dirección corrigiera estas deficiencias antes del cierre y confirmara
que las correcciones fueron eficaces, podría afirmar que el sistema era eficaz
al cierre del ejercicio.
No obstante el hecho de que no es preciso informar sobre deficiencias
identificadas en el control y corregidas antes del cierre, existen circunstancias
en las que la dirección puede considerar conveniente informar sobre ellas. Por
ejemplo, en el caso de una deficiencia que haya obligado a efectuar correccio-
nes a los estados financieros intermedios después de ser emitidos, los usuarios
del informe pueden no disponer de evidencia inmediata de por qué el informe
sobre control interno correspondiente afirmaba que el sistema de control inter-
no era eficaz. En tales circunstancias, la dirección puede desear utilizar dicho
informe como medio para tratar la deficiencia, afirmando que la misma fue
identificada y corregida antes del cierre del ejercicio.
Períodos futuros
Pueden surgir dudas sobre hasta qué punto el informe de la dirección
sobre el control interno permite a los lectores conseguir un determinado grado
de seguridad en cuanto a la eficacia del sistema en el futuro. Desde un punto
de vista práctico, los accionistas, obligacionistas u otras personas que lean la
memoria anual más reciente de una entidad que incluye un informe de la
dirección sobre el control interno, así como los estados financieros auditados
de la misma (ambos a la fecha del cierre del último ejercicio), probablemente
estudiarán el informe sobre los controles desde la perspectiva de las conclu-
siones que se pueden sacar sobre la eficacia del control de cara al ejercicio
siguiente, más que del ejercicio anterior.
¿Qué es, pues, lo que se puede suponer con respecto a los períodos poste-
riores a la fecha cubierta por un informe sobre el control interno? En muchos
casos, los lectores pueden, y con razón, asumir que un sistema de control
interno que fue eficaz al cierre de un ejercicio lo seguirá siendo durante el
siguiente. La existencia de mecanismos para gestionar las condiciones cam-

biantes y procedimientos de supervisión continuada constituyen una base para
esperar que el sistema continúe siendo eficaz.
Sin embargo, es realista preguntarse ¿durante cuánto tiempo? Si la direc-
ción comunicara a los lectores del informe, por ejemplo, que sigue revisando
los controles de supervisión y gestión del cambio y que considera que el
sistema sigue siendo eficaz, entonces los lectores del informe tendrían una
base para sacar conclusiones sobre la eficacia continuada del sistema. Sin
embargo, la falta de tal comunicación no permitiría a los lectores saber si se
han producido cambios internos que han repercutido en mecanismos de con-
trol esenciales.
Por lo tanto, aunque sería poco usual que un sistema de control eficaz
dejara de serlo de un día para otro, las suposiciones sobre la eficacia suelen
perder validez con el paso del tiempo. Al final, para tener seguridad con
respecto a la eficacia del control interno en un momento determinado, se
necesita un informe actualizado.
Contenido del informe

Como ya se ha comentado, en la actualidad son muchas las empresas
americanas que incluyen informes de la dirección que abordan el control
interno en sus informes anuales para los accionistas. Los párrafos que vienen
a continuación tratan del contenido de estos informes. La siguiente sección
"Nuevas pautas para los informes" contiene sugerencias para los informes que
serían consecuentes con los criterios de este estudio.
Declaración de responsabilidad de la dirección

Los informes de la dirección sobre el control interno que han sido publica-
dos hasta ahora tratan la cuestión de la responsabilidad de la dirección en base
a uno de los dos enfoques siguientes. Según el primer enfoque, la dirección
reconoce sus responsabilidades sobre el control interno, a veces citando uno o
más asuntos específicos, pero sin llegar a afirmar explícitamente que la direc-
ción haya cumplido con unas tareas determinadas. Por ejemplo, el informe
podría afirmar que la dirección es responsable de diseñar y mantener un siste-
ma de control interno que tenga unas características u objetivos especificados.
También podría afirmar que el sistema de control interno ha sido diseñado
para conseguir unos objetivos determinados.
Según el otro enfoque, la dirección afirma haber cumplido con ciertas
tareas específicas relativas a su responsabilidad. Por ejemplo, el informe po-
dría afirmar que la dirección ha establecido y mantiene un sistema de control

interno que proporciona una seguridad razonable de que se toman ciertas
medidas o se consigan ciertos objetivos. De igual manera, los administradores
podrían tratar de la eficacia o del carácter adecuado del sistema de control
interno de la entidad.
Estos dos enfoques se diferencian en que uno reconoce responsabilidades
particulares en relación con el control interno mientras que el otro analiza si
se ha cumplido con dichas responsabilidades.
Análisis de elementos específicos

Varios individuos y organizaciones han recomendado que se incluya en
este informe un análisis de los elementos específicos del sistema de control
interno de las entidades. Las áreas específicas cubiertas en los informes hasta
la fecha han variado, pero generalmente se hace hincapié en algunos o en la
totalidad de los siguientes puntos6:
■ Comité de auditoría.— La composición, el papel y las funciones del comi-

té de auditoría forman parte habitualmente de los comentarios sobre el
control interno. Estos comentarios pueden subrayar la función del comité
de auditoría y describir sus obligaciones.
■ Establecimiento y comunicación de políticas escritas.— Algunos informes
publicados contienen comentarios afirmando que la dirección ha estable-
cido políticas y procedimientos escritos sobre el control interno que están
de acuerdo con los objetivos de control interno de la entidad. Los informes
a menudo afirman que la dirección ha comunicado las políticas y los
procedimientos a los empleados.
■ Relaciones dentro de la organización.— A veces los informes publicados
reconocen la importancia de la delegación de poderes y la segregación de
responsabilidades para conseguir un control interno eficaz. Una forma de
constatar dicho reconocimiento podría ser una afirmación de que el siste-
ma de control interno prevé unas vías de comunicación y una división de
responsabilidades adecuadas.
■ Personal.— A veces los informes publicados hablan de la selección y
formación cuidadosa del personal y pueden incluir comentarios sobre el
sistema de contratación y el desarrollo. Las afirmaciones se refieren al
personal en general, o al personal de las áreas financieras o de operacio-
nes, o a los niveles directivos.
6
Como se menciona en "Nuevas pautas para los informes", los informes sobre el control interno basados en este
estudio harán referencia a materias algo distintas.
■ Código de conducta.— Algunos informes publicados incluyen comenta-

rios sobre el código de conducta de la entidad, contemplando la comunica-
ción de las estipulaciones del mismo, los temas más importantes cubiertos
por el código (tales como la comunicación abierta dentro de la entidad, el
cumplimiento de las leyes nacionales e internacionales, las posibles in-
compatibilidades, el cumplimiento de normas éticas y la protección de la
confidencialidad de la información de la entidad), y la existencia de un
programa sistemático para evaluar el grado de cumplimiento con el mis-
mo.
■ Programa de auditoría interna.— Muchos informes hacen referencia al
programa de auditoría interna de la entidad. Estas referencias normalmen-
te se limitan a la afirmación de que la entidad mantiene un programa de
auditoría interna eficaz que evalúa de forma independiente la eficacia
del sistema de control interno y que recomienda posibles mejoras en el
mismo.
Limitaciones inherentes al control interno

Ha quedado claramente establecido que ningún sistema de control interno
puede garantizar que se genere información financiera fiable. Con pocas ex-
cepciones, las pautas a seguir en la preparación de la información sugeridas en
otros estudios, así como los informes publicados hasta ahora, incluyen refe-
rencias específicas que recuerdan esta limitación.
El énfasis concedido a las limitaciones inherentes va desde una simple
mención de la seguridad razonable, hasta dos o tres frases sobre las conside-
raciones de coste-beneficio y la necesidad de que la dirección aplique su
propio juicio al evaluar el control interno. La decisión sobre la extensión de
tal exposición de las limitaciones inherentes al control interno debe contrape-
sarse con la posibilidad de que el informe se cargue con un exceso de lengua-
je negativo o defensivo.
La respuesta de la dirección ante las deficiencias

La dirección puede tener conocimiento de las deficiencias del control in-
terno a través de numerosas fuentes, entre ellas los auditores internos, los
auditores externos o los organismos de control. Algunos individuos o grupos
han sugerido que un informe sobre el control interno debería afirmar explíci-
tamente el momento en que la dirección fue informada de las deficiencias,
describir exactamente en qué consiste la deficiencia junto con una indicación
de si la dirección ha reaccionado o no ante la misma y si ha sido subsanada.
No obstante, los típicos informes sobre el control interno no suelen hacerlo.
Al respeto existen argumentos a favor y en contra. El hecho de facilitar

información de este tipo indica que las vías disponibles para comunicar la
existencia de las deficiencias a la dirección funcionan y así ayuda a mejorar la
eficacia del control interno. También informa a los lectores del informe que
la dirección ha considerado las deficiencias y ha reaccionado ante ellas.
Por otra parte, informar sobre estas deficiencias puede plantear preguntas
sobre cómo se debe considerar su efecto dentro del contexto del informe en su
conjunto. Es decir, si la dirección ha afirmado que cree que su sistema de
control interno es eficaz, los lectores del informe pueden no tener claro si la
mención de las deficiencias subsanadas debe tener la consideración de salve-
dad a la opinión o si indica que las mismas han sido consideradas a la hora de
expresar la opinión. Por otro lado, el hecho de identificar estas deficiencias en
el informe puede inducir a los lectores a cambiar su percepción de la evalua-
ción global del control interno por parte de la dirección, o cuestionar si las
reacciones ante las deficiencias han sido apropiadas o no. En todo caso, los
argumentos en contra de informar sobre las deficiencias subsanadas tienen
más peso que los argumentos a favor.
Algunos informes de gestión afirman que el sistema de control interno está
sujeto a una revisión continuada de la cual se derivan sugerencias para su
mejora y que la dirección toma las acciones apropiadas para corregir las
deficiencias. Tales afirmaciones indican que el sistema incluye un proceso
para identificar las deficiencias y reaccionar ante ellas.
Firmas del informe

La identidad de la persona que firma el informe sobre el control interno
puede parecer un simple asunto administrativo, pero tiene implicaciones im-
portantes. En la práctica actual los informes suelen ser firmados por el direc-
tor general o consejero delegado, pero también podrían ser firmados por el
presidente del consejo de administración, junto con el director financiero o el
director de contabilidad.
Esta práctica es apropiada porque el máximo responsable ejecutivo debe
ser el responsable final del sistema de control interno. A través de su firma,
éste reconoce públicamente esta responsabilidad. Además, dado que el infor-
me se centra en los controles sobre la información financiera, es igualmente
apropiado que el informe lleve la firma de la persona directamente responsa-
ble de la función financiera. Esta práctica es coherente con las recomendacio-
nes y propuestas presentadas por entidades privadas y públicas.
Nuevas pautas para los informes

Como ya se ha observado en la sección anterior, el contenido de los
informes sobre el control interno publicados hasta ahora varía notablemente.
Esto se debe, en parte, a la falta de una definición generalmente aceptada del
control interno, así como de criterios de eficacia y normas para la formulación
de la información.
Este informe presenta una definición, unos criterios y unas pautas, cuya
utilización como base para preparar los informes de la dirección sobre el
control interno permitirá que tanto los responsables de emitir los informes
como los lectores de los mismos dispongan de una definición común de lo que
se está comunicando.
Un asunto fundamental, considerado anteriormente en la sección "Respon-
sabilidad de los administradores", es si el informe de la dirección sólo debe
abordar lo que se encuentre bajo la responsabilidad de la dirección o quizás
para lo que el sistema de control interno había sido diseñado, o si también
debe contemplar la eficacia del sistema de control interno. Hay varias razo-
nes por las cuales lo más apropiado es informar sobre la eficacia:
■ El informe de la Comisión Treadway afirma que la dirección debe infor-

mar sobre la eficacia de los controles internos de la entidad. El informe
Treadway explica que los inversores tienen un interés legítimo, no sólo en
conocer el grado de responsabilidad que asume la dirección sobre el con-
trol interno, sino también la forma en que desempeña dichas responsabili-
dades.
■ Una afirmación sobre las responsabilidades de la dirección o sobre el
diseño del sistema de control interno es mucho menos sustantiva que la
información sobre la eficacia, y puede confundir a los lectores que no
reconozcan los distintos matices del texto. De hecho, este tipo de informa-
ción puede ser una de las causas del llamado "desfase de expectativas"
(expectation gap).
■ Se podría pensar que informar exclusivamente sobre las responsabilidades
de la dirección o sobre el diseño del sistema, sin referencia alguna a la
eficacia, limitaría las posibles responsabilidades en el caso de que se des-
cubriese que los estados financieros contienen algún error significativo.
No obstante, la información sobre la eficacia del sistema ya conlleva las
advertencias y la protección necesarias al reconocer el concepto de seguri-
dad razonable y las limitaciones inherentes a todo sistema de control inter-
no. Afirmar que un sistema de control interno es eficaz no quiere decir
que no puede existir un error significativo en los estados financieros
publicados.
Las siguientes pautas, que incluyen el concepto de información sobre la

eficacia del sistema de control interno, concuerdan con la mayoría de las
recomendaciones de la Comisión Treadway. Las entidades que deseen cumplir
con dichas recomendaciones deberían seguirlas. El contenido de un informe
de la dirección sobre el control interno debería incluir:
■ La categoría de los controles en cuestión (los controles sobre la formula-

ción de los estados financieros públicos de la entidad).
■ Una declaración sobre las limitaciones inherentes a todo sistema de con-
trol interno.
■ Una declaración sobre la existencia de mecanismos de supervisión del
sistema y de regularización de las deficiencias identificadas.
■ Un marco de referencia para el informe, es decir, identificación de los
criterios utilizados para medir el sistema de control interno7.
■ Una conclusión sobre la eficacia del sistema de control interno. Si existe
una o más deficiencias significativas8, la dirección no podrá concluir sobre
la eficacia del sistema de control interno, y deberá incluir una descripción
de dichas deficiencias.
■ La fecha (o período) a la que se refiere la conclusión.
■ Los nombres de las personas que firman el informe.
La terminología empleada en el informe debería guardar uniformidad con

las normas según las que se evalúa el sistema. Si los criterios del presente
informe constituyen las normas a seguir, la terminología empleada en el infor-
me debería corresponder a la aquí utilizada. La utilización uniforme de la
terminología es esencial para evitar malentendidos por parte de los lectores
del informe.
Si bien es cierto que la uniformidad en los informes favorece la comunica-
ción, no es necesario que la uniformidad sea total, ni que se utilice un lenguaje
estandarizado. Puede que las diferentes direcciones deseen resaltar asuntos
7
Se pueden utilizar los criterios contenidos en la sección "Marco general" de este informe u otros criterios.
Para la comunicación adecuada con los lectores del informe, es importante incluir una referencia explícita a las
normas utilizadas para evaluar el sistema de control interno de la entidad. El hecho de mencionar que los criterios
considerados son aquellos que se han descrito en la sección "Marco general" significa, automáticamente, que se han
tenido en cuenta determinados conceptos importantes, tales como: a) la seguridad razonable; b) las diversas limita-
ciones inherentes a los sistemas de control interno; c) los componentes y las posibles áreas comunes de éstos; d) la
definición del control interno sobre la formulación de los estados financieros públicos.
8
Si se corrigiera una deficiencia significativa antes de la fecha en la que se expresa la conclusión sobre la
eficacia del sistema (por ejemplo, al cierre del ejercicio) no sería necesario describir la deficiencia, siempre que la
dirección afirmara que los controles nuevos o revisados estaban funcionando de forma eficaz a esa fecha (cierre).
La información de la dirección puede expresarse después de dicha fecha, pero antes de la fecha de emisión del
informe de la dirección.
distintos o simplemente tengan un estilo propio diferenciado. Es también pre-

visible que los informes de la dirección que siguen las normas recomendadas
en este informe evolucionen a medida que las direcciones vayan probando
enfoques diferentes.
A título de ejemplo, se ofrece a continuación un informe redactado de

conformidad con estas normas y en el que se siguen los criterios contenidos
en este informe:
La Entidad XYZ mantiene un sistema de control interno sobre la presentación

de la información financiera, que está diseñado para proporcionar a la Direc-
ción y al Consejo de Administración un grado de seguridad razonable en cuan-
to a la fiabilidad de los estados financieros públicos. El sistema contiene meca-
nismos de supervisión y se toman las medidas necesarias para corregir
deficiencias en cuanto éstas se identifican. Todo sistema de control interno,
por muy bien diseñado y eficaz que sea, tiene limitaciones inherentes incluyen-
do la posibilidad de que los controles sean eludidos, por lo que sólo puede
proporcionar una seguridad razonable en cuanto a la fiabilidad de los estados
financieros. Además, debido a los cambios que pueden producirse en las con-
diciones del entorno, la eficacia del sistema de control interno puede variar con
el paso del tiempo.
La Entidad ha evaluado su sistema de control interno al 31 de diciembre de
19XX, basándose en los criterios de eficacia del control interno sobre la pre-
sentación de la información financiera descritos en el informe "Control interno:
Un marco integrado" emitido por el Committee of Sponsoring Organizations of
the Treadway Commission. De acuerdo con dicha evaluación, la Sociedad
considera que al 31 de diciembre de 19XX su sistema de control interno sobre
la información financiera cumple con los mencionados criterios.
Sociedad XYZ
Por
Firma (Presidente del consejo de administración)
Por _______________________________________
Firma (Director financiero/director de contabilidad)
Fecha
Se espera que la redacción de este informe ilustrativo sirva como guía, que
puede ser particularmente útil para las direcciones con poca o ninguna expe-
riencia en informar sobre el control interno. La redacción de este informe
ilustrativo no pretende ser un modelo obligatorio y la dirección de cada enti-
dad puede modificarlo o ampliar su contenido en función de sus necesidades.
Por ejemplo, la dirección de una empresa podría dar más información sobre
determinados componentes de su sistema, como el entorno de control, anali-
zando el papel del consejo de administración y del comité de auditoría. Otra
posibilidad sería referirse a la supervisión, tal vez contemplando la función de
la auditoría interna.
Si el informe sobre el control interno también contempla otros asuntos,
éstos no deben presentarse de tal forma que provoque confusión en los lecto-
res acerca del análisis del control interno y las conclusiones resultantes. Algu-
nos asuntos, tales como la responsabilidad de la dirección de formular los
estados financieros, el uso de estimaciones y juicios en su formulación y la
responsabilidad del auditor externo al realizar su examen de los mismos, de-
berían ser objeto de una consideración separada. Podrían comentarse, por
ejemplo, bajo otro epígrafe dentro del informe. En cualquier caso, los párrafos
que describen la evaluación del control interno y la conclusión sobre la efica-
cia del sistema deberían presentarse juntos.
La dirección debería considerar la conveniencia de que sus asesores lega-
les revisen la redacción del informe. Tal revisión podría ayudar a asegurar que
la terminología empleada en el informe incluya las advertencias y salvaguar-
das oportunas acerca de las limitaciones propias de cualquier informe sobre la
eficacia de un sistema. Podría ser especialmente interesante obtener la opinión
de los asesores legales a la hora de estudiar la forma de divulgar una deficien-
cia material.
A continuación se presenta un informe ilustrativo que no sólo proporciona
más información sobre determinados componentes del sistema de control in-
terno de una entidad, sino que también contempla otros temas no directamente
relacionados con el control interno. Otros aspectos de la redacción presentan
pequeñas diferencias con respecto a la que se utilizó en el informe anterior
para resaltar el hecho ya comentado de que la uniformidad total en la presen-
tación del informe no es necesaria.
Estados financieros
La Entidad XYZ es responsable de la formulación, integridad y presentación

fiel de sus estados financieros públicos. Los estados financieros, presentados
en las páginas xx a yy, han sido preparados de acuerdo con los principios de
contabilidad generalmente aceptados, por lo que incluyen cifras basadas en
determinadas opiniones y estimaciones de la Dirección. La Entidad ha formula-
do, asimismo, el resto de la información incluida en la memoria y es responsa-

ble de la exactitud y uniformidad de los estados financieros.
Los estados financieros han sido auditados por la firma de auditoría inde-
pendiente, ABC & Co., la cual ha tenido acceso sin restricciones a todos los
registros financieros y demás datos relacionados, incluidas las actas de todas
las Juntas de Accionistas de las reuniones del Consejo de Administración y de
los Comités del Consejo. La Entidad considera que todas las manifestaciones
realizadas a los auditores independientes en el transcurso de su auditoría son
válidas y apropiadas. El informe de auditoría de ABC & Co. se presenta en la
página XX.
Sistema de control interno
La Entidad mantiene un sistema de control interno sobre la presentación de la

información financiera, que está diseñado para proporcionar un grado de se-
guridad razonable a la Dirección y al Consejo de Administración en cuanto a la
formulación de los estados financieros públicos. El sistema se apoya en una
estructura de la organización documentada así como en una adecuada segre-
gación de funciones; en las políticas y los procedimientos establecidos que
incluyen un código de conducta para fomentar el comportamiento ético y su
comunicación a todo el personal de la empresa, y en la cuidadosa selección,
formación y desarrollo de nuestros empleados. Los auditores internos realizan
el seguimiento del funcionamiento del sistema del control interno e informan
sobre sus conclusiones y recomendaciones a la Dirección y al Consejo de
Administración. Se han tomado las medidas necesarias para corregir las defi-
ciencias de control detectadas, además de haberse aprovechado otras oportu-
nidades para mejorar el sistema. El Consejo, a través de su Comité de Audito-
ría, compuesto íntegramente por consejeros que no son ni directivos ni
empleados de la Entidad, supervisa el proceso de formulación de la informa-
ción financiera.
Todo sistema de control interno comporta ciertas limitaciones que le son inhe-
rentes y, en particular, el riesgo de errores humanos y la posibilidad de que los
controles sean eludidos o burlados. Por lo tanto, incluso un sistema de control
eficaz sólo puede proporcionar una seguridad razonable en cuanto a la fiabili-
dad de los estados financieros. Además, la eficacia de un sistema de control
interno puede variar según las circunstancias.
19XX, basándose en los criterios de eficacia del control interno sobre la infor-
mación financiera descritos en "Control interno: Un marco integrado" emitido
por el Committee of Sponsoring Organization of the Treadway Commission. De
acuerdo con dicha evaluación, la Entidad considera que al 31 de diciembre de
19XX, su sistema de control interno sobre presentación de la información finan-
ciera cumple con los mencionados criterios.
Si existiera una deficiencia significativa al cierre del ejercicio, se podría

modificar esta última frase, que quedaría como sigue:
De acuerdo con dicha evaluación, excepto por lo mencionado a continuación,

la Entidad considera que al 31 de diciembre de 19XX su sistema de control
interno sobre presentación de la información financiera cumple con los mencio-

nados criterios.
Durante 19XX, la Entidad ha establecido unas nuevas condiciones de garantía
para determinados productos, pero al cierre del ejercicio no disponía de sufi-
ciente información y experiencia técnica para calcular con exactitud la provi-
sión correspondiente. Con posterioridad la Entidad ha adquirido dicha informa-
ción y experiencia y se han aplicado en el cálculo del pasivo correspondiente
que figura en los estados financieros al 31 de diciembre de 19XX.
Deficiencias significativas
Dado que el informe de la dirección contiene una conclusión acerca de la
eficacia del sistema de control interno de la entidad, surge la cuestión de si
existen deficiencias tan graves que no permitan realizar esta afirmación.
En diversos estudios, el concepto de la eficacia del control interno ha sido
relacionado con el término "deficiencia significativa". En la literatura sobre
auditoría, la expresión "deficiencia significativa" está relacionada con los ob-
jetivos de una entidad en materia de fiabilidad de las informaciones financie-
ras y se define como una situación en la cual:
...el diseño o funcionamiento de los elementos específicos de la estructura del

control interno no consiguen reducir a un nivel aceptablemente bajo el riesgo
de que existan errores o irregularidades por importes que serían significativas
a los efectos de los estados financieros objeto de la auditoría, y que no sean
detectadas oportunamente por los empleados en el desarrollo normal de sus
funciones.
Así pues, la expresión "deficiencia significativa" incluye varios conceptos

tales como: el nivel de riesgo (relacionado con la seguridad razonable), el
carácter "significativo" en relación con los estados financieros de la entidad, y
la detección oportuna de errores o irregularidades.
El concepto de "deficiencia significativa" delimita el concepto de la efica-
cia, estableciendo el umbral al que hay que referirse para evaluar las deficien-
cias. Es sin duda el término que se ha empleado más que cualquier otro para
evaluar la eficacia. Es el umbral que se debe utilizar para los informes públi-
cos. La existencia de una deficiencia significativa imposibilita que la entidad
afirme que su sistema de control interno es eficaz.
Otro umbral es el conjunto de "deficiencias a comunicar", es decir: "Defi-
ciencias significativas en el diseño o funcionamiento del control interno que
pudieran tener un efecto negativo en la capacidad de la entidad para registrar,
procesar, resumir y presentar información financiera de acuerdo con las ase-
veraciones implícitas efectuadas por la dirección en los estados financieros."
Este umbral, más bajo que el de las deficiencias significativas, fue des-
arrollado por los auditores con el objeto de determinar cuáles de los puntos
identificados en el curso de una auditoría merecen ser comentados con el
comité de auditoría de la entidad. No pretende servir (y muchos observadores
creen que no sirve) como punto de referencia para determinar si un sistema de
control interno es eficaz o no. Los mencionados observadores señalan que el
concepto tiende a otro objetivo y opinan que la necesidad de comunicar una
determinada situación al comité de auditoría no necesariamente significa que
el sistema de control interno sea ineficaz.
Esta jerarquía de umbrales es coherente con los conceptos introducidos en
la sección "Marco general" (Capítulo 6, bajo "Directrices sobre comunicación
de deficiencias"). Se puede definir las deficiencias a comunicar en base a las
necesidades de cada una de las partes implicadas. La dirección y el consejo de
administración o el comité de auditoría necesitan tener conocimiento de las
deficiencias que se han definido como dignas de mención, mientras que los
inversores, acreedores y otros lectores del informe deberían estar informados
de la existencia de deficiencias significativas, si las hay. Son estas deficien-
cias de control interno las que influirían de forma justificada, en la percepción
de un inversor respecto a la capacidad de la entidad de formular estados
financieros fiables.
Aunque el umbral de la deficiencia significativa es clave en cuanto a la
publicación de información sobre el control interno, el lector no debería espe-
rar una respuesta fácil a la pregunta: "¿Cómo voy a reconocer una deficiencia
significativa?". Por desgracia, no se puede expresar sólo en términos cuanti-
tativos el proceso que permite determinar la existencia de una deficiencia
significativa. Se requiere bastante discernimiento, teniendo en cuenta todos
los hechos y las circunstancias que se dan en cada caso. Los conceptos de
importancia relativa y de deficiencia significativa han sido ampliamente dis-
cutidos. Aunque los presentes comentarios no terminarán con el debate, pue-
den arrojar un poco de luz sobre el tema.
Dada su importancia, el concepto de deficiencia significativa debe ser
estudiado por los organismos apropiados para aportar unas pautas adicionales
sobre su aplicación. Mientras tanto, los párrafos siguientes contienen algunos
criterios que serán de ayuda en la identificación de estas deficiencias.
Relación entre las deficiencias y las aseveraciones implícitas

en los estados financieros
La definición de la deficiencia significativa implica el riesgo de que ocu-
rran errores o irregularidades sin que se detecten a tiempo. El término "errores
e irregularidades" en la definición es un enlace con los estados financieros de
la entidad y, por tanto, los objetivos básicos de la información financiera, a

saber, el concepto de la imagen fiel y las cinco aseveraciones implícitas que
constituyen el fundamento de los estados financieros de una entidad.
Al considerar si se alcanzan los objetivos de la entidad en cuanto a la
información financiera, deben considerarse los resultados en relación con cada
uno de los cinco componentes del control interno respecto a las aseveraciones
relevantes que hacen referencia a las cuentas significativas. Las deficiencias
en algunos de los componentes del control interno pueden estar relacionadas,
no sólo con una o algunas de las aseveraciones y cuentas contenidas en los
estados financieros; sino que sus efectos pueden tener un alcance mucho más
amplio. Por ejemplo, la conclusión de que los altos cargos carecen de integri-
dad puede poner en duda la fiabilidad de todas las aseveraciones realizadas
sobre todas las cuentas. Sin embargo, los posibles efectos de otras deficiencias
sobre los estados financieros pueden concretarse a menudo con más precisión.
Por ejemplo, las deficiencias de control asociadas con las comunicaciones de
los clientes pueden poner en duda la suficiencia de las provisiones para deu-
das de dudoso cobro y posibles existencias defectuosas. Sin embargo, estas
deficiencias, por sí solas, no pondrían en duda el valor neto contable de otros
activos.
La importancia de deficiencias específicas

En el presente estudio el término "deficiencia" se refiere a un defecto de
control interno percibido, potencial o real, o a una oportunidad de fortalecer el
sistema para aumentar la probabilidad de que se consigan los objetivos de la
entidad. No todos los defectos son deficiencias significativas. Sobre todo por-
que pueden existir otros controles que permiten alcanzar el mismo objetivo.
Cuando se detecta una deficiencia, la persona encargada de evaluar el sistema
de control interno debe buscar aspectos positivos en los controles existentes
en ese u otros componentes que puedan ayudar a cumplir el objetivo específi-
co afectado por la deficiencia.
Por ejemplo, al considerar el control en relación con la estimación realiza-
da por la dirección de las provisiones para clientes dudosos, las revisiones por
parte de la dirección de datos operativos como el número de días de ventas en
las cuentas a cobrar, pueden desempeñar la misma función que otro control,
tal como el seguimiento de las reclamaciones de clientes. Tanto las revisiones
realizadas por la dirección como el seguimiento de reclamaciones son procedi-
mientos positivos, pero el primero, por sí solo, podría dirigir suficiente aten-
ción a la provisión para insolvencias y así evitar que la insuficiencia en el
seguimiento sea una deficiencia significativa. Otro ejemplo sería que la enti-
dad llevara a cabo revisiones especiales al cierre del ejercicio sobre las posibi-
lidades de cobro de las cuentas a cobrar que incluyeran el seguimiento de

cuentas morosas de mucha antigüedad. Esta medida también podría permitir
que la dirección afirmara que existen controles adecuados para asegurar una
valoración correcta de las cuentas a cobrar. La dirección puede tomar en
consideración los controles que existen en cualquier punto del sistema para
formular una conclusión acerca de si el sistema de la entidad, en su conjunto,
se ha diseñado apropiadamente y está funcionando para alcanzar cada objetivo
específico relativo a la fiabilidad de la información financiera.
Carácter significativo de las deficiencias observadas

Una vez que se haya identificado una deficiencia en los controles sobre la
información financiera, se debe considerar la importancia relativa de los posi-
bles errores en relación con los estados financieros de la entidad, antes de
llegar a una conclusión sobre si la deficiencia de control es o no significativa.
La literatura de auditoría existente ofrece recomendaciones para tomar este
tipo de decisiones9. Si bien estas recomendaciones van dirigidas a auditores,
también pueden ser de utilidad para los directivos.
En la medida en que pueda aplicarse a las condiciones actuales, el conoci-
miento de errores anteriores que el sistema de control interno no pudo prever
o detectar puede ayudar a estimar la probabilidad y el efecto de posibles
errores futuros. Pero hay que actuar con cautela. El mero hecho de que haya
ocurrido o que pueda ocurrir un error no necesariamente quiere decir que ha
existido o que ahora existe una deficiencia significativa. Los conceptos de las
limitaciones inherentes de los sistemas de control interno (aplicación del jui-
cio humano, un análisis coste-beneficio, posibilidad de eludir los controles por
parte de la dirección, confabulación o existencia inevitable de fallos) son
todos relevantes a la hora de determinar si los errores conocidos provienen de
una deficiencia significativa en el sistema de control interno.
Sin perjuicio de la necesidad de considerar el concepto de coste-beneficio
para determinar si un defecto constituye una deficiencia significativa, este
concepto por sí solo puede no ser el factor decisivo. Si, por ejemplo, un
control en particular es absolutamente esencial para reducir el riesgo de error
material a un nivel relativamente bajo (y así evitar una deficiencia significati-
va), aunque su coste sea elevado, la ausencia de dicho control constituiría una
deficiencia significativa. Debe reconocerse, sin embargo, que la definición de
9
El "Statement on Auditing Standards No. 30.", Reporting on Internal Accounting Control (New York: AICPA,
1980), sugiere que se considere el efecto del conjunto de las deficiencias que individualmente no son significativas
(párrafo 32).
lo que constituye el "riesgo mínimo" necesariamente requiere la aplicación

del juicio de la dirección, que podría incluir el coste como un factor relevante.
Proceso de formulación del juicio

Los factores anteriormente mencionados sugieren que para decidir si un
defecto de control interno es una deficiencia significativa se requiere tanto el
entendimiento profundo de los hechos y circunstancias relevantes como una
gran capacidad de juicio. Por lo tanto, la decisión de que existe una deficien-
cia significativa no puede tomarse en abstracto. Una situación concreta puede
merecer la consideración de deficiencia significativa en una entidad pero no
en otra, según la actividad, los productos o los servicios ofrecidos o la existen-
cia de otros controles, por indicar sólo algunas razones. Debido a las diferen-
cias en los sistemas de control establecidos para cumplir los objetivos de
información financiera y en los hechos y circunstancias de la situación de
cada entidad, dar ejemplos puede ser la mejor forma de ilustrar cómo la
dirección podrá reconocer una deficiencia significativa. A continuación se
presentan varios ejemplos para ilustrar el proceso de razonamiento que puede
seguirse.
■ Los códigos de conducta formales pueden ser una parte importante de la

cultura de control. ¿Como debería entender la persona encargada de eva-
luar el sistema de control interno la ausencia de un código de conducta
formal? En una entidad grande, la ausencia de tal código sería un hecho
llamativo y el evaluador podría tender a considerarla como una deficiencia
significativa. Podría inclinarse aún más hacia esta opinión si un comporta-
miento no ético expusiera la entidad a un riesgo excesivamente alto de que
existieran pasivos no registrados o activos no realizables que hicieran que
los estados financieros de la entidad fueran engañosos. Por ejemplo, éste
podría ser el caso si una empresa contratada por el gobierno cargara costes
ficticios en un contrato. Sin embargo, una entidad podría cumplir objeti-
vos similares a los perseguidos por un código de conducta escrito a través
de un sistema menos formal. Una solución sería, por ejemplo, las reunio-
nes periódicas entre la dirección y los empleados en las que se traten los
comportamientos aceptables y los no aceptables. Si el evaluador cree que
estas reuniones son eficaces, puede llegar a la conclusión de que la ausen-
cia de un código de conducta formal no da lugar a un riesgo inaceptable de
errores o anomalías significativas. Esta conclusión sería aun más apropia-
da si el riesgo de que se produzca un hecho que afectara la fiabilidad de
los estados financieros de la entidad, y que normalmente estaría prohibida
por un código de conducta formal, fuera menor gracias a dichas reuniones.
■ La falta de integridad de la dirección podría tener efectos tan importantes

en los estados financieros que podría constituir una deficiencia significati-
va. Sin embargo, no todas las acciones irregulares son parecidas, ni tienen
el mismo impacto sobre la información financiera. Por ejemplo, el hecho
de "inflar" los ingresos declarados facturando antes del fin del ejercicio
unas ventas destinadas a ser entregadas en el ejercicio siguiente normal-
mente indicaría una mayor falta de integridad que la utilización de un
coche de la empresa para fines personales. Las dos acciones son pruebas
de falta de integridad, pero la primera parece ser, por lo menos a primera
vista, más grave que la segunda y tendría implicaciones más directas y
significativas sobre la fiabilidad de los estados financieros de la entidad.
Asimismo, el comportamiento no ético de un responsable de un nivel
relativamente bajo tiene menos consecuencias a la hora de llegar a una
conclusión sobre la capacidad del sistema de control interno de la entidad
de generar estados financieros fiables que si el mismo comportamiento se
observase en el presidente o en algún miembro de la alta dirección
■ Otro ejemplo podría ser el de una empresa de alta tecnología que ofrezca
contratos con un largo período de garantía para sus productos. Los em-
pleados que presten servicios a los clientes o de otra manera tengan cono-
cimiento de los problemas de los clientes relacionados con estos productos
están obligados a comunicar su conocimiento de los niveles de insatisfac-
ción de los clientes al personal de contabilidad. En este caso, dicho proce-
so es fundamental para que la función de la contabilidad pueda hacer una
estimación razonable de la provisión para garantías. En este caso no exis-
ten otros controles para cumplir los mismos objetivos de información fi-
nanciera. La ausencia de tal comunicación, bien porque no hay forma de
hacerlo o porque no se aprovechan las posibilidades disponibles, podría, si
los importes son materiales, dar lugar a la conclusión de que existe una
deficiencia significativa. Las variaciones en los hechos y circunstancias,
sin embargo, podrían dar lugar a otra conclusión. Si las condiciones de los
contratos fueran sustancialmente diferentes (por ejemplo, si ofrecieran un
período de garantía mucho más corto) el riesgo podría estar muy por
debajo de cualquier umbral razonable de importancia relativa. De la mis-
ma forma, el departamento de auditoría interna u otros empleados designa-
dos al efecto podrían contactar con los clientes al cierre del ejercicio para
averiguar la importancia de las posibles reclamaciones y de esta forma
conseguir los mismos objetivos por otros medios. En ambas situaciones, y
pueden existir más, seguramente la dirección concluiría que no existía una
deficiencia significativa.
■ Un cuarto ejemplo podría ser la evaluación de nuevos riesgos y la respues-

ta a los mismos. La ausencia de un mecanismo en una empresa de servi-
cios financieros, que identifique los riesgos relacionados con los estados
financieros y asociados con los nuevos instrumentos financieros con los
que habitualmente trabaje, tiene más posibilidades de ser considerada co-
mo una deficiencia significativa que la ausencia de un mecanismo similar
en una empresa manufacturera que sólo realiza transacciones puntuales
con instrumentos financieros más tradicionales cuyos riesgos están bien
identificados.
■ Para poner un ejemplo más, considérese el caso de que el personal de
contabilidad efectúe conciliaciones u otras funciones de control clave y
que tengan poca formación o ninguna. En teoría, este hecho podría ser una
deficiencia significativa. Sin embargo, en la práctica, el personal de conta-
bilidad está sujeto a una supervisión eficaz. También es posible que en las
revisiones realizadas por la dirección de la información financiera se iden-
tifiquen errores materiales. Si este es el caso no cabría considerar dentro
de la categoría de deficiencia significativa el asunto de la formación.
■ Finalmente, la ausencia de procedimientos para revisar la fiabilidad de
programas informáticos comprados y utilizados para generar informes so-
bre las ventas y las correspondientes comisiones podría ser, en teoría, y si
no existen otros controles, una deficiencia material. No sería el caso si las
ventas estuvieran conciliadas con los datos de envío y si se verificaran las
comisiones declaradas (que en este caso se asume que son idénticas) me-
diante un cálculo global.
Documentación
Cuando una entidad emite un informe público sobre el control interno,
debería formular y mantener los documentos que soportan las afirmaciones
realizadas. Como se menciona en la sección "Marco general", Capítulo 6, el
tipo y la extensión de tal documentación variará según la entidad. La sección
"Herramientas de evaluación" incluye determinados procedimientos mediante
los cuales un sistema de control interno y el proceso de evaluación pueden
documentarse. Otros procedimientos de documentación son igualmente acep-
tables, siempre que se justifiquen las afirmaciones realizadas en el informe.
Anexo
Análisis de los comentarios
En este Anexo se presenta un resumen de los comentarios más importantes

suscitados tras la difusión pública de un borrador de este documento y de las
reacciones ante una versión revisada. Menciona las modificaciones resultantes
que se han incorporado a este documento final, así como las razones por las
que se aceptaron algunos comentarios y no otros.
Se incluyó el borrador de este tema como parte de un informe de un solo
volumen que se publicó a fin de recoger comentarios. Conforme a los comen-
tarios recibidos, el tema se presenta ahora separadamente. El motivo de tal
decisión se describe en el Anexo D de la sección "Marco general" del infor-
me. Aquí se presentan otros comentarios importantes sobre información for-
mulada por la dirección y destinada a terceros.
Ámbito de aplicación
En el borrador publicado se afirmaba que el informe de la dirección sobre
control interno debería cubrir solamente el control sobre la información finan-
ciera. Algunas de las personas consultadas apoyaron esta postura. Estaban de
acuerdo con la afirmación del borrador de que los informes sobre los controles
de la información financiera deben coincidir con las necesidades de los accio-
nistas y obligacionistas y que si se extendiera a otros objetivos, los costes se
incrementarían y surgirían más temas a estudiar y sobre los que informar.
Otras personas, sin embargo, dijeron que el informe sobre control interno
debería incluir los controles operacionales y de cumplimiento. Su argumento
fue que los inversores quieren información sobre la existencia de controles
dentro de la organización para ayudarles a asegurar que funcione de forma

eficaz y eficiente y que cumpla con las leyes y reglamentos. Algunas personas
afirmaron que el hecho de limitar el contenido del informe a los controles
sobre la información financiera no es coherente con el resto del documento,
que contempla el control interno desde una perspectiva amplia.
Se llegó a la conclusión, por varias razones (aparte de las razones avanza-
das, se menciona la ausencia de una norma que permita medir la eficacia de
los controles operacionales y de cumplimiento, parecido al concepto de defi-
ciencia significativa para controles sobre información financiera) de que el
documento final debería mantener la postura de informar únicamente sobre los
controles relativos a la información financiera, ya que eso es lo más relevante
para las necesidades actuales. Sin embargo, se ha añadido un análisis de la
evolución de la información sobre los controles de cumplimiento.
Manifestaciones a favor de la obligación de publicar

un informe de la dirección sobre control interno
Algunas de las personas consultadas indicaron que el documento final
debería abogar por los informes obligatorios. Afirmaron que la obligación de
informar elevaría la conciencia de la dirección de su responsabilidad de man-
tener un control interno eficaz sobre la información financiera y proporciona-
ría información relevante e importante a los usuarios.
El documento final, similar al borrador, no se manifiesta ni a favor ni en
contra de la introducción de informes obligatorios. Esto se debe a que se
preparó el documento como respuesta a la recomendación de la Treadway
Commission de proporcionar, entre otros, una base para los informes de la
dirección sobre el control interno. Cualquier intento de resolver el debate
sobre la necesidad o la conveniencia de imponer la obligación de emitir infor-
mes queda fuera del alcance de este estudio.
Contribución del auditor externo en los informes

preparados por la dirección
Aunque no se incluyó en el borrador, muchas de las personas consultadas
plantearon la cuestión de si los auditores externos deberían certificar los infor-
mes. Algunas de estas personas se opusieron a tal involucración, presentan-
do argumentos basados en los costes y beneficios relativos. Otras la apoya-
ron, refiriéndose al valor añadido que supondría la colaboración del auditor
externo.
ANEXO: ANÁLISIS DE LOS COMENTARIOS 205
Se llegó a la conclusión, debido al gran interés suscitado, de que se debe-

ría considerar esa cuestión en el documento final. Se decidió que el documen-
to final debería afirmar que, al igual que el caso anterior, la resolución de este
tema queda fuera del alcance del presente estudio.
Fecha de evaluación del control interno

El borrador apoyó la postura de informar sobre la eficacia del sistema a
una fecha determinada. Algunas de las personas consultadas estuvieron de
acuerdo, mientras que otras opinaron que informar sobre un momento deter-
minado no es coherente con el control interno como proceso y con el concepto
de seguimiento continuado del control interno. Sugirieron que informar sobre
un período de tiempo sería lo más apropiado.
Se llegó a la conclusión de que el documento final debería mantener esa
preferencia por el informe sobre un momento determinado. Este tipo de infor-
me responde a las necesidades de los accionistas y obligacionistas, cuesta
menos y proporciona un entorno propicio para la identificación y corrección
de deficiencias de control.
Información intermedia
En el borrador se afirmaba que los informes de la dirección sobre el
control interno deberían contemplar los controles sobre el proceso de formula-
ción de la información financiera tanto intermedia como anual. Algunas de las
personas consultadas indicaron que no estaba claro cómo el hecho de informar
sobre un momento determinado se relaciona con los controles sobre la prepa-
ración de información intermedia. Otras dijeron que dichos informes deberían
afirmar explícitamente que cubren los controles sobre la información financie-
ra intermedia.
El documento final ofrece una descripción más clara de la relación que
existe entre los informes sobre la eficacia del control interno a una fecha
determinada y la aplicación de controles para la formulación de información
financiera intermedia. Este documento afirma que el informe de la dirección
debería incluir los controles internos en vigor a una fecha determinada (por
ejemplo, el cierre del ejercicio). En consecuencia, los controles internos in-
cluidos en el informe son los que están en vigor al cierre del ejercicio corres-
pondientes a la formulación de tal información, y no los controles que podrían
haber estado en vigor al final de cada trimestre (fecha de formulación de la
información intermedia).
Control interno: ¿organización o eficacia?

En el borrador se afirmaba que el informe de la dirección debería incluir la
conclusión de la dirección sobre la eficacia del sistema de control interno.
Algunas de las personas consultadas opinaron que el informe de la dirección
solamente debería describir la organización del sistema sin evaluar la eficacia
del mismo, principalmente para ayudar a evitar que se incurra en responsabili-
dades en el caso de que se identificase una deficiencia.
El documento final mantiene la idea de la conveniencia de informar sobre
la eficacia del control interno. La Comisión Treadway pidió información so-
bre la eficacia, y las entidades que tengan la intención de cumplir con las
recomendaciones de dicha comisión deberían informar en este sentido. El
documento final también presenta razones adicionales por las que es apropia-
do informar sobre la eficacia del control interno.
Informar sobre las deficiencias

Algunas de las personas consultadas expresaron su preocupación por el
hecho de que, dado que el informe de la dirección aborda solamente las
deficiencias significativas existentes a la fecha a la que se refiere el informe,
podrían los lectores del informe no apercibirse de que los sistemas de control
interno, por su propia naturaleza, identifican y corrigen deficiencias continua-
mente.
Para evitar cualquier malentendido, el documento final recomienda la in-
clusión de una afirmación dentro del informe de la dirección sobre la existen-
cia de tales mecanismos de autoseguimiento.
Modelo de informe de la dirección sobre el control interno

El borrador incluía un modelo de informe de la dirección como ejemplo de
cómo se pueden aplicar las directrices sobre la materia. Algunas personas
indicaron que presentar sólo un ejemplo podría hacer que el mismo llegara a
ser considerado como el modelo a seguir. Para fomentar la flexibilidad en el
informe, algunos comentarios sugirieron que se eliminara el ejemplo mientras
otros sugirieron que se incluyeran más ejemplos, que contuvieran asuntos
actualmente tratados en los informes sobre el control interno. En algunos
comentarios se mencionó que los informes modelo son particularmente útiles
para los administradores que tienen poca experiencia en la presentación de
información sobre el control interno. También sugirieron que se incluyera un
ANEXO: ANÁLISIS DE LOS COMENTARIOS 207
ejemplo de cómo se podría informar de la existencia de una deficiencia signi-

ficativa.
Se llegó a la conclusión de que el informe modelo es útil y debe mantener-
se, pero que sería conveniente incluir ejemplos adicionales para fomentar la
flexibilidad. El documento final contiene tres informes modelo, uno de los
cuales trata de otros asuntos que suelen figurar en los informes de este tipo, y
otro describe la existencia de una deficiencia significativa. El documento final
también hace hincapié en el hecho de que la dirección de cada entidad debe
ajustar el informe a sus circunstancias y evitar el uso de lenguaje excesiva-
mente estandarizado.
Criterios de evaluación de la eficacia del control interno

El informe modelo expuesto en el borrador preliminar permite identificar
los criterios seguidos para evaluar la eficacia del control interno. Algunas de
las personas consultadas comentaron que el informe modelo no debería refe-
rirse a este estudio porque al hacerlo podría implicar que éstos fueran los
únicos criterios disponibles. Sugirieron que se incluyera una clarificación so-
bre la existencia de otros criterios que podrían utilizarse a la hora de evaluar
el sistema e informar sobre los mismos.
Se llegó a la conclusión de que es importante que los lectores tengan
constancia de los criterios utilizados por la dirección a la hora de determinar si
el sistema de control es o no eficaz. El informe modelo se mantiene igual en
esta versión final del estudio, pero se afirma claramente que pueden utilizarse
otros criterios.
Suplemento
"Información a terceros"
Objetivo
El informe "Control interno: Un marco integrado" fue emitido en el mes
de septiembre de 1992 por el "Committee of Sponsoring Organizations of the
Treadway Commission" (COSO). Este informe, al que a menudo se le deno-
mina el informe COSO, está dividido en cuatro partes. La sección principal
define el control interno, describe sus componentes y facilita criterios para
que la dirección, el consejo de administración u otros pueden evaluar sus
sistemas de control. Otra sección, denominada "Información a terceros" pro-
porciona orientación a aquellas entidades que publican información sobre el
control interno en relación con la emisión de sus estados financieros públicos
o que están planteándose el hacerlo. El informe también incluye un "Resumen
para la dirección" así como una sección sobre las "Herramientas de evalua-
ción".
Desde su emisión, muchas de las partes interesadas han considerado que el
informe COSO ha conseguido los objetivos fijados, al establecer una defini-
ción común que atiende a las necesidades de los distintos interesados y pro-
porciona una pauta respecto a la que las empresas y demás entidades pueden
evaluar sus sistemas de control y determinar la manera de mejorarlos. Sin
embargo, algunos interesados, incluida la U.S. General Accounting Office
(Oficina de Contabilidad General de EE.UU.), opinan que los informes que
recomienda el informe COSO no tratan adecuadamente los controles relacio-
nados con la salvaguarda de los activos, por lo que no responden totalmente a
los requisitos establecidos en la Foreign Corrupt Practices Act (Ley de Prácti-

cas Corruptas en el Extranjero) de 19771.
El presente documento constituye un anexo a la sección "Información a
terceros" del informe COSO. En él se comenta el tema de complementar el
alcance del informe de la dirección sobre el control interno con el fin de cubrir
los controles relacionados con la salvaguarda de los activos y constituye asi-
mismo un medio para identificar los controles relacionados con la salvaguarda
de los activos.
Introducción
El informe COSO define el control interno como:
... un proceso, efectuado por el Consejo de Administración, la Dirección y el

resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable respecto a la consecución de objetivos incluidos
dentro de las siguientes categorías:
- Efectividad y eficacia de las operaciones.

- Fiabilidad de la información financiera.
- Cumplimiento de las leyes y normas que sean aplicables.
El informe COSO establece que los objetivos operacionales "están relacio-

nados con la efectividad y eficacia de las operaciones de la entidad, incluidos
los objetivos de rendimiento y rentabilidad, así como la salvaguarda de los
recursos disponibles contra posibles pérdidas". A la hora de comentar la sal-
vaguarda de los recursos, en el informe COSO se incluyen las siguientes
afirmaciones:
"Aunque éstos (los objetivos relacionados con la salvaguarda de los recursos)

sean fundamentalmente objetivos relacionados con las operaciones, algunos
aspectos pueden encajar en otras categorías. En la categoría de operaciones,
se incluye la utilización eficiente de los activos y otros recursos, así como la
prevención contra posibles pérdidas como consecuencia de robo, de merma,
de ineficacia o simplemente de la toma de decisiones empresariales equivoca-
das (tales como la venta de productos a precios demasiado bajos, la concesión
1
"La Foreign Corrupt Practices Act requiere, entre otras cosas, que los emisores de información financiera
desarrollen y mantengan un sistema de control interno contable suficiente para proporcionar una seguridad razona-
ble de que i) las transacciones se efectúan de acuerdo con la autorización general o específica de la dirección; ii) las
transacciones se contabilizan de la forma necesaria ... con el fin de mantener las líneas correspondientes de respon-
sabilidad respecto a los activos; iii) no debe existir acceso a los activos sin una autorización general o específica de
la dirección y, iv) los activos registrados se comparan con los elementos realmente existentes a intervalos razonables
y se toman las medidas adecuadas respecto a las diferencias que, en su caso, sean detectadas."
SUPLEMENTO "INFORMACIÓN A TERCEROS" 211
de crédito a terceros de forma arriesgada, el no retener a empleados clave, el

no impedir la infracción de patentes o el incurrir en contingencias imprevistas).
En los casos en que son introducidos los requerimientos legales o reguladores,
estos objetivos se convierten en objetivos de cumplimiento. Por otra parte, el
objetivo de asegurar que tales pérdidas quedan adecuadamente reflejadas en
los estados financieros de la entidad es un objetivo relacionado con la informa-
ción financiera.
La categoría en la que encaja un objetivo puede depender a veces de las
circunstancias. Siguiendo con el tema de la salvaguarda de los activos, los
controles para impedir el robo de los mismos, tales como el mantener las
existencias debidamente almacenadas y protegidas y asignar un guarda que
verifique que se ha obtenido la autorización correspondiente para los movi-
mientos de bienes, encajan dentro de la categoría de operaciones. Estos con-
troles normalmente no tendrían incidencia sobre la fiabilidad de la preparación
de los estados financieros, ya que toda pérdida de existencias sería detectada
como resultado de la inspección física periódica y contabilizada en los estados
financieros. Sin embargo, si a efectos de la presentación de información finan-
ciera, la dirección depende únicamente de los registros de inventarios perma-
nentes tal como en el caso de la presentación de estados financieros interme-
dios, los controles de seguridad física también encajarían dentro del objetivo
de presentación de información fiable. Esto se debe a que sería preciso efec-
tuar estos controles físicos así como los controles sobre los registros de inven-
tarios permanentes para asegurarse de la fiabilidad de la información financie-
ra pública".
Por tanto, cuando la dirección informa sobre si los sistemas de control

interno de la entidad en relación con la presentación de información financiera
cumplen los criterios establecidos en el informe COSO, unas entidades pudie-
ran cubrir determinados controles diseñados principalmente a la salvaguarda
de los activos, mientras que otras pudieran no hacerlo.
Conclusión
COSO entiende que la definición de control interno en el presente infor-
me, incluida la clasificación de controles como de operaciones, de cumpli-
miento y de presentación de información financiera, sigue siendo adecuada.
Al mismo tiempo, COSO reconoce que la "Foreign Corrupt Practices Act"
engloba determinados controles relacionados con la salvaguarda de los activos
que pueden quedar excluidos de un informe de la dirección sobre el control
interno relacionados con la presentación de la información financiera según la
definición de COSO. Asimismo, algunos lectores de los informes sobre con-
trol interno pudieran esperar que los mismos traten en todos los casos dichos
controles adicionales. Es decir, existe una expectativa razonable de que los
informes sobre el control interno se refieran no sólo a los controles destinados
a asegurar que las transacciones en que están implicados los activos de la

entidad quedan adecuadamente reflejadas en los estados financieros, sino tam-
bién a aquellos destinados a prevenir o detectar oportunamente la adquisición,
utilización o enajenación no autorizada de los activos subyacentes. COSO
entiende que es importante que dicha expectativa se cumpla.
Definición
En consecuencia, a efectos de la presentación de información pública so-
bre el control interno, se facilita la siguiente definición2:
El control interno sobre la salvaguarda de los activos contra la adquisición,

utilización o enajenación no autorizada constituye un proceso efectuado por el
Consejo de Administración, la Dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar un grado de seguridad razonable res-
pecto a la prevención o detección oportuna de la adquisición, utilización o
enajenación no autorizada de los activos de la entidad que pudiera afectar
materialmente a los estados financieros.
Una definición relacionada con la efectividad es la siguiente:
Tal control interno puede considerarse efectivo si el Consejo de Administración

y la Dirección tienen la seguridad razonable de que se está previniendo o
detectando de forma oportuna cualquier adquisición, utilización o enajenación
no autorizada de los activos de la entidad que pudiera afectar materialmente a
los estados financieros.
Comentarios
"El control interno sobre la salvaguarda de los activos contra la adquisi-
ción, utilización o enajenación no autorizada de los mismos" constituye una
parte de un conjunto más amplio definido como los controles sobre la salva-
guarda de los activos que, según la definición del informe COSO, encajan
dentro de una o más de las tres categorías básicas de controles. En consecuen-
cia, estos controles engloban cada uno de los cinco componentes del control
interno, según se define en la sección "Marco general" del informe, en la
medida en que dichos componentes tienen que ver con la prevención o detec-
ción oportuna de la adquisición, utilización o enajenación no autorizada de los
2
El informe COSO está diseñado para permitir definiciones específicas del control interno, dentro del marco de
definiciones básicas, con el fin de atender a las necesidades de los distintos usuarios.
activos que pudiera afectar materialmente a los estados financieros3 . Tales

controles incluyen, por ejemplo:
- La evaluación del riesgo de que se produzcan adquisiciones, utilizaciones o

enajenaciones indebidas de los activos.
- El establecimiento de actividades de control con el fin de asegurar que se
ponen en marcha las directrices de la dirección para cubrir el riesgo. Tales
actividades de control incluirían los controles que aseguran que la adquisi-
ción, utilización o enajenación de los elementos del activo únicamente se
produce con la autorización general o específica de la dirección, incluido el
cumplimiento de las políticas y procedimientos establecidos para dicha ad-
quisición, utilización o enajenación. También se incluiría la comparación de
los activos existentes con los registros relacionados a intervalos razonables
y la toma de las medidas adecuadas respecto a cualquier diferencia.
- La puesta a disposición de la dirección de la información necesaria para
ejercer sus responsabilidades en relación con la prevención o detección
oportuna de actividades no autorizadas.
- Los mecanismos que permiten a la dirección supervisar el funcionamiento
efectivo continuado de dichos controles.
Los controles sobre la salvaguarda de los activos contra la adquisición,

utilización o enajenación indebida están relacionados con la prevención o
detección oportuna de las operaciones no autorizadas y el acceso no autoriza-
do a los activos que pudieran originar pérdidas materiales respecto a los esta-
dos financieros, por ejemplo, cuando se incurre en gastos, se realizan inversio-
nes o se incurre en pasivos no autorizados, se roban existencias o se utilizan
activos para fines personales. Tales controles están diseñados para asegurar
que la utilización de y el acceso al activo cumplen con la autorización de la
dirección. La autorización incluye la aprobación de las transacciones de
acuerdo con las políticas y procedimientos establecidos por la dirección y el
consejo de administración para salvaguardar los activos, tales como el estable-
cimiento y cumplimiento de los requisitos relacionados con la concesión y
control del crédito o la toma de decisiones sobre inversiones, incluyendo el
correspondiente soporte documental.
Los controles sobre la salvaguarda de los activos respecto a la adquisición,
utilización o enajenación indebida no están diseñados para proteger contra las
pérdidas de activos derivadas de la ineficacia o de las decisiones de la direc-
ción sobre operaciones, tales como la venta de un producto que resulta no
3
La relación entre las tres categorías básicas de control y los cinco componentes se describe en la Ilustración 2
de la sección "Marco general" del informe COSO. En el contexto de dicha ilustración, los controles relacionados
con la salvaguarda de los activos contra la adquisición, utilización o enajenación no autorizada quedarían reflejados
por un "corte" vertical del cubo, que normalmente engloba un segmento de la columna de presentación financiera,
un segmento de la columna de operaciones o ambas, en función de las circunstancias comentadas en el informe
COSO y citadas anteriormente en la Introducción al presente documento.
rentable, la inversión en equipos o materiales que resulten no ser necesarios o

satisfactorios, la autorización de una investigación que resulte no productiva o
de publicidad ineficaz, o la aceptación de cierto grado de robo de mercancía
por parte de los clientes como riesgo inherente a un negocio de distribución
minorista. En la medida en que pueden producirse dichas pérdidas, unos con-
troles efectivos sobre la presentación de la información financiera deben pro-
porcionar seguridad razonable de que las mismas están adecuadamente refle-
jadas en los estados financieros alertando, de este modo, a los usuarios sobre
la necesidad de que se tomen medidas al respecto.
Otros conceptos comentados en el informe COSO —incluido el principio
de que, debido a las limitaciones inherentes a todos los sistemas de control
interno, la dirección y el consejo de administración no pueden tener más que
una seguridad razonable respecto a la consecución de los objetivos especifica-
dos— también deben aplicarse a estos controles.
Presentación de la información financiera

La definición de los controles sobre la salvaguarda de los activos contra la
adquisición, utilización o enajenación no autorizada y los comentarios men-
cionados con anterioridad, proporcionan una base para que la dirección infor-
me sobre los mismos. COSO recomienda a las direcciones que informan a
terceros acerca de los controles existentes sobre la presentación de la informa-
ción financiera que también traten los controles sobre la salvaguarda de los
activos contra la adquisición, utilización o enajenación no autorizada. Asimis-
mo, recomienda a las direcciones que incluyan menciones específicas sobre
dichos controles en el informe. A continuación se incluye un modelo de infor-
me a efectos ilustrativos, basado en el presentado en la sección "Información
a terceros" del informe COSO:
La Entidad tiene un sistema de control interno sobre la presentación de la

información financiera y4 la salvaguarda de los activos contra la adquisición,
utilización o enajenación no autorizada, que está diseñado para proporcionar a
la Dirección y Consejo de Administración un grado de seguridad razonable en
cuanto a la fiabilidad de los estados financieros públicos y la salvaguarda de
los activos. El sistema dispone de mecanismos de supervisión y se toman las
medidas necesarias para corregir deficiencias en cuanto éstas se identifican.
Todo sistema de control interno, por muy bien diseñado y eficaz que sea, tiene
limitaciones inherentes —incluyendo la posibilidad de que los controles sean
4
Cuando todos los controles sobre la salvaguarda de los activos contra la adquisición, utilización o enajenación
de los mismos encajan dentro de la categoría de controles sobre la presentación de la información financiera, la
palabra "y" puede cambiarse por "incluida".
eludidos o burlados— por lo que sólo puede proporcionar una seguridad razo-
nable en cuanto a la fiabilidad de los estados financieros y la salvaguarda de
los activos. Además, debido a los cambios que pueden producirse en las
condiciones del entorno, la eficacia del sistema de control interno puede variar
con el tiempo.
19XX basándose en los criterios de eficacia del control interno sobre la presen-
tación de la información financiera descrita en "Control interno: Un marco inte-
grado" emitido por el Committee of Sponsoring Organizations of the Treadway
Commission. De acuerdo con dicha evaluación, la Entidad considera que, al 31
de diciembre de 19XX, su sistema de control interno sobre la presentación de
la información financiera y4 la salvaguarda de los activos contra la adquisición,
utilización o enajenación no autorizada de los mismos cumple con los mencio-
nados criterios.
Sección cuarta
Herramientas de evaluación
10
Introducción
Esta sección contiene una serie de herramientas que pueden resultar útiles
a la hora de evaluar el sistema de control interno de una entidad. Dichas
herramientas pueden utilizarse de varias maneras:
■ Individualmente, al evaluar un elemento específico, o de forma conjunta al

evaluar todos los elementos.
■ Al evaluar los controles relacionados con una categoría de control deter-
minada, tal como la fiabilidad de la información financiera, o con más de
una categoría.
■ Al centrarse en determinadas actividades (tales como adquisiciones o ven-
tas), o en todas las actividades.
Las herramientas de evaluación se presentan como sigue:
■ Un conjunto de modelos de formularios, organizados por componentes,

junto con otros para facilitar la recopilación de los resultados con el fin de
realizar una evaluación global.
■ Un manual de referencia diseñado para ayudar al evaluador a cumplimen-
tar la "hoja de evaluación del riesgo y actividades de control". También se
presenta un modelo genérico de empresa que sirve de base organizativa
para el manual de referencia.
■ Modelos ya cumplimentados como ejemplo, mostrando la forma en que
los formularios pueden ser utilizados para una empresa hipotética.
Estas herramientas de evaluación están diseñadas para proporcionar orien-

tación y ayuda a las empresas respecto a la evaluación de los sistemas de
control interno en relación con los criterios para un control interno efectivo
expuestos en la primera parte de este informe. Por tanto, los usuarios de este
material deben estar familiarizados con los conceptos contenidos en la prime-
ra parte.
Estas herramientas se presentan únicamente a modo de ejemplo. No for-
man parte integral del informe en sí mismo y su presentación aquí no tiene
como finalidad sugerir que los temas abordados deben ser considerados a la
hora de evaluar un sistema de control interno, ni que los elementos correspon-
dientes deben estar presentes para concluir que un sistema es eficaz. Asimis-
mo, no hay ninguna sugerencia de que estas herramientas constituyen un
método preferido para realizar y documentar una evaluación. Debido a que los
hechos y circunstancias varían de una entidad a otra y de un sector a otro, las
metodologías y técnicas de documentación también variarán. Por consiguien-
te, pueden utilizarse distintas herramientas de evaluación u otras metodologías
con distintas técnicas de evaluación. En cuanto a las entidades que piensen
utilizar estas herramientas en alguna forma, se sugiere que se apliquen única-
mente como punto de partida y se modifiquen para reflejar las particulares
circunstancias, condiciones y riesgos existentes en las mismas.
Estas herramientas de evaluación pueden utilizarse por todas las entidades
independientemente de su tamaño. Al utilizarse en empresas pequeñas o me-
dianas, en la adaptación de dichas herramientas debe tenerse en cuenta que las
entidades más pequeñas tienden a ser menos formales y a estar menos estruc-
turadas que las organizaciones de mayor tamaño, que el hecho de tener menos
niveles organizativos probablemente hará que la comunicación del consejero
delegado y otros directivos clave con los niveles inferiores de personal sea
más directa y continua y que estos factores incidirán en la forma en que se
ejerce el control. Las herramientas cumplimentadas a modo de ejemplo inclui-
das en este tomo han sido rellenadas utilizando una empresa hipotética media-
na y pueden servir de orientación para las empresas de dicho tamaño a la hora
de cumplimentar las herramientas.
11
Herramientas de evaluación:
modelos de formularios
Herramientas de evaluación de los componentes

del control interno
Se presentan cinco herramientas de evaluación, una para cada componente
del control interno. Un encabezamiento y una breve introducción sirven para
identificar cada factor o elemento significativo dentro de cada componente.
Los temas clave a abordar están incluidos dentro de la columna "puntos de
atención". Los puntos de atención están identificados por el símbolo * y
representan algunos de los temas más importantes relacionados con el compo-
nente del control interno correspondiente. No todos los puntos de atención son
aplicables a todas las entidades y habrá temas adicionales que serán aplicables
a algunas entidades. Se sugiere que el evaluador adecué los puntos de atención
a las circunstancias de la entidad mediante la incorporación, eliminación o
modificación de los puntos proporcionados en la herramienta.
Se incluyen en cada punto de atención (en letra negrita) ejemplos de temas
secundarios a tener en cuenta a la hora de abordarlos. Únicamente se facilitan
unos cuantos ejemplos de dichos temas secundarios, aunque podrían existir
muchos otros. Los ejemplos facilitados sirven sólo para ilustrar los tipos de
conceptos a considerar.
El evaluador aborda cada punto de atención, teniendo en cuenta los temas
secundarios facilitados a modo de ejemplo así como otros no presentados. Si
bien sería posible anotar una respuesta para cada tema secundario presentado
a efectos ilustrativos, se sugiere que únicamente se responda a los puntos de

atención. La columna "comentarios" proporciona espacio para incluir una des-
cripción de la forma en que los temas incluidos en los puntos de atención se
aplican en la entidad y anotar los comentarios correspondientes. La respuesta
normalmente no será un "sí" o "no", sino consistirá en información sobre la
forma en que la entidad aborda el tema.
Al final de cada sección se deja espacio para anotar la conclusión a la que
se ha llegado acerca de la eficacia de los controles correspondientes y toda
acción que puede ser necesaria o evaluada. Al final de cada formulario se deja
espacio para la conclusión relativa al componente en su totalidad.
Hoja de evaluación del riesgo y actividades de control

Tal como se apunta en las herramientas de evaluación para la evaluación
del riesgo y actividades de control, la dirección establece objetivos para cada
actividad importante; analiza los riesgos respecto a su consecución; establece
planes, programas y otras acciones para tratar los riesgos y establece activida-
des de control con el fin de garantizar que se llevan a cabo las mismas. Las
herramientas de evaluación del riesgo y actividades de control no constituyen
un instrumento para evaluar el proceso a nivel de actividad. Se proporciona
una hoja de trabajo separada para facilitar dicha evaluación.
La dirección puede haber documentado ya el proceso o puede no haberlo
hecho. Si no lo ha hecho, la hoja de trabajo (página 268) proporciona un
instrumento para ayudar a la dirección a realizar y documentar el proceso.
Posteriormente, el evaluador puede revisar la hoja de trabajo. Si la dirección
no dispone de documentación alguna, el evaluador puede preparar la hoja de
trabajo (con la ayuda de la dirección) con el fin de evaluar el proceso así
como otros aspectos relacionados con el mismo.
El manual de referencia (que comienza en la página 281) está diseñado
para ayudar a identificar los objetivos a nivel de actividad, en el análisis de los
riesgos y en la determinación de qué acciones pueden llevarse a cabo y qué
actividades pueden implantarse.
Evaluación global del sistema de control interno

Se proporciona un formulario de evaluación que sirve para resumir los
resultados y las conclusiones obtenidas para cada uno de los componentes y
facilitar así la revisión de los resultados preliminares por parte de la dirección
de la entidad así como la incorporación de información adicional. Se deja
espacio también para una conclusión global acerca del sistema de control
interno.
Entorno de control
Puntos de atención Descripción/Comentarios
La dirección ha de transmitir el mensaje de que la

integridad y los valores éticos no pueden, bajo ninguna
circunstancia, ser contravenidos. Los empleados de-
ben captar y entender ese mensaje. La dirección ha de
demostrar continuamente, mediante sus mensajes y su
comportamiento, un compromiso con los valores éti-
cos.
* Existencia y puesta en práctica de códigos de

conducta y otras políticas que consideren las prác-
ticas empresariales de general aceptación, los con-
flictos de intereses o los niveles esperados de com-
portamiento ético y moral. Por ejemplo, considerar
si:
‪ Los códigos son suficientemente amplios y se re-

fieren a conflictos de intereses, pagos ilegales u
otros pagos indebidos, competencia desleal o uso
fraudulento de información empresarial en las
operaciones.
‪ Los códigos son aceptados de forma expresa y pe-
riódicamente por todos los empleados.
‪ Los empleados entienden qué comportamiento es
aceptable o no aceptable y saben qué hacer si se
encuentran con algún comportamiento indebido.
‪ La cultura de la dirección enfatiza la importancia

de la integridad y comportamiento ético cuando no
existe un código escrito de comportamiento. Este
código puede ser comunicado verbalmente en reu-
niones con el personal, reuniones individuales, o
en el curso de las actividades diarias.
* La dirección predica con el ejemplo e indica cla-

ramente lo que está bien y lo que está mal. Por
ejemplo, considerar si:
‪ Se comunica efectivamente dentro de la empresa,
tanto de palabra como en la forma de actuar, el
compromiso con la integridad y la ética.
‪ Los empleados sienten presión por parte de sus
iguales para hacer "lo que es debido" o solamente
se piensa en hacer "dinero rápidamente".
‪ La Dirección trata adecuadamente los síntomas de
que existen problemas (por ejemplo, productos po-
tencialmente defectuosos) en particular cuando
puede ser considerable el coste de identificar los
problemas y tratar los temas.
* El trato con los empleados, proveedores, clien-
tes, inversores, acreedores, aseguradores, compe-
tidores, auditores, etc. (por ejemplo, si la direc-
ción dirige el negocio con una alta consideración
ética e insiste en que los demás hagan lo mismo o
si presta poca atención a los temas éticos). Por
□ El trato diario con clientes, proveedores, emplea-
dos y demás terceros se hace de forma honesta e
igualitaria (por ejemplo, no se ignora el pago exce-
sivo de un cliente o la infrafacturación de un pro-
veedor o no se hacen esfuerzos para encontrar una
manera de rechazar el derecho legítimo de un em-
pleado o los informes a los prestatarios son com-
pletos, exactos y nada engañosos).
MODELOS DE FORMULARIOS: ENTORNO DE CONTROL 225
* Las medidas correctivas que se toman en res-

puesta a las desviaciones de las políticas y procedi-
mientos o ante las violaciones del código de con-
ducta son adecuadas. Se comunican las medidas
correctivas para que sean conocidas por toda la
organización. Por ejemplo, considerar si:
‪ La dirección responde ante las violaciones de nor-
mas de comportamiento.
‪ Se comunican debidamente dentro de la entidad
las acciones disciplinarias que se toman. Los em-
pleados entienden que si se les sorprende violando
las normas de comportamiento sufrirán las conse-
cuencias.
* Actitud de la dirección hacia su intervención en

los casos en los que el sistema no dispone de los
mecanismos necesarios para garantizar un proce-
samiento adecuado de las transacciones o hacia la
posibilidad de eludir el sistema haciendo caso omi-
so de los controles establecidos. Por ejemplo, con-
siderar si:
‪ La dirección proporciona directrices sobre las si-
tuaciones y la frecuencia con la que se necesita su
intervención.
‪ La intervención por parte de la dirección está de-
bidamente documentada y explicada.
‪ Está explícitamente prohibido hacer caso omiso de
los controles establecidos por parte de la dirección.
‪ Se investigan y documentan las desviaciones de
las políticas establecidas.
* Existe presión para cumplir con unos objetivos

de rendimiento poco realistas especialmente en lo
referente a resultados a corto plazo y hasta qué
punto la remuneración se apoya en la consecución
de dichos objetivos de rendimiento. Por ejemplo,
considerar si:
‪ Existen condiciones tales como incentivos extre-

mados o alicientes que puedan poner a prueba (de
una forma innecesaria e injusta) si los empleados
observan los valores éticos.
‪ La remuneración y las promociones se basan ex-
clusivamente en la consecución de objetivos de
rendimiento a corto plazo.
‪ Existen controles para reducir tentaciones que de
otra manera pudieran existir.
Conclusiones/Acciones necesarias
La dirección ha de especificar el nivel de compe-

tencia profesional requerido para trabajos concretos y
traducir los niveles requeridos de competencia en co-
nocimientos y habilidades imprescindibles.
* Existen descripciones formales o informales de

puestos de trabajo u otras formas de describir las
funciones que comprenden trabajos específicos.
Por ejemplo, considerar si:
‪ La dirección ha analizado, formal o informalmen-

te, las funciones que comprenden tareas específi-
cas, teniendo en cuenta factores tales como hasta
qué grado los individuos han de ejercer su propio
juicio, y ha establecido cuál es el grado de super-
visión necesaria.
* Se analizan los conocimientos y las habilidades

requeridos para realizar los trabajos adecuada-
mente. Por ejemplo, considerar si:
‪ La dirección ha determinado adecuadamente los
conocimientos y habilidades requeridos para reali-
zar trabajos específicos.
‪ Existe evidencia que demuestre que los empleados
parecen poseer los conocimientos y habilidades re-
queridos.
Consejo de administración y comité de auditoría
Un consejo de administración activo y efectivo, o

comités del mismo, es un elemento de control impor-
tante. Dado que la dirección tiene la posibilidad de
eludir los sistemas de control, el consejo tiene un papel
importante para asegurar un control interno efectivo.
* La independencia respecto de la dirección es

más que necesaria cuando se plantean cuestiones
difíciles o que requieren investigación. Por ejem-
plo, considerar si:
□ El consejo examina constructivamente las decisio-

nes tomadas por la dirección (por ejemplo, inicia-
tivas estratégicas y transacciones importantes), y
busca explicaciones para resultados pasados (por
ejemplo, variaciones del presupuesto).
‪ En el caso de un consejo que esté formado única-

mente por los ejecutivos y empleados de una enti-
dad (por ejemplo, una empresa pequeña), se cues-
tionan y examinan detalladamente las actividades,
se presentan opiniones alternativas y se toman las
medidas que sean necesarias.
* Se establecen comités dependientes del consejo

en casos justificados por la necesidad de prestar
atención más detallada o directa a asuntos especí-
ficos. Por ejemplo, considerar si:
□ Existen comités dependientes del consejo.

□ Son suficientes, en cuanto a contenido y número
de miembros, para tratar los temas importantes
adecuadamente.
* Conocimientos y experiencia de los consejeros.

‪ Los consejeros tienen suficientes conocimientos,

experiencia en el negocio de la empresa y tiempo
para realizar sus funciones adecuadamente.
* Se celebran reuniones con los responsables fi-

nancieros y/o contables, auditores internos y ex-
ternos con la necesaria frecuencia y oportunidad.
‪ El comité de auditoría se reúne en privado con el

jefe de contabilidad y con los auditores internos y
externos para discutir la razonabilidad del proceso
de presentación de los estados financieros, el siste-
ma de control interno, los comentarios y recomen-
daciones significativas y la actuación de la direc-
ción.
‪ El comité de auditoría realiza una revisión anual
del alcance de las actividades de los auditores in-
ternos y externos.
* Se suministra información a los miembros del

consejo o del comité de forma sufíciente y oportu-
na para permitir la supervisión de los objetivos y
las estrategias de la dirección, la situación finan-
ciera y los resultados operativos de la entidad y
las condiciones de los acuerdos significativos. Por
□ El consejo recibe regularmente información clave,

tal como los estados financieros intermedios, ini-
ciativas importantes de marketing, contratos signi-
ficativos o sobre negociaciones en curso.
□ Los consejeros consideran que reciben una infor-
mación apropiada.
* Se evalúa suficiente y oportunamente por parte

del consejo o del comité de auditoría la informa-
ción más sensible, las investigaciones y los actos
indebidos (por ejemplo, gastos de viaje de directi-
vos importantes, litigios significativos, investiga-
ciones de organismos de control, desfalcos, mal-
versaciones o usos indebidos de los activos,
violaciones de reglamentos con respecto al abuso
de información privilegiada, pagos a políticos, pa-
gos ilegales). Por ejemplo, considerar si:
‪ Existe un proceso para informar al consejo sobre

los acontecimientos significativos.
‪ Se comunica la información oportunamente.
* Existe un control sobre la determinación de las

remuneraciones de ejecutivos y el jefe de audito-
ría interna así como de su nombramiento y cese.
‪ El comité de remuneraciones aprueba todos los

planes de incentivos de la dirección vinculados al
rendimiento.
‪ El comité de remuneraciones trata, previa consulta

con el comité de auditoría, de la retribución del
responsable de auditoría interna.
* Está establecida la forma de dejar evidencia de

que "los superiores deben dar ejemplo". Por ejem-
plo, considerar si:
‪ El consejo de administración y el comité de audi-

toría están suficientemente involucrados para eva-
luar la efectividad del "ejemplo de los superiores".
‪ El consejo toma las medidas necesarias para ga-
rantizar un "tono ético" apropiado.
□ El consejo controla específicamente la adhesión de
la dirección al código de conducta.
* Las acciones que toma el consejo o el comité co-

mo consecuencia de sus conclusiones, incluyendo
en su caso investigaciones especiales. Por ejemplo,
considerar si:
‪ El consejo ha emitido directrices a la dirección de-

tallando las acciones específicas que han de ser to-
madas.
‪ El consejo supervisa y realiza el seguimiento nece-
sario.
La filosofía de dirección y el estilo de gestión sue-

len tener un efecto omnipresente en una entidad. És-
tos son, naturalmente, intangibles, pero se pueden bus-
car indicadores positivos o negativos.
* La naturaleza de los riesgos empresariales acep-

tados; por ejemplo, la dirección suele emprender
aventuras de especial alto riesgo o bien es extre-
madamente prudente para aceptar riesgos. Por
‪ La dirección actúa con cuidado y solamente des-

pués de analizar los riesgos y los beneficios poten-
ciales de una operación que conlleva riesgos.
* Existe rotación de la plantilla en las funciones

clave, por ejemplo, operativas, contabilidad, pro-
ceso de datos, auditoría interna. Por ejemplo, con-
siderar si:
‪ Ha existido una rotación excesiva del personal ge-

rencial o de supervisión.
‪ Han dimitido inesperadamente o sin suficiente
preaviso empleados clave.
‪ Existe una tendencia en la rotación (por ejemplo,
incapacidad de retener ejecutivos financieros cla-
ve o miembros del departamento de auditoría in-
terna) que pueda ser indicativa del énfasis que la
dirección pone sobre el control.
* Actitud de la dirección hacia el proceso de datos

y las funciones de contabilidad y su preocupación
por la Habilidad de la presentación de la informa-
ción financiera y la salvaguarda de los activos. Por
‪ Se considera la contabilidad como un mal necesa-

rio o como un vehículo para ejercer el control so-
bre las diversas actividades de la entidad.
‪ La selección de criterios contables utilizados en
los estados financieros se realiza siempre en fun-
ción de mostrar el mayor beneficio posible.
‪ Si la función contable está descentralizada, la di-
rección operativa correspondiente aprueba los re-
sultados declarados.
‪ El personal de contabilidad tiene también una res-
ponsabilidad ante y es controlado por la dirección
financiera central.
‪ Se protegen los activos (incluyendo los bienes in-
telectuales y la información) del acceso o uso no
autorizado.
* Frecuencia de interacción entre la alta dirección

y la dirección operativa, en particular cuando se
opera en localizaciones geográficamente remotas.
‪ Los altos directivos visitan periódicamente a las

subsidiarias o las divisiones.
‪ Se celebran con frecuencia reuniones de dirección
del grupo o de las divisiones.
* Actitudes respecto de la presentación de infor-

mación financiera, incluyendo las posibles dispu-
tas en cuanto a la aplicación de criterios contables
(por ejemplo, la selección de un tratamiento con-
servador en contraposición con políticas contables
muy liberales, si se han aplicado inadecuadamente
los principios contables, si hay información finan-
ciera importante que no haya sido revelada, o si
han sido manipulados o falsificados los archivos).
‪ La dirección evita los enfoques excesivamente di-

rigidos sobre los resultados a corto plazo.
‪ El personal emite informes indebidos para conse-

guir los objetivos, (por ejemplo, vendedores emi-
tiendo pedidos para lograr la consecución de ob-
jetivos sabiendo que los clientes devolverán las
correspondientes mercancías en el siguiente pe-
ríodo).
‪ Los directivos ignoran las posibles sospechas o in-
dicaciones de prácticas indebidas.
‪ Se fuerzan las estimaciones hasta el límite de razo-
nabilidad o incluso más.
La estructura organizativa no deberá ser tan senci-

lla que no pueda controlar adecuadamente las activida-
des de la empresa ni tan complicada que inhiba el flujo
necesario de información. Los ejecutivos deben com-
prender cuáles son sus responsabilidades de control y
poseer la experiencia y los niveles de conocimientos
requeridos en función de sus cargos.
* La estructura organizativa es apropiada y su ca-

pacidad de suministrar el flujo necesario de infor-
mación para gestionar sus actividades. Por ejem-
plo, considerar si:
‪ La estructura organizativa está debidamente cen-

tralizada o descentralizada dada la naturaleza de
las operaciones realizadas por la entidad.
‪ La estructura facilita el flujo de información hacia

los niveles superiores e inferiores y entre todas las
actividades empresariales.
* La definición de las responsabilidades de los

principales directivos es adecuada así como su co-
nocimiento de dichas responsabilidades. Por ejem-
plo, considerar si:
‪ Se comunica claramente a los ejecutivos las res-
ponsabilidades y las expectativas respecto a las ac-
tividades de sus áreas de responsabilidad.
* Los conocimientos y la experiencia de los princi-

pales directivos son los adecuados para cubrir las
responsabilidades asignadas. Por ejemplo, conside-
rar si:
‪ Los ejecutivos tienen los conocimientos, la expe-
riencia y la formación necesaria para desempeñar
sus funciones.
* Idoneidad de las relaciones de dependencia. Por

‪ Las relaciones de dependencia establecidas (ya
sean formales, informales, directas o matriciales)
son adecuadas y permiten a los directivos conocer
con claridad sus responsabilidades y nivel de auto-
ridad.
‪ Los ejecutivos de niveles inferiores tienen la posi-
bilidad de utilizar alguna vía de comunicación
apropiada hacia los altos ejecutivos.
* Se modifica la estructura organizativa cuando
existen cambios en las circunstancias que lo re-
quieran. Por ejemplo, considerar si:
‪ La dirección evalúa regularmente la estructura or-
ganizativa a la luz de los cambios en la empresa o
en el sector en el que opera.
* Hay suficientes empleados, especialmente con

capacidad de dirección y supervisión. Considerar,
por ejemplo, si:
‪ Los directores de departamento y supervisores tie-

nen tiempo suficiente para cumplir con sus respon-
sabilidades de manera eficiente.
‪ Los directores y los supervisores trabajan dema-
siadas horas extraordinarias y asumen mayores
responsabilidades de las que les corresponderían.
La asignación de responsabilidad, la delegación de

autoridad y el establecimiento de políticas conexas
ofrecen una base para el seguimiento de las activida-
des y el sistema de control y establecen los papeles
respectivos de las personas dentro del sistema.
* Se asigna responsabilidad y se delega autoridad

para tratar objetivos organizativos, funciones ope-
rativas y requisitos regulatorios, incluyendo la
responsabilidad sobre los sistemas de información
y autorizaciones para efectuar cambios. Conside-
rar, por ejemplo, si:
‪ Se realiza la asignación de autoridad y responsabi-

lidad a los empleados de una forma sistemática en
toda la organización de la empresa.
‪ La responsabilidad para la toma de decisiones está

relacionada con la asignación de autoridad y res-
ponsabilidad.
‪ Existe información apropiada para determinar el
nivel de autoridad y el alcance de la responsabili-
dad asignada a cada persona.
* Idoneidad de las normas y los procedimientos

relacionados con el control, incluyendo la descrip-
ción de funciones. Considerar, por ejemplo, si:
‪ Existe una descripción de funciones para el trabajo
de los directores de departamento y los superviso-
res.
‪ En esa descripción se hace referencia específica a
las responsabilidades de control.
* Número apropiado de personas, especialmente

con respecto a funciones relacionadas con el pro-
ceso de datos y contabilidad que tengan los niveles
técnicos requeridos en función del tamaño de la
entidad y la naturaleza y complejidad de sus acti-
vidades y sistemas. Considerar, por ejemplo, si:
‪ La entidad tiene el personal adecuado, en número
y experiencia, para llevar a cabo su misión.
* Idoneidad de la delegación de autoridad estable-

cida en relación con las responsabilidades asigna-
das. Considerar, por ejemplo, si:
‪ Existe un adecuado equilibrio entre la autoridad
necesaria para "que se haga el trabajo" y la parti-
cipación de personal directivo cuando sea requeri-
da.
‪ Los empleados del nivel "adecuado" están autori-
zados para resolver cualquier problema o para im-
plantar mejoras. Esta facultad se acompaña con los
niveles adecuados de aptitud y con límites claros
de autoridad.
Políticas y prácticas en materia de recursos humanos
Las políticas de recursos humanos son esenciales

para el reclutamiento y el mantenimiento de personas
competentes que permitan llevar a cabo los planes de
la entidad y así lograr la consecución de sus objetivos.
* Se han implementado políticas y procedimientos

para la contratación, formación y promoción a los
empleados. Considerar, por ejemplo, si:
‪ Las políticas y los procedimientos existentes ase-

guran el reclutamiento o el desarrollo profesional
de las personas fiables necesarias para soportar un
sistema efectivo de control interno.
‪ El nivel de atención que se presta al reclutamiento
y a la formación de las personas es adecuado.
‪ Cuando no existe documentación formal de las po-
líticas y prácticas la dirección informa de las ex-
pectativas existentes sobre qué tipo de personas
han de ser contratadas o participa directamente en
el proceso de contratación.
* Se informa a los empleados de sus responsabili-

dades y de lo que se espera de ellos Considerar,
por ejemplo, si:
‪ Los empleados nuevos conocen cuáles son sus res-

ponsabilidades y lo que la dirección espera de
ellos.
‪ El personal de supervisión se reúne periódi-

camente con los empleados para revisar su rendi-
miento profesional y proponer medidas para mejo-
rarlo.
* Las acciones correctivas que se toman en res-

puesta a las desviaciones de las políticas y procedi-
mientos aprobados son suficientes y adecuados.
Considerar, por ejemplo, si:
‪ La respuesta de la dirección es adecuada cuando

no se llevan a cabo apropiadamente las responsa-
bilidades asignadas.
‪ Se toman acciones correctivas cuando no se obser-
van las políticas establecidas.
‪ Los empleados entienden que cualquier incumpli-
miento traerá como consecuencia la adopción de
medidas correctivas.
* Las políticas de personal están orientadas a la

observancia de unas normas éticas y morales
apropiadas. Por ejemplo, considerar si:
‪ Se toman en cuenta los valores éticos y la integri-

dad en las evaluaciones de rendimiento profesio-
nal.
* Las verificaciones de los historiales de los candi-

datos en cuanto a comportamientos previos o acti-
vidades que se consideren no aceptables por la en-
tidad son suficientes y apropiadas. Por ejemplo,
considerar si:
‪ Se someten a un examen especialmente minucioso

los historiales que tienen cambios de empleo fre-
cuentes o períodos de inactividad.
‪ Las políticas de contratación incluyen una investi-
gación de los candidatos con antecedentes penales.
* Idoneidad de los criterios de retención de los

empleados, de los criterios de promoción y de las
técnicas para la recopilación de información en
relación con el código de conducta u otras direc-
trices de comportamiento. Por ejemplo, considerar
si:
‪ Los criterios con respecto a ascensos y subidas de

sueldos están suficientemente explícitos para que
los empleados sepan lo que la dirección espera de
ellos antes de ascensos o promociones.
‪ Dichos criterios incluyen el cumplimiento de nor-
mas de conducta.
Resumen del componente: Conclusiones/Acciones necesarias

Objetivos globales de la entidad
Para que una entidad tenga un control eficaz, debe

tener unos objetivos establecidos. Los objetivos glo-
bales de la entidad incluyen aseveraciones generales
acerca de sus metas y están apoyados por los planes
estratégicos correspondientes. Describir los objetivos
globales de la entidad y las estrategias clave que se han
establecido.
* Hasta qué punto los objetivos globales de la enti-

dad proporcionan una descripción y orientación
suficientemente amplias de las metas de la misma,
que sean además lo bastante específícos respecto
de la entidad en concreto. Por ejemplo, considerar
si:
‪ La dirección ha establecido unos objetivos globa-

les.
‪ Dichos objetivos globales están suficientemente
diferenciados de los objetivos genéricos que po-
drían aplicarse a cualquier entidad (por ejemplo,
generar un flujo de caja suficiente para liquidar las
deudas o conseguir una rentabilidad adecuada de
las inversiones).
MODELOS DE FORMULARIOS: EVALUACIÓN DE LOS RIESGOS 241
* Efectividad con la que los objetivos globales se

comunican a los empleados y al consejo de admi-
nistración. Por ejemplo, considerar si:
‪ La información sobre los objetivos globales de la

entidad se comunica a los empleados y al consejo
de administración.
□ La dirección recibe confirmación de los directivos
clave, los empleados y el consejo de que la comu-
nicación al personal es efectiva.
* Relación y coherencia de las estrategias con los

objetivos globales. Por ejemplo, considerar si:
‪ El plan estratégico apoya los objetivos globales.

‪ Incluye la asignación a alto nivel de recursos y
prioridades.
* Coherencia de los planes de negocios y los presu-

puestos con los objetivos globales, los planes estra-
tégicos y las circunstancias actuales de la entidad.
‪ Las asunciones adoptadas en los planes y presu-

puestos reflejan la experiencia histórica y las cir-
cunstancias actuales de la entidad.
‪ Los planes y presupuestos tienen un nivel de deta-
lle adecuado para cada nivel de dirección.
Objetivos específicos para cada actividad
Los objetivos específicos surgen de los objetivos y

estrategias globales y están vinculados con ellos. Los
objetivos específicos suelen expresarse como metas a
conseguir, con unos fines y plazos determinados. De-
berían establecerse objetivos para cada actividad im-
portante, siendo estos objetivos específicos coherentes
los unos con los otros.
* Vinculación de los objetivos especifícos de cada

actividad con los objetivos globales y los planes
estratégicos. Por ejemplo, considerar si:
‪ Existe un vínculo adecuado para todas las activida-

des importantes.
‪ Se revisan periódicamente los objetivos específi-
cos para comprobar que continúan siendo relevan-
tes.
* Coherencia de los objetivos específicos entre sí.

□ Se complementan y refuerzan dentro de cada acti-

vidad.
□ Se complementan y se apoyan mutuamente entre sí
para las distintas actividades.
* Establecimiento de objetivos específicos para to-

dos los procesos empresariales importantes. Por
‪ Se establecen objetivos para las actividades esen-

ciales en los flujos de bienes y servicios y para las
actividades de apoyo.
‪ Los objetivos específicos son coherentes con las
prácticas y actuaciones históricas de la entidad o
con empresas similares del mismo sector y, si exis-
ten diferencias, se han analizado los motivos de las

mismas.
‪ Se establecen objetivos para cada actividad impor-
tante, que pueden incluir las siguientes, entre otras
(las actividades expuestas a continuación se deri-
van de un modelo genérico de empresa, páginas
277 a 280; en las páginas 281 a 344 del "manual de
referencia" se presentan ejemplos de objetivos pa-
ra cada una de dichas actividades):
- Recepción de mercancías
- Operaciones
- Expedición de mercancías
- Marketing y ventas
- Servicio al cliente
- Aprovisionamientos
- Desarrollo de tecnología
- Recursos humanos
- Gestión de la empresa
- Gestión de las relaciones con terceros
- Servicios administrativos
- Tecnología de la información
- Gestión de riesgos (de accidentes u otras
pérdidas asegurables)
- Gestión de los asuntos legales
- Planificación
- Proceso de cuentas a pagar
- Proceso de cuentas a cobrar
- Proceso de la tesorería
- Proceso de inmovilizado material
- Análisis y conciliaciones
- Proceso de la información sobre pensiones
y jubilación
- Proceso de nóminas
- Proceso de cumplimiento de las obligaciones
fiscales
- Proceso de valoración del coste de los productos
- Información financiera y de gestión
* Nivel de especifícacion de los objetivos de cada

actividad. Por ejemplo, considerar si:
‪ Los objetivos incluyen criterios de cuantificación.
* Adecuación de los recursos relacionados con ca-

da objetivo. Por ejemplo, considerar si:
‪ La dirección ha identificado los recursos necesa-

rios para alcanzar los objetivos.
‪ Existen planes para adquirir los recursos precisos
(por ejemplo, financiación, personal, instalacio-
nes, tecnología).
* Identificación de los objetivos importantes (fac-

tores críticos de éxito) para conseguir los objetivos
globales de la entidad. Por ejemplo, considerar si:
‪ La dirección ha identificado las acciones que de-

ben llevarse a cabo con éxito, o los fallos que han
de evitarse, para que se consigan los objetivos glo-
bales de la entidad.
‪ Las inversiones y los presupuestos de gastos se ba-
san en el análisis efectuado por la dirección de la
importancia relativa de los objetivos.
‪ La dirección efectúa un seguimiento especial de
los objetivos que constituyen factores críticos de
éxito.
* Participación de todos los niveles de la dirección

en la fijación de objetivos y hasta qué punto están
comprometidos en la consecución de los mismos.
‪ Los directores o supervisores de actividades o de-

partamentos participan en la determinación de los
objetivos de las actividades de las que son respon-
sables.
‪ Existen procedimientos para resolver los conflic-

tos.
‪ Los directivos apoyan el cumplimiento de los ob-
jetivos, sin tener "programas secretos".
Riesgos
El proceso de evaluación de los riesgos de una en-
tidad debe identificar y analizar las implicaciones de
los riesgos relevantes, tanto para la entidad como para
cada una de las actividades. Dicho proceso ha de tener
en cuenta los factores externos e internos que pudiesen
influir en la consecución de los objetivos, debe efec-
tuar un análisis de los riegos y proporcionar una base
para la gestión de los mismos.
* Existencia de mecanismos adecuados para iden-

tificar los riegos derivados de fuentes externas.
Por ejemplo, considerar si la dirección toma en cuen-
ta los riesgos relacionados con:
‪ las fuentes de suministro
‪ los cambios tecnológicos
‪ los requerimientos de los acreedores
‪ las acciones de la competencia
‪ las condiciones económicas
‪ las condiciones políticas
‪ la normativa aplicable
‪ los acontecimientos naturales
* Existencia de mecanismos adecuados para detec-

tar los riesgos provenientes de fuentes internas.
Por ejemplo, considerar si la dirección toma en cuen-
ta los riesgos relacionados con:
‪ Los recursos humanos, tales como la continuidad
de los directivos clave o los cambios de responsa-
bilidades que pudieran influir en la eficacia del tra-
bajo.
‪ La financiación, es decir, la disponibilidad de fon-
dos para las iniciativas nuevas o la continuación de
programas clave.
‪ Las relaciones laborales, por ejemplo, los progra-
mas de remuneraciones y otros beneficios labora-
les que mantengan el nivel de competitividad de la
entidad dentro de su sector.
‪ Los sistemas de información, tal como el manteni-
miento de sistemas adecuados de copias de seguri-
dad y de emergencia, para el caso de fallos del sis-
tema que pudiesen afectar la continuidad de las
operaciones de manera importante.
* Identificación de los riesgos significativos para

cada objetivo específico importante para cada ac-
tividad. (Considerar los riesgos identificados para
cada una de las actividades mencionadas en los "ob-
jetivos específicos"; el "manual de referencia" inclu-
ye ejemplos de riesgos relacionados con objetivos
usuales, en las páginas 281 a 344).
* Profundidad con que se efectúa el análisis de

riesgos; es decir, si se evalúa la importancia y pro-
babilidad de ocurrencia de los riesgos, así como
las medidas necesarias para abordarlos. Por ejem-
plo, considerar si:
‪ Los riesgos se analizan a través de procedimientos
formales, o de manera informal como parte de la
actividad diaria de la gerencia.
‪ Los riesgos detectados son relevantes para el obje-

tivo específico correspondiente.
‪ El análisis de riesgos es realizado por directivos de
una categoría adecuada.
Gestión del cambio
Los entornos económico, industrial y legal cam-

bian y las actividades de las entidades evolucionan.
Hacen falta mecanismos para detectar tales cambios y
reaccionar ante ellos.
* Existencia de mecanismos para anticipar, identi-

ficar y reaccionar ante los acontecimientos o cam-
bios rutinarios que influyen en la consecución de
los objetivos especifícos o globales (suelen ser esta-
blecidos por los directivos responsables de las ac-
tividades que más se verían afectadas por los cam-
bios). Por ejemplo, considerar si:
‪ Los acontecimientos o cambios se abordan como

parte del proceso usual de identificación y análisis
de riesgos, o por medio de mecanismos inde-
pendientes.
‪ Los riesgos y las oportunidades relacionados con
los cambios son tratados por personas de categoría
suficiente, de forma que se identifiquen todas sus
implicaciones y se formulen planes de acción ade-
cuados.
‪ En el proceso se incluyen todas las actividades de

la entidad que se verán afectadas significativamen-
te por los cambios.
* Existencia de mecanismos para detectar y reac-

cionar ante los cambios que pueden tener un efec-
to más importante sobre la entidad y que, conse-
cuentemente, requieran la atención de la alta
dirección. Por ejemplo, para cada una de las siguien-
tes áreas de cambio potencial, considerar si:
Cambio en el entorno de las operaciones:
‪ Las investigaciones de mercado u otros programas

identifican las principales variaciones en la natura-
leza, preferencias y tendencias de las compras y
gastos realizados por los clientes.
‪ La entidad es consciente de los cambios significa-
tivos en el personal, bien externos o internos, que
pudieran afectar al nivel profesional del personal
disponible.
‪ Los asesores legales informan periódicamente a la
dirección sobre las implicaciones de los cambios
legislativos.
Nuevos empleados:
‪ Se toman medidas especiales para asegurar que los

empleados nuevos entienden la cultura de la enti-
dad y actúan de acuerdo con la misma.
‪ Se presta especial atención a las actividades esen-
ciales de control realizadas por personas a las que
se va a cambiar de actividad.
Sistemas de información nuevos o modificados:
‪ Existen mecanismos para evaluar el impacto de los

nuevos sistemas.
‪ Se han implantado procedimientos para analizar si

las actividades de control existentes son apropia-
das cuando se desarrollan e implantan nuevos sis-
temas informáticos.
‪ La dirección sabe si se cumplen las políticas de
desarrollo e implantación de sistemas, a pesar de
que existan presiones para "acortar" el proceso.
‪ Se presta atención al efecto de los nuevos sistemas
tanto sobre los flujos de información y los contro-
les correspondientes como sobre la formación de
los empleados, prestando especial atención a la re-
sistencia de los empleados ante el cambio.
Crecimiento rápido:
‪ Se aumenta la capacidad de los sistemas para po-

der tratar rápidamente volúmenes crecientes de in-
formación.
‪ Se incrementa en lo necesario el número de em-
pleados de operaciones, contabilidad y proceso de
datos para hacer frente al aumento en el volumen
de actividad.
‪ Existe un procedimiento de revisión de presupues-
tos o previsiones.
‪ Existe un proceso para analizar las implicaciones
interdepartamentales de la revisión de objetivos o
planes en las distintas unidades.
Nuevas tecnologías:
‪ Se obtiene información sobre los avances tecnoló-

gicos a partir de servicios de información, aseso-
rías, seminarios o quizás mediante operaciones
conjuntas con compañías líderes en las áreas de in-
vestigación y desarrollo que son relevantes para la
entidad.
‪ Se efectúa un seguimiento de las nuevas tecnolo-
gías o aplicaciones desarrolladas por la compe-
tencia.
‪ Existen mecanismos para aprovechar las nuevas

aplicaciones tecnológicas y para controlar su utili-
zación, mediante la incorporación de las mismas
en los procesos de producción o en los sistemas de
información.
Líneas, productos, actividades y adquisiciones

nuevas:
‪ Existe la capacidad de realizar previsiones razona-

bles de los resultados de explotación y financieros.
‪ Se evalúa si son adecuados los sistemas de infor-
mación y de control existentes relacionados con
nuevos productos, líneas o actividades.
‪ Se desarrollan planes de contratación y formación
de personal con los conocimientos necesarios para
tratar los nuevos productos o actividades.
‪ Existen procedimientos para seguir los resultados
iniciales y efectuar las modificaciones que sean
necesarias a la producción y la comercialización.
‪ Se identifican y cumplen las obligaciones legales,
fiscales y de formulación de estados financieros.
‪ Se realiza un seguimiento del impacto sobre otros
productos y sobre la rentabilidad de la empresa.
‪ Se modifican las asignaciones de gastos generales
para reflejar correctamente la aportación de cada
producto.
Reestructuración de la entidad:
‪ Se analizan los efectos potenciales sobre las ope-

raciones correspondientes de las reducciones de
plantilla o las reasignaciones de personal.
‪ Se lleva a cabo una nueva asignación de las res-
ponsabilidades de control correspondientes a los
empleados transferidos o despedidos.
‪ Se analiza el impacto de las reducciones importan-
tes de plantilla sobre la moral del resto de los em-
pleados.
‪ Existen mecanismos para proteger a la empresa

contra las posibles represalias de los empleados
despedidos.
Operaciones en el extranjero:
‪ La dirección se mantiene al día en cuanto a la cul-

tura política, legal, empresarial y social de las zo-
nas en las que se llevan a cabo operaciones extran-
jeras.
‪ Se informa a los empleados de las costumbres y las
normas de los países extranjeros.
‪ Existen procedimientos alternativos en el caso de
que las actividades o los mecanismos de comuni-
cación con las operaciones en el extranjero se vean
interrumpidos.

Las actividades de control abarcan una gran varie-

dad de políticas y los procedimientos correspondientes
de implantación que ayudan a asegurar que se siguen
las directrices de la dirección. Ayudan a asegurar que
se llevan a cabo aquellas acciones identificadas como
necesarias para afrontar los riesgos y así conseguir los
objetivos de la entidad.
* Existencia de las políticas y los procedimientos

apropiados y necesarios en relación con cada una
de las actividades de la entidad.
‪ Todos los objetivos relevantes y los riesgos aso-

ciados para cada una de las actividades importan-
tes deberían haber sido identificados conjunta-
mente en el proceso de evaluación de riesgos. Se
puede consultar el "manual de referencia" (pági-
nas 281 a 344) que presenta, para las actividades
empresariales generales, unos modelos de objeti-
vos, riesgos y "puntos donde centrar las accio-
nes/actividades de control". Los comentarios que
aparecen en la columna "actividades de control"
pueden ser útiles para identificar qué medidas ha
tomado la dirección para afrontar los riesgos y pa-
ra considerar si son adecuadas las actividades de
control que aplica la entidad para asegurar que las
acciones se llevan a cabo. Hay que tener en cuenta
MODELOS DE FORMULARIOS: ACTIVIDADES DE CONTROL 253
que los puntos de atención para los controles gene-

rales (o controles generales informáticos) se pre-
sentan en el "manual de referencia" bajo la activi-
dad "Tecnología de la información".
* Las actividades de control establecidas están

siendo aplicadas correctamente.
‪ Los controles descritos en los manuales de proce-

dimientos son aplicados en la realidad y de la ma-
nera debida.
‪ Se toman acciones apropiadas y en tiempo sobre
las excepciones o sobre la información que requie-
re un seguimiento posterior.
‪ El personal de supervisión revisa el funcionamien-
to de los controles.

Información
La información se identifica, recoge, procesa y

presenta por medio de los sistemas de información. La
información pertinente incluye los datos del sector y
los datos económicos y de organismos de control ob-
tenidos de fuentes externas así como la información
generada dentro de la organización.
* Obtención de información externa e interna, faci-

litando a la dirección los informes necesarios sobre
el rendimiento de la empresa en relación con los
objetivos establecidos. Por ejemplo, considerar si:
‪ Existen mecanismos para conseguir la informa-

ción externa pertinente sobre las condiciones del
mercado, programas de competidores, novedades
legislativas o de organismos de control y cambios
económicos.
‪ Se identifica y presenta con regularidad la infor-
mación, generada dentro de la organización, cru-
cial para el logro de los objetivos de la entidad,
incluyendo la relacionada con los factores críticos
de éxito.
‪ Se suministra a los directivos y jefes de departa-
mento la información que necesitan para cumplir
con sus responsabilidades.
MODELOS DE FORMULARIOS: INFORMACIÓN Y COMUNICACIÓN 255
* Suministro de información a las personas ade-

cuadas, con detalle suficiente y en el momento
preciso, para permitirles cumplir con sus respon-
sabilidades eficiente y eficazmente. Por ejemplo,
considerar si:
‪ Los directivos reciben información analítica que

les permite identificar qué acción es necesaria lle-
var a cabo.
‪ La información se facilita con el detalle adecuado
para los distintos niveles de gestión.
‪ En lugar de suministrar un "mar de datos" la infor-
mación se resume adecuadamente, facilitando in-
formación pertinente y permitiendo la inspección
minuciosa de los detalles cuando es necesario.
‪ La información está disponible en tiempo oportu-
no para permitir el control efectivo de los aconte-
cimientos y actividades, tanto internos como ex-
ternos, posibilitando la rápida reacción ante
factores económicos y comerciales y los asuntos
de control.
* Desarrollo o revisión de los sistemas de informa-

ción en base a un plan estratégico para dichos sis-
temas de información, vinculado a la estrategia
global de la entidad, orientado a la consecución de
los objetivos globales de la misma y los específicos
de cada actividad. Por ejemplo, considerar si:
‪ Se ha establecido un mecanismo (por ejemplo, un

comité de planificación de informática) para iden-
tificar las necesidades de información que surjan.
‪ Las necesidades y prioridades de información son
determinadas por directivos con responsabilidades
suficientemente amplias.
‪ Se ha desarrollado un plan informático a largo pla-
zo ligado a las iniciativas estratégicas.
* El apoyo de la dirección al desarrollo de los sis-

temas de información necesarios se demuestra me-
diante la aportación de los recursos apropiados,
tanto humanos como financieros. Por ejemplo, con-
siderar si.
‪ Se aportan recursos suficientes (gestores, analis-

tas, programadores con los conocimientos técnicos
precisos) según sean necesarios para mejorar o
desarrollar nuevos sistemas de información.
Comunicación
La comunicación es inherente al proceso de infor-

mación. La comunicación también se lleva a cabo en
un sentido más amplio, en relación con las expectati-
vas y responsabilidades de individuos y grupos. La co-
municación debe ser eficaz en todos los niveles de la
organización (tanto hacia abajo como hacia arriba y a
lo largo de la misma) y con personas ajenas a la orga-
nización.
* Eficacia con la que se comunica a sus empleados

las tareas y responsabilidades de control. Por
‪ Las vías de comunicación —sesiones formales e

informales de formación, reuniones y supervisión
durante el trabajo— son suficientes para efectuar
tal comunicación.
‪ Los empleados conocen los objetivos de su activi-

dad y cómo sus tareas contribuyen a lograr esos
objetivos.
‪ Los empleados entienden cómo sus tareas afectan
a, y son afectadas por, las tareas de otros emplea-
dos.
* Establecimiento de canales de comunicación pa-

ra que los empleados puedan informar sobre posi-
bles irregularidades. Por ejemplo, considerar si:
‪ Existe alguna forma de comunicarse con los nive-

les superiores de la empresa sin tener que pasar por
un superior directo, por ejemplo mediante un "de-
fensor del empleado" o asesor interno.
‪ Se permite el anonimato.
‪ Los empleados usan de hecho los canales de comu-
nicación.
‪ Las personas que informan de posibles irregulari-
dades son informadas de las medidas que se toman
y protegidas contra represalias.
* Receptividad de la dirección a las sugerencias de

los empleados sobre cómo mejorar la productivi-
dad, la calidad y otro tipo de mejoras similares.
‪ Existen mecanismos establecidos para que los em-

pleados puedan aportar sus recomendaciones de
mejora.
‪ La dirección premia las buenas sugerencias de los
empleados con premios en metálico o con otras
formas significativas de reconocimiento.
* Existencia de una comunicación adecuada entre

todas las áreas de la empresa (por ejemplo, entre
las actividades de compras y producción) y de una
información completa, puntual y suficiente que
permita que las personas cumplan con sus respon-

sabilidades eficazmente. Por ejemplo, considerar si:
‪ Los agentes de ventas informan a los departamen-

tos de ingeniería, producción y marketing sobre las
necesidades de los clientes.
‪ El personal de gestión de cuentas a cobrar informa
al de aprobación de créditos de aquellos clientes
que retrasan el pago.
‪ La información sobre nuevos productos o garan-
tías de los competidores llega al personal de inge-
niería, marketing y ventas.
* Apertura y eficacia de los canales de comunica-

ción con los clientes, proveedores y otras personas
externas para transmitir información sobre los
cambios que se producen en las necesidades de los
clientes. Por ejemplo, considerar si:
‪ Existen mecanismos de información con todos los

terceros pertinentes.
‪ Las sugerencias, quejas y otras informaciones son
recogidas y comunicadas a las personas pertinen-
tes dentro de la organización.
‪ La información se transmite a los niveles supe-
riores de la organización según sea necesario y se
realizan acciones de seguimiento.
* Alcance de la comunicación a terceros de las

normas éticas de la entidad. Por ejemplo, conside-
rar si:
‪ Las comunicaciones importantes a terceros son

proporcionadas por la dirección de acuerdo con la
naturaleza y la importancia del mensaje (por ejem-
plo, un alto ejecutivo explica periódicamente por
escrito a los terceros las normas éticas de la enti-
dad).
‪ Los proveedores, clientes y otros terceros conocen

las normas y expectativas de la entidad a la hora de
tratar con la misma.
‪ Esas normas son evidenciadas en las relaciones
diarias con terceros.
‪ Las irregularidades cometidas por empleados de
terceros son comunicadas a las personas adecua-
das.
* Realización de un seguimiento oportuno y apro-

piado por la dirección de las comunicaciones reci-
bidas de clientes, proveedores, organismos de con-
trol y otros terceros. Por ejemplo, considerar si:
‪ El personal es sensible a las comunicaciones reci-

bidas respecto a problemas en los productos, ser-
vicios u otros temas y se investigan y toman las
acciones oportunas referentes a estas comunica-
ciones.
‪ Se corrigen los errores de facturación a clientes,
investigándose y corrigiéndose las fuentes de tales
errores.
‪ Las quejas son tratadas por una persona adecuada
y distinta de los empleados involucrados en las
transacciones originales.
‪ Se toman las acciones adecuadas y se notifica a los
comunicantes las acciones de seguimiento lleva-
das a cabo.
‪ La alta dirección está al corriente de la naturaleza y
el volumen de las quejas.

Supervisión
Supervisión continuada
La supervisión continuada se produce en el trans-

curso normal de las operaciones e incluye las activida-
des habituales de gestión y supervisión, así como otras
acciones que efectúa el personal al realizar sus tareas
encaminadas a evaluar los resultados del sistema de
control interno.
* Hasta qué punto el personal, en el desarrollo de

sus actividades normales, obtiene evidencia de que
el sistema de control interno sigue funcionando.
‪ La dirección responsable de las operaciones com-

para la producción, las existencias, las ventas u
otra información conseguida en el curso de sus ac-
tividades diarias con la información generada a
través de los sistemas.
‪ Se lleva a cabo la integración o reconciliación de
la información utilizada para gestionar las opera-
ciones con los datos generados por el sistema de
información financiera.
‪ Se exige al personal operativo que confirmen, me-
diante su firma, la exactitud de los estados finan-
cieros de sus unidades y se les considera responsa-
bles si se descubren errores.
* Evaluar hasta qué punto las comunicaciones re-

cibidas de terceros corroboran la información ge-
nerada dentro de la organización o indican pro-
blemas. Por ejemplo, considerar si:
‪ Los clientes corroboran implícitamente los datos

de facturación al pagar sus facturas. Se investigan
las quejas de los clientes sobre la facturación, in-
dicando la existencia de deficiencias en el proce-
samiento de las operaciones de venta, a fin de des-
cubrir la causa de dichas quejas.
‪ Las comunicaciones de suministradores y los esta-
dos mensuales de cuentas a pagar se usan como
una técnica de supervisión del sistema de control
interno.
‪ Se investigan las quejas presentadas por los pro-
veedores sobre las prácticas desleales de los agen-
tes de compra.
‪ Los organismos de control proporcionan informa-
ción a la entidad sobre el cumplimiento de las nor-
mas aplicadas u otros asuntos relacionados con el
funcionamiento del sistema de control interno.
‪ Se comprueban los controles que deberían haber
prevenido o detectado los problemas.
* Comparación periódica de los importes registra-

dos por el sistema de contabilidad con los activos
materiales. Por ejemplo, considerar si:
‪ Se comprueban los niveles de existencias cuando

los productos se retiran del almacén para su envío
al cliente. Se corrigen las diferencias que pueden
producirse entre los importes registrados y los rea-
les.
‪ Se cuentan periódicamente los valores depositados
por terceros con la entidad, y se comparan con los
registros existentes.
MODELOS DE FORMULARIOS: SUPERVISIÓN 263
* Respuesta de la entidad ante las recomendacio-

nes de los auditores internos y externos sobre me-
dios de fortalecer los controles internos. Conside-
rar si:
‪ Los directivos que deciden qué recomendaciones

de los auditores se llevarán a la práctica tienen el
nivel de autoridad adecuado.
‪ Se realiza un seguimiento de las acciones efectua-
das para comprobar la realización de las mismas.
* Estudiar hasta qué punto los seminarios de for-

mación, las sesiones de planificación u otras reu-
niones facilitan información a la dirección sobre si
los controles funcionan eficazmente. Considerar si:
‪ Se recogen los temas importantes y las cuestiones
planteadas en los seminarios de formación.
‪ Se informa a la alta dirección de las sugerencias de
los empleados, y se toman las acciones necesarias.
* Se pregunta periódicamente al personal si com-

prende y cumple con el código de conducta de la
entidad y si regularmente lleva a cabo actividades
de control esenciales. Por ejemplo, considerar si:
‪ Se requiere periódicamente al personal para que
confirme su cumplimiento del código de conducta.
‪ Se requieren firmas para acreditar la realización de
funciones críticas de control, tales como la conci-
liación de importes específicos.
* Efectividad de las actividades de auditoría inter-

na. Por ejemplo, considerar si:
‪ Los auditores internos son capaces y experimenta-
dos.
‪ Su posición dentro de la organización es adecuada.
‪ Tienen acceso al consejo de administración y al
comité de auditoría.
‪ Sus responsabilidades y planes de auditoría son

apropiados para las necesidades de la organiza-
ción.
Resulta útil examinar el sistema de control interno

de vez en cuando, enfocando el análisis directamente
a la eficacia del sistema. El alcance y la frecuencia de
tales evaluaciones puntuales dependerá principalmen-
te de la evaluación de los riesgos y de los procedi-
mientos de supervisión continuada.
* Fijar el alcance y la frecuencia de las evaluacio-

nes puntuales del sistema de control interno. Por
‪ Son evaluados los elementos apropiados del siste-

ma de control interno.
‪ Las evaluaciones son efectuadas por empleados
con los conocimientos necesarios.
‪ Son adecuados el alcance, la cobertura y la fre-
cuencia de la evaluación.
* Validez del proceso de evaluación. Por ejemplo,

considerar si:
‪ El evaluador tiene un conocimiento suficiente de

las actividades de la entidad.
‪ Se obtiene un conocimiento de cómo debería fun-
cionar el sistema, y cómo funciona en realidad.
MODELOS DE FORMULARIOS: SUPERVISIÓN 265
‪ Se realiza un análisis utilizando los resultados de

la evaluación contrastados con unos criterios esta-
blecidos.
* Lógica y validez de la metodología para evaluar

los sistemas. Por ejemplo, considerar si:
‪ Esta metodología incluye "checklists", cuestiona-
rios y otras herramientas.
‪ Se reúne el equipo de evaluación para planear el
proceso de evaluación y asegurar que se realiza un
esfuerzo coordinado.
‪ El proceso de evaluación es gestionado por un di-
rectivo con un nivel de autoridad suficiente.
* Adecuación del nivel de documentación. Por

‪ Existen manuales de políticas, organigramas, ins-
trucciones operativas, etc.
‪ Se presta atención a documentar el proceso de eva-
luación.
Comunicación de las deficiencias de control interno
Las deficiencias de control interno deberían ser

comunicadas a los niveles superiores y las más signi-
ficativas deben ser presentadas a la alta dirección y al
consejo de administración.
* Existencia de un mecanismo para reconocer e
informar sobre las defíciencias del control interno
identificadas. Por ejemplo, considerar si:
‪ Existen medios para conseguir información sobre

deficiencias de fuentes tanto internas como exter-
nas (por ejemplo, clientes, proveedores, auditores
y organismos de control).
‪ Existen medios para conseguir información sobre
deficiencias a partir de la supervisión continuada o
las evaluaciones puntuales.
* Son adecuadas las normas de comunicación de

las deficiencias. Por ejemplo, considerar si:
‪ Las deficiencias son puestas en conocimiento del

responsable directo de la actividad y de un supe-
rior.
‪ Se informa a la alta dirección o al consejo de ad-
ministración sobre algunos tipos específicos de de-
ficiencias.
* Validez de las acciones de seguimiento. Por ejem-

plo, considerar si:
‪ Se corrige la transacción o acontecimiento identi-

ficado.
‪ Se investigan las causas fundamentales del proble-
ma.
‪ Se efectúa un seguimiento para asegurar que se to-
ma la acción correctiva necesaria.

Hoja de trabajo: Evaluación de
riesgos y actividades de control
Véase modelo en página siguiente.

Evaluación global del sistema
de control interno
Componentes del control interno Conclusiones preliminares/ Consideraciones

Acciones necesarias adicionales
(véase Herramientas de evaluación individuales)
Entorno de control
¿Comunica de forma adecuada la di-

rección el mensaje de que no se puede
comprometer la integridad? ¿Existe un
entorno de control positivo, con una
actitud de conciencia de control en to-
da la organización y un "tono" o "sin-
tonía" de control positivo en los nive-
les más altos de la organización"?
¿Está la capacidad del personal de la
entidad en proporción con sus respon-
sabilidades? ¿Es apropiado el estilo de
la dirección cuando asigna responsabi-
lidades y cuando organiza y forma a su
personal? ¿Presta el consejo un nivel
adecuado de atención al control inter-
no?

¿Están establecidos y adecuadamente

coordinados los objetivos de la entidad
y los objetivos de cada una de las acti-
vidades de la misma? ¿Están identifi-
cados y evaluados los riesgos internos
y externos que influyen en el éxito o en
el fracaso del logro de los objetivos?
¿Existen mecanismos en vigor para
identificar los cambios, que puedan in-
fluir en la capacidad de la entidad para
lograr sus objetivos? ¿Se modifican
las políticas y procedimientos cuando
es necesario?
¿Existen actividades de control que

aseguren el cumplimiento de las polí-
ticas establecidas y la realización de
acciones que traten los riesgos corres-
pondientes? ¿Existen actividades de
control apropiadas para cada una de
las actividades de la entidad?
¿Existen sistemas de información para

identificar y captar la información per-
tinente —financiera y no financiera,
MODELOS DE FORMULARIOS: EVALUACIÓN GLOBAL DEL SISTEMA DE CONTROL INTERNO 271

que tenga relación con acontecimien-

tos externos e internos— y presentarla
al personal en una forma que les per-
mita llevar a cabo sus responsabilida-
des? ¿Se comunica la información re-
levante? ¿Es clara con respecto a las
expectativas y responsabilidades de
individuos y grupos y para la comuni-
cación de resultados? ¿Existe comuni-
cación adecuada en todas direcciones
tanto hacia abajo como hacia arriba y
lateralmente, así como entre la entidad
y terceros?
Supervisión
¿Existen procedimientos apropiados

para supervisar de forma continuada o
evaluar periódicamente el funciona-
miento de los componentes del control
interno? ¿Se informa de las deficien-
cias al personal adecuado? ¿Se modi-
fican las políticas y procedimientos
cuando es necesario?
Conclusión global:
12
Manual de referencia
El presente "Manual de referencia" ha sido pensado para ayudar a un

evaluador a cumplimentar la "Hoja de trabajo de evaluación de riesgos y
actividades de control" (página 268 de Herramientas).
El "Manual de referencia", que comienza en la página 281, expone (en lo
que respecta a las actividades empresariales normales) unos objetivos ilustra-
tivos, unos riesgos y unos "puntos donde centrar las acciones/actividades de
control". La lista de elementos incluida en esta última columna puede ser útil
para identificar tanto aquellas medidas para enfrentarse a los riesgos como las
correspondientes actividades de control que ayuden a garantizar que dichas
medidas se llevan a cabo. Esta última columna incluye también unos indicado-
res de rendimiento que pueden resultar particularmente útiles para realizar el
control. La segunda columna, "O, F, C", indica la categoría en que caen los
objetivos (O: operaciones, F: informes financieros, C: cumplimiento). Estas
categorías no son precisas y pueden variar según las circunstancias.
Este manual no pretende incluir todos los objetivos específicos, riesgos o
puntos de atención de cada actividad. Sin embargo, puede ser útil para identi-
ficar los elementos pertinentes.
Modelo genérico de empresa

Las actividades que cubre el presente "Manual de referencia" se basan en
un modelo genérico de empresa mercantil (páginas 277 a 280). El modelo
genérico de empresa refleja las actividades más importantes y se organiza por
niveles, desde una visión general de la empresa hasta los aspectos cada vez
más detallados de la misma.
El Anexo 1, nivel de contexto, es el más general. En este nivel, el modelo
refleja la interacción existente entre la empresa y los terceros externos a ella:
■ Los suministradores y los candidatos a ser empleados proporcionan unos

recursos que se utilizan para proporcionar bienes y servicios al mercado.
■ Ciertos terceros externos a la empresa que influyen en ella; entre los que
se encuentran los siguientes: otras fuentes de consumo, organismos públi-
cos, colaboradores, inversores y competidores.
El Anexo 2, nivel de actividad, refleja las principales actividades de la

empresa y comprende cinco actividades básicas que aportan un valor añadido
complementadas por cuatro actividades de infraestructura. Cada una de las
actividades recibe bienes, servicios o información, realiza operaciones con
ellos y los transmite. En lo que concierne a las relaciones entre suministrado-
res y compradores, las actividades de valor añadido incluyen lo siguiente (las
páginas que se indican son las que corresponden para su localización en el
"Manual de referencia"):
Página
Recepción de mercancías...................................................281 - 284

Operaciones .....................................................................285 - 287
Expedición de mercancías .................................................288 - 291
Marketing y ventas.............................................................292 - 294
Servicio al cliente ..............................................................295-296
Las actividades de infraestructura, que soportan a las actividades de valor

añadido, incluyen:
Página
Gestión de la empresa (esta actividad se desglosa

en subactividades en el Anexo 3)
Recursos humanos .............................................................303 - 306
Desarrollo de tecnología ...................................................301 - 302
Aprovisionamientos ...........................................................297 - 300
MANUAL DE REFERENCIA 275
El Anexo 3 se centra en la actividad de gestión y describe las subactivida-

des de ésta. Éstas son:
Página
Gestión financiera (esta actividad se desglosa

adicionalmente en Control, Tesorería, Impuestos
y Auditoría; la unidad de control se describe con
mayor detalle en el Anexo 4)
Gestión de la empresa ..................................................... 307 - 308
Gestión de las relaciones con terceros ............................ 309
Servicios administrativos.................................................. 310
Tecnología de la información .......................................... 3 1 1 - 3 15
Gestión de riesgos (de accidentes u otras pérdidas
asegurables) ................................................................. 316 - 317
Gestión de los asuntos legales .......................................... 318 - 319
Planificación...................................................................... 320- 321
El Anexo 4 refleja las diversas subactividades de control de gestión:
Página
Proceso de cuentas a pagar ............................................. 322 - 323

Proceso de cuentas a cobrar.............................................. 324 - 325
Proceso de la tesorería ...................................................... 326 - 330
Proceso de inmovilizado material .................................... 331 - 332
Análisis y conciliaciones .................................................. 333
Proceso de la información sobre pensiones y jubilación 334 - 335
Proceso de nóminas .......................................................... 336 - 338
Proceso de cumplimiento de las obligaciones fiscales .. 339 - 340
Proceso de valoración del coste de los productos ........... 341 - 342
Información financiera y de gestión................................. 343 - 344
El propósito del modelo genérico de empresa es doble. Tal como se ha

indicado, confiere una estructura al "Manual de referencia". Las actividades,
transacciones y flujos de información que se describen en el modelo constitu-
yen la base del presente manual.
El modelo genérico de empresa puede utilizarse también como punto de
partida para que el evaluador entienda las actividades de la entidad y las
relaciones existentes entre ellas y con terceros, así como la información que se
genera y utiliza para ayudar a controlar esas actividades. Cuando se utiliza así,
el modelo genérico de empresa debe adaptarse para que se acomode a la
entidad objeto de evaluación. Deberá modificarse o aumentarse con la infor-
mación adicional específica de la entidad —tal como los diagramas de flujos
de los sistemas— con el fin de comprender mejor las actividades y los flujos
de información de ésta.
A su vez, esa comprensión puede facilitar el análisis de riesgos ligados a
cada una de las actividades y ayudar a la identificación de aquellos puntos del
sistema donde debería llevarse a cabo un control. Esos riesgos y las activida-
des de control de la entidad relacionadas con ellos pueden utilizarse para
ayudar a la dirección a cumplimentar la "Hoja de trabajo sobre evaluación de
riesgos y actividades de control".
Manual de referencia:
Actividades
Actividad: RECEPCIÓN DE MERCANCÍAS

Puntos donde centrar las
Objetivos O, F, C Riesgos acciones/Actividades de control
Logística
1. Garantizar que se proce- O, F Los planes y programas no Especificar en los planes y programas
san los materiales recibi- se comunican a las activi- cuáles son los materiales necesarios y
dos y la información rela- dades de recepción o no se cuándo se necesitan.
cionada con los mismos y identifica claramente cuan-
que se ponen rápidamen- do y dónde se necesitan los Comunicar todos los planes y programas
te a disposición de pro- materiales. a recepción de mercancías.
ducción, almacenes u
otros departamentos. Resumir las solicitudes de materiales y re-
mitirlas periódicamente a recepción de
mercancías.
Mantener los procedimientos de distribu-

ción de materiales para las mercancías re-
cibidas.
Facilitar a las actividades de recepción

instrucciones sobre las rutas de materiales
no habituales.
Supervisar los problemas de producción

relacionados con materiales y piezas no
disponibles (indicador de rendimiento).
Considerar la implantación de una filoso-

fía "just in time" o similar para la gestión
de inventarios y producción.

Objetivos O,F,C Riesgos acciones/Actividades de control
La información sobre los Mantener procedimientos para poner rá-
materiales recibidos no se pidamente al día los registros de inventa-
procesa con exactitud o de
manera oportuna en el sis-
tema de información. Comparar las fechas de recepción e infor-
mación de inventarios y realizar su segui-
miento según corresponda.
Verificar periódicamente que en el siste-

ma de información se incluyen documen-
tos de recepción numerados.
2. Garantizar que se investi- O Pérdida o falta de envío a Prenumerar los pedidos de compra e in-
gan los pedidos de com- recepciones de los pedidos vestigar los documentos que falten.
pras no cumplimentados de compra.
en las fechas requeridas.
Información sobre fechas Mantener la información sobre pedidos
de entrega no disponible. de compra pendientes de cumplimentar
de tal manera que se facilite la identifica-
ción de los que permanezcan pendientes
de servir después de la fecha de entrega.
3. Documentar de manera O,F Pérdida de informes de re- Prenumerar los documentos e investigar
completa y adecuada las cepción o pérdida de regis- los que falten.
mercancías recibidas y tros de expediciones.
las devueltas.
4. Aceptar sólo las mercan- O No se pone la información Comparar los materiales recibidos, inclu-
cías que se hayan pedido sobre pedidos de compra a yendo la verificación de cantidades, con
adecuadamente. disposición de las personas los pedidos de compra debidamente apro-
encargadas de la recepción bados. No aceptar los materiales que no
de mercancías. hayan sido debidamente pedidos.
Supervisar los casos de facturas presenta-

das al cobro cuando se hayan aceptado
materiales sin pedido de compra válido
(indicador de rendimiento).
5. Aceptar sólo materiales O Falta de claridad de las es- Mantener listas actualizadas de especifi-
que cumplan las especifi- pecificaciones de los pedi- caciones para utilizarlas al inspeccionar y
caciones de los pedidos dos de compra. controlar las mercancías.
de compra.
Verificar las especificaciones con el perso-
nal de compras u otro personal adecuado.

relacionados con materiales que inclum-
plen las especificaciones (indicador de
rendimiento).
MANUAL DE REFERENCIA: ACTIVIDADES 283

No se verifican los mate- Establecer procedimientos de verifica-
riales para comprobar que ción, según corresponda, para todos los
cumplen las especificacio- materiales objeto de pedido.
nes.
relacionados con materiales y piezas con
problemas de calidad (indicador de rendi-
miento).
6. Garantizar que se regis- O,F Los procedimientos de Exigir la documentación adecuada para
tran todos los materiales trasferencia no requieren los materiales transferidos de recepción a
transferidos desde la acti- documentación justificati- otras actividades.
vidad de recepción a otras va previa.
actividades.
7. Salvaguardar las mercan- Posible pérdida de la docu- Prenumerar los documentos e investigar
cías recibidas. mentación de transferen- los que falten.
cia.
Realizar inventarios periódicos de los ma-
teriales en almacén y conciliar con los re-
gistros de inventario permanente. Investi-
8. Garantizar que se actuali- gar cualquier diferencia (indicador de
za exactamente la infor- rendimiento).
mación sobre suministra-
dores, inventarios y O,F Inadecuada seguridad físi- Mantener la seguridad física de las mer-
pedidos de compra con el ca para las mercancías reci- cancías recibidas.
fin de reflejar las recep- bidas.
ciones. Separar las funciones de custodia y de
mantenimiento de los registros.
O,F Posible pérdida de la infor- Prenumerar los documentos de recepción

mación de recepción. e investigar los que falten.
Identificar e investigar periódicamente

los pedidos de compra pendientes de su-
ministro.

gar cualquier diferencia (indicador de
rendimiento).
La información de recep- Verificar periódicamente la exactitud de

ción puede introducirse in- la información sobre suministradores, in-
correctamente en el siste- ventarios y pedidos de compra pendien-
ma de información, o tes.
puede no hacerse a tiempo.

Comprobar periódicamente que la infor-
mación se introduce oportunamente en el
sistema de información.
9. Devolver rápidamente las O Inspección inadecuada o Mantener procedimientos adecuados para

mercancías rechazadas. fuera de plazo de las mer- la inspección de las mercancías recibidas.
cancías recibidas.
10. Documentar de manera O,F Información incompleta o Todas las transferencias deben ir acompa-
completa y exacta todas inexacta sobre los materia- ñadas de la documentación correspon-
las transferencias al al- les transferidos al almacén diente; el personal de almacenes o de
macén y desde el alma- y desde el almacén. otras actividades debería verificar los ma-
cén. teriales y las cantidades recibidas.
Posible pérdida de los do- Prenumerar los documentos de trasferen-

cumentos de transferencia. cia e investigar los que falten.

rendimiento).
11. Solicitar adecuadamente O,F Procedimientos de transfe- Transferir materiales solamente en el caso
todas las mercancías que rencia o solicitud inade- de que exista una solicitud adecuadamen-
hayan de transferirse a cuados. te aprobada.
operaciones.
12. Transferir adecuadamen- O, F, C Posible pérdida de las soli- Prenumerar las solicitudes e investigar los
te todos los materiales so- citudes. documentos que faltan.
licitados.
Transferencia de materia- Verificar que el material recibido se ajus-
les no solicitados. ta a la solicitud aprobada.
13. Mantener unas condicio- C Seguridad inadecuada o in- Mantener normas internas que cumplan
nes seguras de trabajo y suficiente. como mínimo con las disposiciones lega-
de almacenamiento de les en materia de seguridad y salud en el
materias peligrosas. trabajo y demás leyes y normas pertinen-
tes. Dichas normas internas deben ser
aprobadas por personal técnico y jurídico
siendo necesario supervisar su cumpli-
miento.
Realizar un seguimiento de los problemas

de seguridad que se hayan comunicado.
Mantener procedimientos adecuados para

la manipulación y almacenamiento de
materias peligrosas.
Actividad: OPERACIONES
Gestión y programación de
operaciones
1. Programar las operacio- O Insuficiente comunicación Utilizar documentos normalizados para

nes con el fin de minimi- con el departamento de preparar y comunicar las previsiones de
zar el inventario y garan- marketing en cuanto a las ventas.
tizar la disponibilidad previsiones de ventas.
suficiente y puntual de Garantizar que el personal de producción
productos terminados. recibe todas las previsiones de ventas.
Comparar los programas de producción

con las previsiones de ventas para garan-
tizar que el calendario programado y las
cantidades de producción son adecuadas.
Competencia entre varios Determinar las prioridades de producción

productos para su producen función de principios establecidos o de
ción simultánea. criterios de gestión.
Evaluar la adecuación de la capacidad

productiva.
Aprobar todos los programas de produc-

ción.
Defecto o exceso de mate- Utilizar los canales de comunicación esta-

rias primas motivado por blecidos para informar al departamento
una deficiente comunica- de compras sobre las necesidades de ma-
ción con el departamento teriales, incluyendo las cantidades y fe-
de compras, o por causa de chas en que se necesitan.
una previsión de necesida-
des de materiales imprecisa Comparar las previsiones de necesidades
o realizada fuera de plazo. de materiales con el programa de produc-
ción y las estimaciones de materiales ne-
cesarios para los productos, tomando en
cuenta los plazos de espera necesarios pa-
ra la obtención de materiales.
Establecer y cumplir calendarios de pro-

ducción precisos y realistas.
Estudiar los costes/beneficios de estable-

cer un sistema "just in time" o una filoso-
fía de producción y gestión de inventarios
similar.

Supervisar los casos de inventario insufi-
ciente o excesivo de materias primas (in-
dicador de rendimiento).
2. Reducir al mínimo el O Equipo defectuosamente Mantener el equipo con arreglo a un pro-

tiempo inactivo de pro- mantenido, mal utilizado u grama de mantenimiento preventivo esta-
ducción. obsoleto. blecido.
Evaluar periódicamente el equipo de pro-

ducción a la vista de los costes de repara-
ción y mantenimiento y de su capacidad,
averías, obsolescencia y demás factores.
Considerar los costes/beneficios de ad-
quisición de nuevos equipos.
Formar al personal en la adecuada utiliza-

ción de los equipos.
Supervisar los casos de tiempo inactivo

de producción debidos a averías de los
equipos (indicador de rendimiento).
Mano de obra especializa- Formar a los empleados existentes para la

da inadecuada. realización de diversas tareas.
Desastres naturales o de Mantener y actualizar los planes sobre

otra índole. contingencias y desastres naturales.
Probar periódicamente esos planes.
Ejecución de operaciones
3. Producir los productos en O Falta de comunicación cla- Utilizar documentos normalizados para
cantidades adecuadas y ra de las cantidades que preparar y comunicar los planes y direc-
de acuerdo con las espe- han de producirse. trices de producción.
cificaciones y programas
de producción. Especificaciones inadecua- Utilizar documentos normalizados para
das o poco claras. comunicar las especificaciones de los
productos.
Excesivos pasos/operacio- Considerar métodos para simplificar la

nes para el trabajo. producción, tales como la implantación
de los principios del "just in time".

4. Cumplir las leyes y nor- O, C Presión para cumplir las fe- Respaldo por parte de la alta dirección a
mas de la administración chas límite de producción. las consideraciones de seguridad de for-
en materia de seguridad e ma verbal y mediante el ejemplo.
higiene en el trabajo.
Imponer medidas disciplinarias a los em-
pleados que infrinjan los procedimientos
de seguridad.
Supervisar las infracciones a las medidas

de seguridad (indicador de rendimiento).
Desconocimiento de las Realizar sesiones periódicas de forma-

normas y regulaciones. ción.
Exponer las leyes y normas y la política

de la compañía en lugares visibles.
Garantía de la calidad
5. Producir los productos O Los procesos de produc- Integrar los procedimientos para garanti-
con arreglo a normas de ción no incluyen procedi- zar la calidad en los procesos de produc-
control de calidad. mientos diseñados para ga- ción.
rantizar una producción de
calidad. Normalizar los procesos de producción
en la medida de lo posible.
Dificultad de producción Diseñar el producto prestando la adecua-

del producto. da atención a las dificultades potenciales
de producción.
Pruebas inadecuadas del Verificar cantidades suficientes de cada

producto. serie de producción con el fin de garanti-
zar el cumplimiento de las normas de con-
trol de calidad.
Supervisar los índices de productos de-

fectuosos (indicador de rendimiento).
No se descubren o no se in- Supervisar los productos utilizando per-

forma adecuadamente so- sonal ajeno a los procesos de producción.
bre problemas de calidad
durante el proceso de pro- Supervisar las devoluciones y quejas de
ducción. los clientes relacionadas con la calidad
(indicador de rendimiento).
Actividad: EXPEDICIÓN DE MERCANCÍAS

Procesamiento de pedidos
1. Procesar sólo los pedidos O Información sobre créditos Utilizar sistemas de autorización de crédi-
para clientes con crédito incompleta, impuntual o tos que proporcionen una información
autorizado. inexacta. exacta y oportuna sobre los clientes en lo
que respecta a los límites de crédito apro-
bados, los saldos actuales adeudados, la
antigüedad del saldo a cobrar y demás in-
formación pertinente.
2. Procesar los pedidos con O Información sobre estable- Utilizar información actual sobre estable-
precisión y rapidez. cimiento de precios y sobre cimiento de precios y sobre inventarios.
inventarios inexacta o im-
puntual.
Procesamiento impuntual Prenumerar los formularios de pedidos y

de otra información. realizar periódicamente el seguimiento de
los no procesados en un lapso de tiempo
razonable.
La información sobre pedi- Verificar la información de los pedidos de

dos de clientes puede ser clientes con el personal de marketing o de
ambigua, inexacta o in- ventas adecuado. Contactar con el cliente
completa. si fuera necesario.
3. Procesar sólo pedidos de O, F Los pedidos de clientes Verificar con el personal de marketing o
clientes válidos. pueden no estar autoriza- de ventas adecuado los pedidos de clien-
dos. tes aprobados.
4. Procesar todos los pedi- O Pérdida de la documenta- Prenumerar los formularios de pedido; in-
dos aprobados. ción del pedido. vestigar los documentos que falten.
Almacén de productos
5. Proteger los productos O Falta de cuidado por parte Controlar los daños causados por la falta
contra daños. de los empleados. de cuidado de los empleados (indicador
de rendimiento).
Procedimientos de mani- Almacenarlos productos en contenedores

pulación y almacenamien- e instalaciones diseñados teniendo en
to, incluidos contenedores, cuenta las características de aquéllos y las
instalaciones y manteni- exigencias legales y reglamentarias.
miento de almacén, inade-

cuados a la naturaleza de Crear los procedimientos y programas de
los productos. mantenimiento adecuados a la naturaleza
de la instalación de almacén.
Falta de familiaridad de los Comunicar claramente las normas inter-

empleados con los requisi- nas y procedimientos de manipulación y
tos o procedimientos de almacenamiento a los empleados de al-
manipulación y almacena- macén.
miento.
Supervisar el cumplimiento de las normas
internas y procedimientos de manipula-
ción y almacenamiento (indicador de ren-
dimiento).
6. Almacenar los productos O Organización inadecuada Diseñar y mantener una organización efi-
para facilitar el procesa- de las instalaciones de al- caz del almacén con el fin de facilitar la
miento a tiempo de los macén. cumplimentación de los pedidos.
pedidos.
Capacidad insuficiente de Reducir al mínimo del inventario de pro-
almacenamiento. ductos a la vez que se permite el puntual
cumplimiento de los pedidos.
Identificar adecuadamente el número y la

ubicación de los almacenes.
7. Manipular y almacenar Posibilidad de que los em- Comunicación por parte del asesor jurídi-
los materiales de acuerdo pleados no conozcan las co u otro personal cualificado de la infor-
con las normas aplica- normas aplicables. mación sobre las leyes y normas aplica-
bles. bles.
Formar periódicamente al personal sobre

las exigencias legales y reglamentarias.
Normas y procedimientos Revisar los procedimientos de manipula-

inadecuados de manipula- ción y almacenamiento por parte del ase-
ción y almacenamiento. sor jurídico u otros miembros cualifica-
dos del personal.
Supervisar los accidentes o problemas de-

bidos a normas o procedimientos inade-
cuados de manipulación o almacenamien-
to (indicador de rendimiento).

Mantener registros com- O,F Posibilidad de que los pro- Exigir los documentos de transferencia de
pletos y exactos de los ductos transferidos del al- productos para los traslados de productos
productos almacenados y macén o al almacén no es- del almacén o al almacén. Dichos docu-
disponibles para su en- tén documentados o mentos estarán numerados y se investiga-
vío. registrados. rán los que falten.
Posibilidad de traslado de Medidas de seguridad física para impedir

productos del almacén o al la inclusión o eliminación no autorizada
almacén sin la autorización de productos en el almacén.
adecuada.
rendimiento).
Envío de productos
9. Obtener los productos y O Envío de productos o can- Comparar los productos y las cantidades
las cantidades adecuados tidades inadecuados por retirados del almacén con el pedido del
del almacén. parte del almacén. cliente y/o la solicitud de productos.
No se dispone de las canti- Mantener registros de inventario perma-

dades suficientes de pro- nentemente de productos. Notificar a ope-
ductos. raciones o a otros miembros adecuados
del personal en caso de que el inventario
caiga por debajo de un nivel predetermi-
nado.
10. Asegurar que el producto O Los materiales, contenedo- Utilizar materiales, contenedores o proce-
esté adecuadamente em- res o procedimientos de dimientos de embalaje diseñados tenien-
balado para reducir los embalaje son inadecuados do en cuenta la naturaleza del producto y
daños al mínimo. a la naturaleza del producto el método de envío.
o al método de envío.
11. Enviar únicamente pro- O Información procedente de Comparar los documentos de autoriza-
ductos cuyo envío haya procesamiento de pedidos ción de envío del producto con el pedido
sido autorizado. incompleta o inexacta. del cliente.
Inclusión en el envío al Comparar los productos con el pedido del

cliente de productos no pe- cliente antes del envío.
didos o no autorizados.
Supervisar las devoluciones o reclama-
ciones de facturas a los clientes relaciona-
dos con productos entregados y no pedi-
dos (indicador de rendimiento).

12. Entregar los productos de O Interrupción de los canales Identificar medios de envío alternativos.
la manera más eficiente. de envío normales.
Documentos de envío im- Revisar que los documentos de envío es-

precisos o incompletos. tén completos y comparar su exactitud
con el pedido del cliente antes del envío.
Utilización de métodos de Revisar periódicamente las alternativas

envío ineficaces. de envío e identificar la más eficaz.
13. Garantizar la documenta- O, F Inclusión de información Comparar, antes del envío de la informa-
ción exacta de todas las incorrecta en los documen- ción, el documento de envío y la informa-
expediciones y el envío tos de envío. ción del pedido del cliente.
puntual de la misma a
cuentas a cobrar. Verificar independientemente, antes del
envío, la información del documento de
envío.
Pérdida de los documentos Prenumerar los documentos de envío e in-

de envío. vestigar los que falten.
14. Asegurar el envío puntual O Posible pérdida del pedido Prenumerar los documentos de pedido y
del pedido del cliente. o de la documentación de envío; investigar los que falten.
envío.
Actividad: MARKETING Y VENTAS

Gestión de las actividades
de marketing
1. Diseñar las estrategias de O,C Información inadecuada Contratar personal de marketing con ex-
marketing teniendo en sobre los factores que pue- periencia en el sector de la entidad.
cuenta los factores de den influir en la estrategia
competencia, legislati- de marketing de la entidad. Promocionar la pertenencia activa a aso-
vos, de entorno comercial ciaciones industriales, comerciales o pro-
y de otra índole que pue- fesionales.
dan influir en las activi-
dades de marketing de la Supervisar la nueva legislación y la nor-
entidad, así como los mativa que pueda afectar a la entidad.
cambios potenciales en
dichos factores. Realizar investigaciones de mercado y su-
pervisar y analizar las tendencias econó-
micas, de los clientes y del sector.
2. Identificar a los clientes O Información imprecisa, Realizar investigaciones de mercado.

potenciales y reales y impuntual o no disponible
desarrollar estrategias de sobre establecimiento de Evaluar las estrategias de precios en rela-
marketing para influir en precios, productos, clientes ción con los productos y el estable-
ellos con el fin de que reales o potenciales, publi- cimiento de precios de la competencia.
compren los productos o cidad y promoción.
servicios de la entidad. Evaluar la eficacia de la publicidad y la
promoción (indicador de comportamien-
to).
Comunicación por el personal de I+D

(tecnología) de las prestaciones de los
productos, las mejoras o los nuevos pro-
ductos que se vayan desarrollando.
3. Mantener y asegurar la o Número limitado de distri- Identificar y evaluar acuerdos de distribu-

entrega de productos a los buidores adecuados. ción alternativos.
clientes en el momento
oportuno y con el menor Deficiente rendimiento de Entregar a los distribuidores información
coste de distribución po- los distribuidores. adecuada sobre los clientes para garanti-
sible. zar una entrega eficiente.
Supervisar el rendimiento de los distribui-

dores en el contexto de la estrategia glo-
bal de marketing de la entidad.

4. Analizar las necesidades O Ausencia o inadecuada in- Realizar investigaciones de mercado, in-
de productos del merca- formación relacionada con cluyendo la existencia de productos com-
do, incluida la introduc- productos competidores o petidores, productos en desarrollo y pre-
ción de nuevos productos con nuevos productos po- ferencias de los clientes.
y la continuación, modi- tenciales.
ficación o retiro de los Promover la pertenencia activa a asocia-
productos existentes. ciones industriales, comerciales o profe-
sionales.
Productos obsoletos. Realizar investigaciones de mercado cen-

trándose en las innovaciones tecnológicas
de la competencia y en el grado de acep-
tación de los clientes o las preferencias de
éstos.
Ausencia de demanda del Supervisar la tendencia de las ventas de

producto. los productos realizadas por la entidad y
el sector.
Evaluar la eficacia de la publicidad y la

promoción.
Realizar investigaciones de mercado.
Ausencia de información Comunicar las necesidades de informa-

sobre márgenes de benefi- ción a contabilidad, al departamento de
cios y/o precios de venta. sistemas de información de gestión y a los
demás miembros del personal que corres-
ponda.
Supervisar los márgenes de beneficio y

los precios de venta para encontrar seña-
les de presiones de precios competitivos.
Gestión de las actividades de venta
5. Implantar estrategias de O Desconocimiento de las es- Comunicar las estrategias de marketing al

marketing. trategias de marketing por personal de ventas.
parte del personal de ven-
tas.
El personal de ventas no si- Establecer cupos de ventas, comisiones y

gue las estrategias de mar- otras compensaciones económicas o bien
keting. otros criterios de rendimiento, de tal mo-
do que las consecuencias de la falta de
puesta en práctica de las estrategias de

marketing sean unas evaluaciones del
rendimiento y unas compensaciones infe-
riores a la media y que la puesta en prác-
tica positiva de estrategias tenga como
consecuencia unas mayores compensa-
ciones y un mayor reconocimiento dentro
de la entidad.
6. Cubrir o superar eficien- O Desconocimiento de los Comunicar por parte del personal de mar-
temente los objetivos de clientes potenciales por keting al de ventas de los resultados de las
venta. parte del personal de ven- investigaciones de mercado.
tas.
Falta de conocimiento de Proporcionar formación para un buen co-

las características o venta- nocimiento de los productos.
jas de los productos por
parte del personal de ven- Contratar personal de venta cualificado y
tas. experimentado.
Información incompleta o Mantener un sistema de información so-

imprecisa sobre clientes. bre clientes completo, incluyendo nom-
bre, dirección, número de teléfono, con-
tacto, tamaño, ubicación, historial de
pedidos anteriores, planes de ampliación
o modificación de la actividad o cuanta
información adicional pueda ser útil para
comercializar los productos o servicios de
la entidad.
Verificar periódicamente la exactitud de

la información sobre clientes.
Deficiente rendimiento del Contratar personal de ventas cualificado y

personal de ventas. experimentado.
Organizar al personal de ventas y estable-

cer áreas de venta de la manera más eficaz
posible.
7. Asegurar la salida de to- O Pérdida de los pedidos de Prenumerar los pedidos de venta e inves-
dos los pedidos de venta ventas. tigar los documentos que falten.
sin demoras en la entrega.
Actividad: SERVICIO AL CLIENTE

Proporcionar servicio al cliente
1. Atender las peticiones de O Sistemas de información Mantener una información sobre produc-
información del cliente inadecuados. tos y clientes adecuada y puntual.
de manera expeditiva y
eficaz. Personal carente de forma- Proporcionar formación inicial y periódi-
ción. ca al personal sobre productos y servicio
al cliente.
Ofrecer una imagen favorable a los clien-

tes por parte de los representantes de ser-
vicio al cliente y conocimiento de los pro-
ductos por parte de éstos.
Deficiente organización Organizar el departamento de servicio al

del departamento de servi- cliente de manera eficaz (por ejemplo, por
ció al cliente. líneas de productos, áreas geográficas,
etc.)
2. Cubrir las necesidades de O Desconocimiento de los Comprensión por parte de los repre-
servicio al cliente con el objetivos de ventas y mar- sentantes de servicio al cliente de los ob-
fin de hacer avanzar los keting. jetivos comunes a marketing, ventas y
objetivos de ventas y servicio al cliente.
marketing.
Instalación
3. Realizar las instalaciones O Personal carente de forma- Dar a los instaladores formación inicial y
autorizadas de manera ción. periódica sobre las técnicas de instalación
correcta, eficaz y puntual. y características de los productos.
Supervisar las quejas de los clientes rela-

cionadas con la instalación de los produc-
tos (indicador de rendimiento)
Falta de disponibilidad de Coordinar las instalaciones programadas

productos. con el programa de producción de produc-
tos y el calendario de entregas de envíos.
Información sobre clientes Comparar los documentos de autoriza-

inexacta o no disponible. ción de instalación con los pedidos de los
clientes a fin de verificar la exactitud de la
información y revisar dichos documentos
para comprobar que son completos.
Actividad: SERVICIO AL CLIENTE

Prenumerar los documentos de autoriza-
ción de instalación e investigar los que
falten.
Falta de disponibilidad de Programar las instalaciones y la utiliza-

personal de servicio. ción del personal para minimizar costes.
Dar servicio de garantía
4. Asegurar que las normas O Información de marketing Asegurarse de que al establecer las garan-
sobre garantías están en imprecisa. tías se tiene en cuenta la información de
línea con las estrategias mercado desarrollada por marketing.
de marketing y financie-
ras.
5. Investigar y dar respuesta O Personal insuficiente. Prever las necesidades de personal cuali-
a las solicitudes de servi- ficado.
cio de manera puntual y
de acuerdo con las garan- Supervisar la adecuación del personal, las
tías. horas extras y las cargas de trabajo.
Cambios no comunicados Comunicar al personal adecuado los cam-

en las normas sobre garan- bios en las normas sobre garantía de pro-
tías, ductos.
Proporcionar servicio
de postgarantía
6. Utilizar por parte de los O Información no disponible Actualizar diariamente en los sistemas de
representantes de servi- o imprecisa. proceso de pedidos la información sobre
cio al cliente información establecimiento de precios.
actualizada sobre estable-
cimiento de precios y de Proporcionar a los representantes de ser-
otra índole relativa a los vicio al cliente acceso a los sistemas de
productos. proceso de pedidos.
7. Investigar y dar respuesta o Número insuficiente de re- Mantener niveles de personal adecuados
a las peticiones de servi- presentantes de servicio al y organizar el departamento de servicio al
cio del cliente de la mane- cliente o de personal de cliente de la manera más eficaz.
ra más eficaz y con pun- servicio.
tualidad.
Personal de servicio inade- Formar adecuadamente al personal.
cuadamente formado.
Actividad: APROVISIONAMIENTOS
Selección de suministradores
1. Identificar y contratar O Seguimiento inadecuado Investigar y actualizar periódicamente las

con suministradores ca- de los suministradores, in- capacidades del suministrador en relación
paces de cubrir las nece- cluida la reclasificación pe- con la calidad y capacidad de producción,
sidades de la entidad. riódica de los existentes, en los precios (incluidos los descuentos por
relación con su capacidad volumen o por pronto pago y las condi-
para cumplir: ciones de pago), las condiciones de plazo
de espera de los pedidos, la satisfacción
• Las especificaciones actual y anterior de los clientes, la situa-
técnicas. ción financiera, la estabilidad de la direc-
• Las cantidades pedidas. ción, las posibles limitaciones legales al
• El precio. suministro de los materiales necesarios y
• Las fechas de entrega y los litigios pendientes.
tiempo de espera.
• El servicio Actualizar periódicamente la información
sobre suministradores basándose en su
actuación en relación con el cumplimien-
to de los términos y condiciones de los
contratos o pedidos de compra (por ejem-
plo, entrega puntual de mercancías acep-
tables, corrección de errores o problemas
de servicio).
Revisar adecuadamente los pedidos de

compra.

relacionados con materiales no disponi-
bles y con las características de los mate-
riales (indicador de rendimiento).
Supervisar la frecuencia de las compras

devueltas (indicador de rendimiento).
Desarrollar datos sobre suministradores

alternativos a los utilizados normalmente
y volver a evaluar periódicamente las de-
cisiones de selección de suministradores.
Establecer procedimientos tanto para que

los suministradores notifiquen los proble-
mas potenciales de cumplimiento como
para su investigación y seguimiento ade-
cuado.

2. Comprar mercancías úni- O, C Información no disponible Mantener información actualizada sobre
camente a suministrado- o imprecisa sobre actos los suministradores.
res cualificados y de fraudulentos u otras activi-
acuerdo con las normas, dades inadecuadas de los Revisar y aprobar los pedidos de compra.
reglamentos y contratos suministradores.
aplicables en el sector. Instituir y supervisar un código de con-
ducta.
Considerar los medios para simplificar

los procedimientos de investigación de
suministradores.
3. Asegurar el adecuado su- O Insuficiente comunicación Comunicar puntualmente al departamen-

ministro de materiales. de las necesidades de mate- to de compras las necesidades de materia-
riales. les.
Incapacidad del suminis- Utilizar contratos de futuro.

trador para proporcionar
las cantidades necesarias Identificar suministradores alternativos.
debido a la existencia de
pedidos prioritarios o a la Utilizar el análisis de necesidades a largo
interrupción de sus propios plazo.
suministros.
Compras
4. Pedir solamente mercan- O El departamento de pro- Revisar las especificaciones existentes y

cías que cubran las condi- ducción no especifica corregirlas a través del personal técnico.
ciones de calidad estable- apropiadamente sus reque-
cidas. rimientos. Supervisar y analizar los problemas de
producción relacionados con las corres-
pondientes especificaciones (indicador de
rendimiento); entre los ejemplos de indi-
cadores de rendimiento tenemos la com-
paración de los datos del periodo corrien-
te relativos a interrupciones y reducciones
del ritmo de producción, pedidos urgen-
tes, piezas defectuosas y variaciones en el
precio y las cantidades de los materiales,
con los datos del período anterior, los da-
tos de competidores o del sector, los pre-
supuestos u otros objetivos preestableci-
dos.

Comunicar calidades y requerimientos de
producción al personal del departamento
de compras.
Revisar y aprobar adecuadamente los

contratos y pedidos de compra.
5. Pagar precios adecuados. O Información sobre precios Obtener periódicamente concurso de

anticuada o incompleta. ofertas para cada adquisición.
Establecer los volúmenes de compras,

mediante la determinación del consumo
total de materiales similares, y combinar
los pedidos para obtener el descuento por
cantidad.

compra.
Supervisar las variaciones en los precios

de materiales (indicador de rendimiento)
Utilizar contratos de cobertura o de futu-

ros o plazo.
6. Pedir las cantidades ade- O Información no disponible Mantener registros exactos del inventario
cuadas en el momento o inexacta sobre losniveles (inventario permanente).
oportuno o necesario. de existencias o las necesi-
dades de producción. Comparar los programas periódicos de
producción con la información sobre in-
ventario y otras necesidades de plazo de
entrega.

compra.
Utilizar previsiones.
Considerar la implantación de una filoso-

fía "just in time" o similar para la gestión
de inventarios y producción.
7. Mantener actualizada la O La información sobre pedi- Distribuir copias de los pedidos de com-
información sobre sumi- dos de compra emitidos ca- pra al personal correspondiente.
nistradores de manera rece de claridad o no se co-
completa y precisa con el munica en su totalidad.

fin de controlar los pedi- Falta de introducción pun- Prenumerar los pedidos de compra y veri-
dos de compra pendien- tual de los pedidos de com- ficar periódicamente su introducción en el
tes. pra en el sistema. sistema. Investigar los retrasos anormales
o injustificados en la introducción de da-
tos.
Recibir puntualmente las O Información no disponible Especificar el modo de envío y la fecha de

mercancías pedidas (ob- o inexacta sobre mercan- entrega en los pedidos de compra.
jetivo n° 2 de actividades cías pedidas y no recibidas.
de recepción). Prenumerar los pedidos de compra y rea-
lizar el seguimiento de los mismos.
Comparar la información de recepción de

productos con la información sobre pedi-
dos de compra y dar seguimiento a los pe-
didos pendientes.
Supervisar el comportamiento de los su-

ministradores en términos de puntualidad
en las entregas; hacer un seguimiento en
los casos de una actuación deficiente de
los mismos.
9. Registrar los pedidos de O,F Posible pérdida de pedidos Prenumerar los pedidos de compra y rea-
compra autorizados de de compra. lizar el seguimiento de los mismos.
manera completa y preci-
sa.
10. Impedir el uso no autori- O,F Normas internas y procedi- Prenumerar los pedidos de compra y rea-
zado de los pedidos de mientos inadecuados para lizar el seguimiento de los mismos.
compra. impedir un uso no autoriza-
do. Mantener la seguridad física de los pedi-
dos de compra.
Aprobar los pedidos de compra.
Notificar a los suministradores cuál es el

personal de la compañía autorizado para
aprobar los pedidos de compra.
Actividad: DESARROLLO DE TECNOLOGÍA

1. Identificar la tecnología O Ausencia de efectiva co- Comunicar de forma clara las necesidades
existente o desarrollar municación a desarrollo de y oportunidades a desarrollo de tecnolo-
otra nueva para cubrir las tecnología de las necesida- gía.
necesidades de nuevos des de productos o proce-
productos identificadas sos de producción. Identificar necesidades por los departa-
por marketing o los pro- mentos correspondientes.
cesos de producción o
gestión identificados por Carencia de capacidad téc- Contratar personal adecuadamente cuali-
otros departamentos de la nica del personal de des- ficado para cumplir sus responsabilida-
entidad. arrollo de tecnología para des.
identificar o desarrollar la
tecnología adecuada.
Mantener un elevado gra- O, C Falta de acceso de la direc- Conocer la literatura comercial, técnica e
do de conocimiento sobre ción a la información sobre industrial.
los actuales desarrollos desarrollos tecnológicos
tecnológicos que puedan actuales. Asistir a seminarios técnicos, conferen-
afectar a la entidad. cias, convenciones comerciales, exposi-
ciones y reuniones similares.
Resumir periódicamente los desarrollos

tecnológicos y distribuirlos al personal
correspondiente.
El personal de desarrollo Comunicar regularmente información,

de tecnología puede adqui- que incluya la naturaleza del programa,
rir o tener conocimientos situación, director, utilización prevista de
que podrían ser útiles para la tecnología y cualquier otra información
un programa de desarrollo pertinente relacionada con los programas
distinto de aquél en el que de investigación o desarrollo en marcha o
está colaborando. planeados.
3. Garantizar que la tecno- C La tecnología puede no es- Diseñar en la medida de lo posible las ca-
logía desarrollada no in- tar adecuadamente defini- racterísticas, planes, dibujos y esquemas
fringe patentes existen- da. de tecnología u otros datos técnicos en las
tes. etapas de concepción o iniciales de des-
arrollo y modificación de los mismos se-
gún sea necesario a lo largo del proyecto.
Pueden no identificarse las Comunicar los datos técnicos al asesor ju-

correspondientes patentes. rídico para su utilización cuando realiza la
labor de investigación de patentes.
Actividad: DESARROLLO DE TECNOLOGÍA

Pueden no tenerse en cuen- Revisar adecuadamente y aprobar por la
ta las patentes existentes. dirección de todos los proyectos de tecno-
logía.
4. Dedicar recursos a aque- O Los proyectos de desairo- Revisary aprobar adecuadamente los pro-
llos proyectos en los que llo tecnológico no respal- yectos de tecnología,
se prevea el máximo ren- dan los objetivos o estrate-
dimiento esperado para la gias de la entidad conside-
entidad. rada como un todo.
Desconocimiento de las Comunicar de forma clara y completa las

prioridades de los proyec- prioridades por parte de la dirección
tos por parte de la dirección
de desarrollo de tecnolo-
gía.
Actividad: RECURSOS HUMANOS

1. Cumplir con las leyes y C Desconocimiento del per- Exigir al personal de supervisión y ges-
reglamentos que sean sonal de gestión o supervi- tión que asista a cursos de formación so-
aplicables y con las polí- sión de la legislación y nor- bre legislación y normativa laborales y
ticas de la empresa. mativa laboral y de las sobre las políticas de personal de la em-
normas internas. presa.
Ausencia de cumplimiento Revisar periódicamente las normas y pro-

por el personal de gestión o cedimientos internos por el asesor jurídi-
supervisión de la legisla- co para dar cumplimiento a la legislación
ción normativa laboral o de y normativa aplicables.
las normas internas.
Estimular al personal a que informe sobre
las posibles infracciones tanto de las leyes
y regulaciones como de las normas inter-
nas.
Adoptar las medidas disciplinarias ade-

cuadas por la infracción de la legislación
y normativa laboral.
2. Llevar registros que acre- C Desconocimiento por parte Formar periódicamente al personal de re-
diten el cumplimiento de del personal de recursos cursos humanos en la legislación y nor-
las leyes y normas aplica- humanos de los registros mativa laboral.
bles. que han de guardarse para
acreditar el cumplimiento Formación y experiencia adecuadas del
de las leyes y normas apli- personal de recursos humanos antes de su
cables. contratación.
Pérdida o destrucción pre- Archivar y guardar los registros sobre re-

matura de los registros. cursos humanos de acuerdo con las leyes,
los reglamentos y la mejor práctica em-
presarial.
Utilizar libros, listas de comprobación y

demás herramientas de gestión adecuadas
para garantizar la recepción y custodia de
los registros adecuados.
Restringir al personal autorizado el acce-

so a los registros sobre recursos humanos.
Revisar y aprobar todos los archivos se-

leccionados para su eliminación.

Adquisición y manteni- Revisar la validez, exactitud y exhausti vi-
miento de información in- dad de la información recibida y manteni-
exacta o incompleta. da en los registros.
Omisión de las exigencias Adoptar las medidas disciplinarias o de

sobre mantenimiento de re- otro tipo cuando se omitan las exigencias
gistros. legales o las normas internas.
3. Mantener la confidencia- O,C Inexistencia de medidas de Restringir el acceso a los registros de re-
lidad de la información seguridad adecuadas sobre cursos humanos al personal autorizado.
de recursos humanos. los registros de recursos
humanos. Exigir códigos de seguridad adecuados
para acceder a los registros confidenciales
que se guarden en medios electrónicos;
cambiar frecuentemente dichos códigos
de acceso.
Controlar al personal que accede a los re-

gistros de recursos humanos.
Divulgación de informa- Adoptar medidas disciplinarias con el

ción confidencial por parte personal que proporcione información
del personal de recursos confidencial a personas no autorizadas.
humanos.
Restringir el acceso a la información con-
fidencial a aquellas personas que la nece-
siten para cumplir con sus responsabilida-
des.
4. Mantener la rotación de O La retribución y las presta- Revisar y evaluar regularmente la retribu-

personas a un nivel acepciones sociales son inferio- ción y las prestaciones sociales.
table. res a las ofrecidos por otras
compañías. Comparar la retribución y las prestacio-
nes con las ofrecidas por otras compañías
del sector y en el área geográfica local.
Obtener de los empleados información

sobre sus necesidades.
Los empleados pueden Evaluar el rendimiento de forma normali-

pensar que sus esfuerzos zada y periódica y asesorar sobre el des-
no son tenidos en cuenta o arrollo profesional.
no son apreciados.
Establecer programas de retribuciones
que reflejen el rendimiento anterior y las
posibilidades de desarrollo futuro.

Planificación y contratación
de personal
5. Contratar el personal ne- O Posible contratación de Mantener prácticas adecuadas para la

cesario y con la cualifica- personal excesiva o escasa- identificación, examen y contratación de
ción adecuada. mente cualificado. personal.
Mantener descripciones adecuadas de los

puestos de trabajo y criterios de contrata-
ción que puedan utilizarse para evaluar y
comparar las cualidades de los candidatos
con las exigencias de los trabajos.
Ausencia de conocimiento Investigar y revisar los candidatos poten-

de los recursos humanos ciales existentes dentro de la entidad antes
actuales de la entidad. de considerar a candidatos externos.
Ausencia de candidatos Identificar y mantener al personal cualifi-

cualificados. cado que desarrolla en la actualidad otras
funciones laborales.
Establecer redes y fuentes de candidatos

fuera del área geográfica local.
La entidad puede descono- Actualizar regularmente las necesidades

cer sus necesidades futuras futuras de personal como parte de la pla-
de personal. nificación empresarial.
Las organizaciones sindi- Identificar de manera continua las deman-

cales pueden convocar das sindicales y adoptar medidas razona-
huelgas o reducciones del bles para evitar conflictos laborales.
ritmo de trabajo.
Identificar fuentes viables y alternativas
de mano de obra en caso de conflicto la-
boral.
6. Garantizar que los em- O Las necesidades de forma- Pedir opiniones e ideas a la dirección, su-
pleados reciben una for- ción pueden no estar ade- pervisores y empleados para identificar
mación adecuada para cuadamente identificadas. las necesidades de formación.
cumplir eficaz y eficien-
temente con sus respon- Supervisar los problemas de rendimiento
sabilidades. o de otro tipo que puedan ser indicativos
de deficiencias de formación.

7. Garantizar que el perso- O No se evalúa el personal de Evaluar periódicamente el rendimiento y
nal recibe información manera regular o puntual. asesorar sobre la carrera profesional de
adecuada sobre su rendi- los empleados.
miento y el desarrollo de
su carrera.
Actividad: GESTIÓN DE LA EMPRESA

1. Diseñar e implantar las O Información incompleta o Desarrollar un plan estratégico que incor-
estrategias que permitan imprecisa acerca de los pore la visión de la alta dirección para la
alcanzar los objetivos de cambios que afectan a la empresa.
la entidad considerada en entidad, tales como compe-
su conjunto. tencia, productos, prefe- Evaluar periódicamente la orientación y
rencias de los clientes o las prioridades establecidas por la alta di-
cambios jurídicos o norma- rección para comprobar que siguen sien-
tivos. do válidas.
Transmitir información sobre competido-

res, productos, clientes y cambios jurídi-
cos y normativos a todos los departamen-
tos correspondientes.
Establecer comunicación descendente,

ascendente y a lo largo y ancho de la or-
ganización para permitir la pronta identi-
ficación y resolución de problemas que
impidan el logro de los objetivos estraté-
gicos.
Falta de comprensión de Identificar y analizar los factores críticos

los factores críticos de éxi- de éxito desde el punto de vista sectorial
to. y de la entidad.
Recursos insuficientes o Identificar y mantener el adecuado nivel

inadecuados de recursos internos y garantizar la dispo-
nibilidad de recursos externos.
Atención inadecuada a las Comunicación eficaz con accionistas, in-

relaciones con los accio- versores o terceros externos a la entidad.
nistas, inversores o terce-
ros externos a la entidad.
2. Mantener flujos de infor- O,F La información es dema- Establecer un sistema de informes de di-
mación que permitan la siado específica para ser rección ejecutiva centrado en informa-
puntual comunicación de utilizable. ción clave para la gestión de la empresa.
la información interna y
externa precisa al perso- Sistemas anticuados. Revisar regularmente los flujos de infor-
nal correspondiente. mación para garantizar que cumplen las
necesidades cambiantes de la empresa.
Información inexacta o im- Implantar flujos de información que ga-

puntual. ranticen la exactitud y puntualidad de la
información interna y externa.
Actividad: GESTIÓN DE LA EMPRESA

3. Garantizar que el perso- O, C Carencia de un código de Implantar y controlar el cumplimiento de
nal de la entidad conoce conducta. un código de conducta.
el comportamiento y la
conducta aceptables. Los empleados no entien- Revisar las exigencias del código de con-
den el código de conducta. ducta con todos los empleados nuevos y,
periódicamente, con todos los empleados.
Los empleados hacen caso Adoptar medidas disciplinarias adecua-

omiso del código de con- das por infracciones del código de con-
ducta. ducta con el fin de comunicar claramente
que no serán toleradas.
Empleados deshonestos. Las normas y procedimientos de contrata-

ción exigen la comprobación de las refe-
rencias de los candidatos.
Los empleados que infrinjan la ley serán

sometidos a la correspondiente acción
disciplinaria y se informará a las autorida-
des para su procesamiento.
Actividad: GESTIÓN DE LAS RELACIONES CON TERCEROS

1. Intentar influir legalmen- O Falta de comprensión de Emplear a personal con experiencia en

te en las políticas y nor- las políticas gubernamen- asuntos de la administración pública en la
mas gubernamentales tales. medida en que se refieran a la entidad.
que tengan una inciden-
cia en los objetivos de la Supervisar y comunicar la información
entidad. referente a normas y regulaciones y de
otro tipo relacionadas con la administra-
ción pública.
Hacerse miembro de organizaciones del

sector o comerciales que influyan en los
organismos legislativos o de control.
2. Participar activamente en O La participación depende Crear la imagen de líder del sector.

organismos que elaboren de un nombramiento.
normas.
Número limitado de car- Asegurarse de que los directivos de la en-
gos. tidad son portavoces visibles en temas
que afectan a la misma.
3. Participar en actividades O Carencia de información y Estimular al personal a apoyar causas so-

sociales que mejoren la conocimientos sobre temas cíales,
imagen pública de la em- sociales.
presa.
Actividad: SERVICIOS ADMINISTRATIVOS

1. Prestar puntualmente O Falta o exceso de personal. Realizar estimaciones previas sobre la

unos servicios de calidad utilización de los servicios administrati-
al menor coste. vos para garantizar unos adecuados nive-
les de personal.
La planificación no incor- En su caso, estimar la conveniencia de

pora los objetivos de los utilizar empresas de servicios externas en
servicios administrativos. lugar de proporcionar los servicios inter-
namente.
Sistemas de contabilidad Determinar los costes con exactitud y dis-

inadecuados para asignar tribuirlos de manera equitativa entre los
costes. departamentos.
Actividad: TECNOLOGÍA DE LA INFORMACIÓN

1. Utilizar tecnología infor- O, F, C Interrelación insuficiente Desarrollar un plan estratégico de TI que

mática (TI) para llevar a entre TI, gestión financiera optimice la inversión de la entidad consi-
cabo los planes estratégi- y operativa para el desarro- derada en su conjunto y su utilización y
cos de la entidad. llo de planes estratégicos. garantizar que las iniciativas sobre TI dan
apoyo a los planes a largo plazo de la en-
tidad.
Hacer participar a los usuarios en el des-

arrollo y mantenimiento del plan estraté-
gico de TI.
Utilizar un comité directivo de TI.
2. Obtener, procesar y man- O, F, C Sistemas no diseñados con Crear una fase de desarrollo de sistemas
tener la información de arreglo a las necesidades que incluya los siguientes aspectos o fa-
manera completa y exac- del usuario o no adecuada- ses clave:
ta y entregársela a las per- mente implementados.
sonas correspondientes • Petición de diseño de sistemas.
para permitirles cumplir • Estudio de viabilidad.
sus responsabilidades. • Diseño del sistema general.
• Especificaciones detalladas de siste-
mas.
• Desarrollo y prueba de programas.
• Prueba del sistema.
• Conversión.
• Aceptación y aprobación del sistema.
Utilizar procedimientos de gestión de

proyectos para asegurar la adecuada ges-
tión de las actividades de desarrollo de
sistemas.
Hacer participar a los usuarios en su revi-

sión y aprobación con el fin de garantizar
que los sistemas se encuentren diseñados
para cubrir las necesidades del usuario.
Incorrecta implantación de Utilizar procedimientos que controlen un

las modificaciones de sis- cambio de sistemas y programas, inclu-
temas y programas. yendo:
• Solicitudes de cambio de sistemas /pro-

gramas debidamente aprobadas.
• Seguimiento de los cambios aprobados
a lo largo del proceso de cambio.

• Revisión y aprobación por los usuarios
del diseño definitivo de los cambios.
• Todos los cambios —incluidos los ini-
ciados en el departamento de procesa-
miento de datos— deben estar sujetos a
las correspondientes pruebas, revisión
y aprobación de los resultados de éstas
por parte del usuario y de la dirección
de sistemas de información.
• Aprobación por el solicitante de la im-
plementación de los cambios someti-
dos a prueba.
• Notificación a los departamentos de
procesamiento de datos afectados por
los cambios.
• Preparar y actualizar la documentación
(tal como libros de gestión de operacio-
nes, manuales del usuario, descripcio-
nes de programas y descripción del sis-
tema).
Las operaciones informáti- Preparar y hacer cumplir un programa de

cas no utilizan los progra- tareas de producción: documentar y apro-
mas, archivos y procedi- bar las desviaciones del programa.
mientos adecuados.
Establecer procedimientos adecuados de
ejecución de las tareas para:
• El tratamiento de procesos batch (por

lotes).
• La carga en línea de sistemas de aplica-
ciones.
• La carga de software de sistemas.
Utilizar el procesamiento de datos y pará-

metros de control acordes con los proce-
dimientos adecuados.
Solicitar aprobación escrita, incluyendo

la participación del usuario cuando co-
rresponda, cuando no se utilicen los pro-
cedimientos de ejecución aprobados.
Establecer procedimientos adecuados pa-

ra identificar, comunicar y aprobar las ac-
ciones del operador, tales como:

• Carga inicial de software de sistema y
aplicaciones.
• Averías del sistema.
• Reinicio y recuperación.
• Situaciones de emergencia.
• Cualquier otra situación inusual.
Los archivos de datos están Establecer una norma de seguridad que

sujetos a acceso no autori- desarrolle el compromiso de la alta direc-
zado. ción con la seguridad de la información;
demostrar ese compromiso con las medi-
das oportunas.
Establecer normas, procedimientos y di-

rectivas que concreten la política de segu-
ridad en reglas y criterios de cumplimien-
to; esas normas y procedimientos se
ocuparán normalmente de cuestiones ta-
les como:
• El esquema de clasificación de infor-

mación correspondiente a la informa-
ción almacenada en ordenadores y fue-
ra de los mismos, incluyendo
clasificación por materias (por ejem-
plo, investigación, contabilidad, mar-
keting) y los niveles de seguridad (por
ejemplo, máximo secreto, confidencia-
lidad, sólo uso interno, sin clasificar).
• Los datos pertenecientes a cada clase
de información y las personas o funcio-
nes autorizadas a utilizarlos, así como
los requisitos de control y protección.
• Los tipos y clases de activos sensibles
y, para cada uno de ellos:
- Amenazas potenciales.
- Necesidades de protección.
- Responsabilidades de dirección, ad-
ministración de seguridad, propieta-
rio de recursos (datos, programas o
activos), operaciones informáticas,
usuarios de sistemas y auditores in-
ternos en relación con:
- La propiedad de recursos.

- Los procedimientos para conceder
acceso.
- Los procedimientos para estable-
cer los privilegios del usuario y de
acceso.
- Las autorizaciones necesarias.
- La supervisión de la seguridad.
- Las consecuencias del incumpli-
miento de las normas, las regla-
mentaciones y los procedimientos.
- El plan de implantación de la se-
guridad, en su caso.
Los programas están suje- Considerar el desarrollo de una evalua-

tos a cambios no autoriza- ción de los riesgos de seguridad de la in-
dos. formación.
Utilizar un paquete de software de seguri-

dad o control de acceso para mejorar la
protección de los cambios de datos y el
sistema y las librerías de programas.
Utilizar controles adecuados para el soft-

ware del sistema con el fin de garantizar
que se encuentra adecuadamente implan-
tado, mantenido y protegido frente a cam-
bios no autorizados.
Mantener una adecuada seguridad física

para el hardware y el software informáti-
cos, así como para la información almace-
nada en medios no informáticos.
3. Disponibilidad de los sis- O, F, C Falta de planificación de Establecer y mantener un compromiso

temas de información se- continuidad empresarial o por parte de la alta dirección en relación
gún sean necesarios. deficiencias en la misma. con las contingencias del negocio.
Desarrollar y mantener un plan de conti-

nuidad de las actividades.
Evaluar el impacto de los sistemas nuevos

o modificados sobre los procedimientos
de continuidad de las actividades.
Establecer medidas de procesamiento al-

ternativas.

Procedimientos deficientes Hacer regularmente copias de seguridad
para copias de seguridad y de los archivos de datos críticos, sistemas
recuperación de informa- y de las bibliotecas de programas y alma-
ción. cenarlos fuera de la instalación.
Inadecuada salvaguarda de Revisar regularmente la efectividad de los

recursos de TI. procedimientos de continuidad de las ac-
tividades.
Actividad: GESTIÓN DE RIESGOS (de accidente u otras pérdidas asegurables)

1. Impedir y reducir la posi- O Peligrosidad de ciertas ta- Identificar trabajos, actividades y lugares
bilidad de accidentes. reas, actividades o lugares. peligrosos.
Implantar normas, procedimientos o con-

troles para mejorar la seguridad de los
empleados.
Supervisar las prestaciones o las corres-

pondientes reclamaciones de seguros de
los empleados y comparar con las medias
del sector (indicador de rendimiento).
Identificar causas de accidentes e implan-

tar medidas de prevención adecuadas con
un coste eficaz.
Instalaciones de produc- Asegurarse de que los planes de inversión

ción anticuadas. de capital se ocupan de los objetivos de
seguridad.
Programas ineficaces de Proporcionar a todos los nuevos emplea-

formación sobre seguridad dos programas adecuados de seguridad y
para empleados. formación.
Proporcionar actualizaciones periódicas

de dichos programas a los empleados
existentes.
Deficiente o inadecuado Establecer un programa de mantenimien-

mantenimiento de los equi- to que garantice que el mantenimiento del
pos. equipo es adecuado. Investigar y dar so-
lución a los informes de los empleados
sobre mal funcionamiento de equipos.
Los empleados hacen caso Tomar las medidas disciplinarias adecua-

omiso de las normas o pro- das con los infractores de las normas o
cedimientos de seguridad. procedimientos de seguridad.
2. Garantizar el cumpli- Falta de conocimiento de Contratar a un asesor jurídico competente

miento de las leyes y nor- las leyes y normas vigen- para asesorar a la entidad sobre las exi-
mas en materia de seguri- tes. gencias de la legislación vigente. Asegu-
dad e higiene en el C rarse de que el asesor jurídico revisa perió-
trabajo. dicamente las normas y procedimientos
aplicables y las precauciones de seguridad.
Actividad: GESTIÓN DE RIESGOS (de accidente u otras pérdidas asegurables)

3. Reducir al mínimo las re- O Información inexacta, in- Asegurarse de que todos los accidentes o
clamaciones a los seguros suficiente o a destiempo demás incidentes que pueden dar lugar a
y los demás costes rela- sobre los costes relaciona- una reclamación al seguro se comunican
cionados con riesgos a la dos con riesgos, accidentes al personal adecuado.
vez que se mantiene un o incidentes que pueden
adecuado grado de cober- dar lugar a una reclama- Asegurarse de que los sistemas propor-
tura con el seguro. ción al seguro. cionan información sobre todos los costes
relacionados con los riesgos, incluyendo
primas de seguros, pérdidas autoasegura-
das, y con los costes del personal que los
gestiona y demás costes relacionados.
Asegurarse de que todos los riesgos im-

portantes ligados a todas las actividades
han sido identificados y adecuadamente
tratados; por ejemplo, responsabilidad de
productos, daños y lesiones, interrupción
de actividades y pérdida de personal cla-
ve.
Evaluar las coberturas de seguro y consi-

derar oportunidades para limitar los cos-
tes recurriendo al autoseguro, a compa-
ñías de seguros nacionales o situadas en el
extranjero o a otras técnicas.
Desconocimiento de las Contratar personal o asesores con forma-

técnicas de análisis del cos- ción y experiencia en gestión de riesgos.
te de gestión de riesgos.
Actividad: GESTIÓN DE LOS ASUNTOS LEGALES

Garantizar que la entidad C La dirección desconoce las Contratar a un asesor jurídico con expe-
cumple todas las leyes y exigencias jurídicas y nor- riencia en el sector.
normativas que le son mativas.
aplicables. Comunicación periódica entre el asesor
jurídico y la dirección sobre asuntos lega-
les y normativos.
Desconocimiento por el Revisar todos los contratos y acuerdos

asesor jurídico de todas las importantes por parte del asesor jurídico.
actividades que se llevan a
cabo en la entidad. Revisar los planes anuales de negocios de
las filiales, divisiones o unidades por par-
te del asesor jurídico.
Asistir a comités de dirección, visitas a

instalaciones de la entidad situadas fuera
de la sede social o ejecutiva o establecer
un adecuado flujo de información con la
dirección de las filiales, divisiones o uni-
dades por parte del asesor jurídico con el
fin de obtener una completa comprensión
de las actividades realizadas en su conjunto.
Fomentar la comunicación habitual entre

el asesor jurídico y los auditores internos
y externos, así como con el consejo de ad-
ministración y sus diversos comités.
Cambios legales y norma- Realizar el seguimiento de las nuevas le-

tivos. yes, reglamentos, sentencias y demás ju-
risprudencia que pudieran afectar a la en-
tidad por parte del asesor jurídico.
Garantizar que los con- El asesor jurídico no revisa Revisar y aprobar todos los contratos y
tratos y acuerdos no per- los contratos o acuerdos. acuerdos importantes por parte del asesor
judican los intereses de la jurídico.
entidad y suponen un de-
recho frente a terceros. Limitar el personal autorizado para firmar
contratos o acuerdos a los ejecutivos res-
ponsables situados en el adecuado nivel
de dirección.
3. Minimizar los costes de O Desconocimiento por parte Implantar programas de formación ade-
litigios y conciliaciones del personal no jurídico de cuados para el personal no jurídico cuya
en los tribunales. que de determinados actos
O
Actividad: GESTIÓN DE LOS ASUNTOS LEGALES

o circunstancias pueden actividad exige una comunicación perió-
surgir litigios. dica con el personal jurídico.
Incluir una cláusula en todos los contratos

y acuerdos mediante la que se exija el en-
vío de todas las notificaciones o corres-
pondencia legales al asesor jurídico.
Información o estimacio- Controlar los costes de los litigios actua-

nes imprecisas en relación les y anteriores.
con los costes de litigios o
conciliaciones previstas. Reunir información sobre conciliaciones
o fallos recientes en litigios similares.
Actividad: PLANIFICACIÓN
1. Desarrollar planes a corto O Desconocimiento de los Realizar la planificación teniendo como

y largo plazo acordes con objetivos globales de la en- base los objetivos globales de la entidad,
los objetivos de la enti- tidad.
dad. Comunicar los objetivos globales de la
entidad al personal adecuado que partici-
pe en el proceso de planificación.
Información insuficiente Hacerse miembro de asociaciones del

sobre oportunidades dispo- sector y comerciales.
nibles.
Asistir a seminarios y demás sesiones in-
formativas organizados por terceros ex-
ternos a la entidad.
Contratar una dirección experimentada y

competente.
2. Sistemas de información a Establecer sistemas de información que

Desarrollar planes en un O la dirección inadecuados. presenten la información relativa a la pla-
formato que permita a la nificación en el mismo formato que se uti-
dirección gestionar la liza para la información histórica.
empresa y medir y eva-
luar la evolución del plan Ineficacia de los formatos Supervisar y evaluar la eficacia de la pla-
a su debido tiempo. de planificación para pro- nificación y mejorar los formularios de
porcionar las referencias planificación para resaltar los factores crí-
necesarias con las que se ticos de éxito.
puedan medir los resulta-
dos.
Sistemas de planificación Establecer los objetivos globales de la en-

3. inadecuados y obsoletos. tidad antes de desarrollar planes concre-
Desarrollar planes utili- O tos. Al asignar recursos deberá estable-
zando un enfoque ade- cerse un orden de prioridades acorde con
cuado. los objetivos globales.
Desarrollar y mantener sistemas de plani-

ficación y comunicárselos a todos los de-
partamentos pertinentes. Llevar a cabo
sesiones de formación cuando correspon-
da.
Recopilar información para los planes de

acuerdo con el enfoque comercial utiliza-
do para gestionar la empresa.
Actividad: PLANIFICACIÓN

Desarrollar y controlar el cumplimiento
de un calendario para reunir, analizar y
consolidar la información obtenida de la
planificación.
4. Desarrollar planes que O Información e hipótesis in- Revisar y probar la validez de las hipóte-
sean realistas. correctas. sis.
Considerar todas las actividades de apoyo

operativo cuando se desarrollen los pla-
nes.
Hacer que el personal adecuado participe

en el desarrollo de los planes.
Actividad: PROCESO DE CUENTAS A PAGAR

1. Registrar exacta y opor- O, F Falta de documentación o Prenumerar los pedidos de compras y los
tunamente las facturas de información. albaranes de entrada.
todas las compras acepta-
das, que han sido autori- Analizar y comparar las fechas, la infor-
zadas y sólo las de dichas mación de los pedidos de compra y los al-
compras. baranes de entrada y hacer seguimiento
de la información que falte o que sea con-
tradictoria.
Investigar los pedidos de compra pen-

dientes, los documentos de recepción y
las facturas no confrontadas y resolver las
partidas que falten, estén duplicadas o que
no coincidan por personas independientes
de las funciones de compras y recepción.
Entrada de datos inexacta. Utilizar totales de control o verificar ele-

mento por elemento.
Cuentas a pagar no válidas Limitar la capacidad para modificar da-

o fraudulentamente (o tos.
erróneamente) creadas pa-
ra compras no autorizadas Reconciliar los estados de cuentas recibi-
o inexistentes. das de los suministradores con las parti-
das de cuentas a pagar.
2. Identificar los descuentos O Recepción de documentos Investigar la información sin cruzar antes
disponibles. inexistente o fuera de pla- de la fecha de vencimiento.
zo.
Llevar un registro de cuentas a pagar por
fechas de descuento.
Registrar con exactitud F Falta de documentos o in- Prenumerar y controlar las órdenes de en-
las devoluciones y bonifi- formación. vío de los bienes devueltos.
caciones de todos los cré-
ditos autorizados y sólo Comparar las órdenes de envío de mer-
de dichos créditos. cancías devueltas con las notas de crédito
de los suministradores.
Investigar los pedidos de compra pen-

dientes, los documentos de recepción y
las facturas no confrontadas y resolver las
partidas que falten, estén duplicadas o que
no coincidan por personas independientes
de las funciones de compras y recepción.
Actividad: PROCESO DE CUENTAS A PAGAR

Revisar la correspondencia del proveedor
que autoriza las devoluciones y bonifica-
Entrada de datos inexacta. Reconciliar los registros de las cuentas a

pagar con los estados de cuentas obteni-
dos de los proveedores.
Utilizar totales de control o verificar par-

tida por partida.
4. Garantizar la integridad y O, F Entrada no autorizada de Reconciliar el libro auxiliar de cuentas a

la exactitud de las cuentas devoluciones no existen- pagar con las operaciones de compra y
a pagar. tes. desembolso de efectivo.
Adiciones no autorizadas a Resolver las diferencias entre el libro au-

cuentas a pagar. xiliar de cuentas a pagar y la cuenta de
control de las mismas.
5. Salvaguardar los regis- O, F Acceso no autorizado a los Restringir el acceso a las cuentas a pagar
tros de cuentas a pagar. registros y datos almacena- y a los archivos utilizados para procesar-
dos de cuentas a pagar. las.
Restringir el acceso a los instrumentos

mecánicos de firma de cheques y a las
planchas de firma.
Actividad: PROCESO DE CUENTAS A COBRAR

Facturar con exactitud y O Falta de documentación o Establecer condiciones de envío o con-

en los períodos que co- información incorrecta. tractuales normalizadas.
rrespondan todos los artí-
culos enviados. Comunicar las condiciones de envío o
contractuales no normalizadas al departa-
mento de cuentas a cobrar.
Verificar las condiciones de envío o con-

tractuales antes de procesar la factura.
Corte incorrecto de los en- Identificar los envíos como anteriores o

víos al cierre de un perío- posteriores al cierre de un período utili-
do. zando un registro de envíos y albaranes
previamente numerados.
Conciliar las mercancías enviadas y las

facturas.
2. Registrar con exactitud O, F Falta de documentos o in- Prenumerar los documentos de envío y
sólo las facturas cuyos formación incorrecta. las facturas de venta.
envíos estén autorizados.
Analizar y comparar pedidos, documen-
tos de envío, facturas e información del
cliente y seguir la información que falte o
que sea incoherente.
Confirmar periódicamente los saldos de

los clientes e investigar las diferencias en-
contradas por personas ajenas a la función
de facturación.
Revisar las reclamaciones de clientes re-

lacionadas con facturas o saldos incorrec-
tos (indicador de rendimiento).
3. Registrar con exactitud O, F Falta de documentación o Autorizar las notas de abono por personas
sólo todas las devolucio- información incorrecta. ajenas a la función de cuentas a cobrar.
nes autorizadas de ven-
tas. Prenumerar las notas de abono y docu-
mentos de recepción.
Comparar las notas de abono y los docu-

mentos de recepción y resolver las parti-
das no coincidentes, por personas ajenas
a la función de cuentas a cobrar.
Actividad: PROCESO DE CUENTAS A COBRAR

Entrada de datos inexacta. Confirmar periódicamente los saldos de
los clientes e investigar las diferencias en-
contradas, por personas ajenas a la fun-
ción de facturación.
4. Garantizar permanente- O, F Introducción no autorizada Revisar la correspondencia que autoriza

mente la exactitud y tota- de devoluciones, bonifica- las devoluciones y bonificaciones.
lidad de las cuentas a co- ciones y cancelaciones no
brar. existentes. Conciliar el libro auxiliar de cuentas a co-
brar con las operaciones de venta y cobro
de clientes.
Resolver las diferencias existentes entre

el libro auxiliar de cuentas a cobrar y la
cuenta de control de las mismas.
5. Salvaguardar los regis- O,F Acceso no autorizado a los Limitar el acceso a los archivos de cuen-
tros de cuentas a cobrar. registros y datos almacena- tas a cobrar y a los datos utilizados para
dos de cuentas a cobrar. procesarlas.
Actividad: PROCESO DE LA TESORERÍA

Presupuestar con preci- O Información inexacta, a Los sistemas de información identifican

sión los saldos de tesore- destiempo o no disponible todas las fuentes de tesorería y las fechas
ría para maximizar la sobre flujos de entrada y de vencimiento de los cobros o en las que
rentabilidad de las in- salida de tesorería. se espera hacerlos efectivos (estas fuentes
versiones a corto plazo y incluyen cobros de cuentas a cobrar, de-
evitar déficit de tesorería. pósitos de clientes, venta de activos, prés-
tamos y otras fuentes de tesorería).
Los sistemas de información identifican

las necesidades de tesorería y fechas en
que los fondos son necesarios (tales nece-
sidades incluyen cuentas a pagar, pago de
préstamos, nóminas, dividendos y otras
necesidades de fondos).
Identificar todas las fuentes internas de

información.
Comparar la información utilizada para

preparar el presupuesto de tesorería con
los registros soporte o con la documenta-
ción soporte para verificar que la informa-
ción se controla internamente.
2. Garantizar que la finan- O Desconocimiento de fuen- Contratar personal experimentado en la

ciación necesaria está tes de financiación alterna- obtención de financiación para entidades
disponible en el caso de tivas. similares.
un déficit de tesorería.
Identificar asesores profesionales que
puedan prestar asistencia en la localiza-
ción de fuentes de financiación alternati-
vas y consultarles cuando proceda.
Falta de establecimiento o Establecer relaciones con fuentes de fi-

mantenimiento de relacio- nanciación antes de que ésta sea necesa-
nes adecuadas con las ria. Mantener relaciones adecuadas y ac-
fuentes de financiación. tualizadas para facilitar la obtención de
liquidez cuando surja la necesidad.
3. Optimizar la rentabilidad O Desconocimiento de las al- Contratar personal financiero experto en

de las inversiones tempo- ternativas de inversión. inversiones a corto plazo.
rales de tesorería.
Utilizar profesionales en asesoramiento
de inversiones.

4. Agilizar los cobros. O Posible retraso del depósi- Considerar la posibilidad de medidas del
to de los ingresos debido a tipo de "caja cerrada" mediante las que
la gestión interna de los los pagos se remitan a un apartado de co-
mismos. rreos y el banco recoge y deposita esos
envíos.
Retraso del pago por parte Factoring o descuento de cuentas a co-

de los clientes. brar.
Utilizar cartas de crédito bancario.
Ofrecer descuentos por pronto pago.
Establecer y hacer cumplir los procedi-

mientos relativos al cobro.
Analizar las cuentas a cobrar en busca de

saldos vencidos; implantar procedi-
mientos de cobros en fechas apropiadas.
Excesivos problemas de Establecer y hacer cumplir una norma so-

cobro de cuentas a cobrar. bre cuentas a cobrar que refleje un equili-
brio adecuado entre el riesgo de pérdida
del derecho de cobro y el volumen de ven-
tas.
5. Registrar con exactitud y O, F El dinero recibido se des- Asignar la apertura del correo a una per-
totalidad los ingresos de vía, se pierde o no se comu- sona sin responsabilidad en cuentas a co-
efectivo en cuentas a co- nica con precisión al de- brar o cuentas de tesorería y sin acceso a
brar. partamento de cuentas a los archivos o documentos de las mismas;
cobrar. comparar los listados de ingresos con sal-
dos de cuentas a cobrar y depósitos ban-
carios.
Considerar la utilización de "cajas cerra-

das" u otras medidas para acelerar la ob-
tención del efectivo.
Considerar las posibilidades de hacer que

los clientes transfieran fondos electróni-
camente a la cuenta bancaria de la entidad
y hacer que se notifique a ésta el pago
electrónicamente.
Los cobros no se corres- Enviar estados de cuenta periódicos a los

ponden a las cantidades clientes e investigar las diferencias obser-

facturadas o no pueden vadas por los mismos (indicador de rendi-
identificarse. miento).
Conciliar el libro mayor conregistros

los
auxiliares de cuentas a cobrar; investigar
las diferencias.
Ponerse en contacto con el cliente para

determinar los motivos del pago
las ora-
zones para pagar importes distintos de los
facturados.
6. Implantar un calendario O Información inexacta, a Identificar todas las necesidades de teso-

de pagos. destiempo o no disponible rería y las fechas en que se necesitan los
sobre las fechas de venci- fondos.
miento de los pagos.
Utilizar el análisis de antigüedad de las
cuentas a pagar.
Las facturas se pagan antes Demorar la preparación o firma de che-

de su vencimiento. ques hasta el vencimiento.
Enviar cheques lo más tarde posible y al

final de un día o una semana si es posible.
Los cheques se compensan Considerar el período de compensación

rápidamente en el banco. de cheques al elegir un banco.
7. Reducir al mínimo los de- O El sistema de información Identificar por parte del sistema de infor-
sembolsos de efectivo. no identifica los descuen- mación sobre las fechas de pago relacio-
tos disponibles relaciona- nadas y los posibles descuentos disponi-
dos con las correspondien- bles relacionados con las fechas de pago.
tes fechas de pago.
Efectuar pagos sólo para O, F Creación de documenta- Examinar documentos de autorización de

compras autorizadas . ción ficticia. pagos, aprobación de los pagos por perso-
nas independientes de adquisiciones, re-
cepción y cuentas a cobrar.
Doble utilización de los Cancelar los documentos justificativos

documentos justificativos. para impedir su nueva presentación al pa-
go-
9. Efectuar los pagos a pro- O, F Información inexacta, a Comparar detalladamente los desembol-
veedores y otros (divi- destiempo o no disponible sos de efectivo reales y los presupuesta-
dendos, servicios, im- sobre los importes o fechas dos.

puestos y otros pagos) de de vencimiento de los pa- Comparar los importes de los pagos y los
forma oportuna y exacta. gos. destinatarios de los mismos con los docu-
mentos de origen, como facturas de ven-
dedores, pedidos de compra, declara-
ciones de impuestos, cálculos de
dividendos, calendarios de devolución de
préstamos y demás documentación ade-
cuada; verificar la exactitud de los docu-
mentos justificativos.
Establecer un "archivo recordatorio" para

identificar las fechas de vencimiento de
los pagos.
Modificar los sistemas de información se-

gún corresponda con el fin de proporcio-
nar información sobre pagos.
10. Registrar la totalidad de O,F Falta de documentación o Comparar los registros de pagos con
los pagos de efectivo con información. cuentas a pagar/archivos de facturas pen-
exactitud. dientes.
Prenumerar los cheques y dar cuenta de

ellos.
Conciliar los extractos bancarios con las

cuentas de efectivo e investigar los che-
ques pendientes con una antigüedad ele-
vada, por personas independientes de las
funciones de cuentas a pagar y desembol-
sos de tesorería.
11. Salvaguardar el efectivo O, F Inadecuada seguridad físi- Separar las funciones de custodia y de
y los correspondientes re- ca del efectivo y de los do- contabilidad.
gistros contables. cumentos que pueden usar-
se para transferirlo. Hacer que las cuentas bancarias se conci-
lien por personas sin responsabilidad so-
bre la recepción, desembolso o custodia
de fondos.
Endosar cheques a su recepción de mane-

ra restrictiva.
Depositar diariamente los ingresos intac-

tos.

Restringir el acceso a los archivos de
cuentas a cobrar y a los archivos utiliza-
dos para procesar los ingresos de dinero.
Enviar por correo los cheques por perso-

nas independientes del registro de cuentas
a pagar.
Las personas autorizadas para firmar che-

ques deben ser ajenas a las funciones de
recepción de dinero.
Proteger físicamente los dispositivos me-

cánicos de firma de cheques y las plan-
chas de la firma.
Restringir el acceso a los archivos de

cuentas a pagar y a los archivos utilizados
para procesar los desembolsos de dinero.
Actividad: PROCESO DE INMOVILIZADO MATERIAL

Registrar con exactitud la O, F Posible pérdida de las do- Prenumerar las autorizaciones concretas
totalidad de las transmi- cumentación de adquisi- de inversión de capital e investigar los do-
siones, las adquisiciones, ción o falta de comunica- cumentos que falten.
las disposiciones y la co- ción de la misma al
rrespondiente amortiza- personal adecuado. Distribuir copias de los pedidos de com-
ción de inmovilizado. pra relacionados con inversiones de capi-
tal al personal encargado de procesar el
inmovilizado; investigar los pedidos de
compra no contrastados con la documen-
tación de recepción después de la fecha
prevista de recepción.
Conciliar las adquisiciones de inmovili-

zado con las autorizaciones de inversión
de capital.
Los activos adquiridos Pedir al personal de compras o de otro ti-

pueden estar descritos de po que aclare la descripción o función de
forma inadecuada. los activos.
Establecer definiciones claras de las cate-

gorías de activos.
Posible falta de comunica- Efectuar altas y bajas de inmovilizado

ción al personal adecuado únicamente con la adecuada autorización
de las disposiciones o y entregando una copia de ésta al personal
transmisiones de activos. apropiado.
Prenumerar los modelos de autorización

de altas y bajas de inmovilizado e investi-
gar los documentos que falten.
Efectuar recuentos físicos periódicos del

inmovilizado, conciliando el recuento
con los registros de inmovilizado e inves-
tigar las diferencias.
Posible utilización de pe- Establecer normas sobre los períodos y

ríodos o métodos de amor- métodos de amortización, comunicárse-
tización incorrectos. las al personal correspondiente y revisar-
las periódicamente para garantizar su
continua adecuación a las circunstancias.
Actividad: PROCESO DE INMOVILIZADO MATERIAL

Revisar los cálculos de la amortización
para verificar su exactitud y el cumpli-
miento de normas y procedimientos.
2. Salvaguardar el inmovili- O Inadecuada seguridad físi- Restringir el acceso a las instalaciones en

zado frente a pérdidas por ca del inmovilizado. horas no laborables.
robo.
Fijar una placa y un número de identifica-
ción a los muebles y enseres de oficina,
equipos y demás inmovilizado transporta-
ble.
Desarrollar, implantar y comunicar nor-

mas de salvaguarda de activos materiales.
Actividad: ANÁLISIS Y CONCILIACIONES

Realizar una revisión ana- O No se han fijado estándares Establecer periódicamente criterios de
lítica de los resultados de (criterios de comparación) comparación de los resultados de explota-
explotación con presu- por anticipado. ción tales como presupuestos trimestrales
puestos o resultados de o anuales.
ejercicios anteriores. Iden-
tificar variaciones, tenden- No hay presupuestos. Da- Especificar la información necesaria para
cias o cambios significa- tos no fiables. identificar y explicar las variaciones, las
tivos y las causas de los tendencias o los cambios significativos.
mismos.
Falta o inexactitud de la in- Diseñar sistemas de información para co-
formación necesaria para municar de manera puntual la informa-
comparar los resultados ción necesaria a las personas correspon-
reales con los presupuestos dientes.
o resultados de ejercicios
anteriores.
2. Conciliar libros y regis- O, F (Nota: Los riesgos corres-

tros para garantizar su co- pondientes a este objetivo
herencia interna. varían según los procedi-
mientos de conciliación y la
naturaleza de la informa-
ción objeto de reconcilia-
ción. Por consiguiente, los
procedimientos de conci-
liación se identifican, cuan-
do corresponde, en otras
secciones del presente Ma-
nual de Referencia).
Actividad: PROCESO DE LA INFORMACIÓN SOBRE PENSIONES Y JUBILACIÓN

O,C No se comunica claramen- Formar y actualizar al personal adecuado

1 Asegurar que únicamente te al personal correspon- en relación con los requisitos para perte-
las personas que cumplen diente los requisitos para necer a un plan y con las modificaciones
los requisitos son inclui- pertenecer a un plan. de los mismos.
das en los programas de
pensiones. El personal que se ocupa de
Comparar la información con el archivo
la gestión de estos planes
de personal o verificar su exactitud por
recibe información inco-
otra vía.
rrecta sobre los empleados.
Limitar el acceso a la base de datos sobre
empleados.
Empleados que cumplan Comparar periódicamente la lista de par-

los requisitos quedan erró- tícipes con la lista de empleados y/o jubi-
neamente excluidos. lados y con la documentación sobre los
empleados no incluidos en los programas.
Inclusión de empleados no Comparar periódicamente la lista de par-

existentes como partícipes tícipes y la lista de empleados y/o jubila-
o beneficiarios de un plan. dos.
Aprobar por parte de un directivo autori-

zado todas las altas en la base de datos de
partícipes.
Verificar la existencia y situación de cada

partícipe.
Las disposiciones sobre las Garantizar que los documentos del plan
2. Calcular con exactitud las O, C prestaciones del plan son describan claramente las prestaciones del
prestaciones correspon- poco claras o complejas. plan e incluyen ejemplos de cálculos.
dientes a cada participan-
te. Modificar el plan según sea necesario pa-
ra aclarar el cálculo de las prestaciones.
Consultar a los profesionales jurídicos,

actuariales o de otro tipo que sea necesa-
rio para aclarar las prestaciones del plan.
Se cometen errores al cal- Normalizar modelos o programas para el

cular las prestaciones. cálculo de prestaciones.
Revisar el cálculo de las prestaciones.

Actividad: PROCESO DE LA INFORMACIÓN SOBRE PENSIONES Y JUBILACIÓN

Información inexacta. Limitar el acceso a la información y a los
datos utilizados para calcular las presta-
Aprobar todos los cambios en las bases de

datos utilizadas para calcular prestacio-
3. Resumir y seguir la pista O Pérdida o extravío de infor- Reconciliar entre sí los diversos informes
de la información sobre mación. que puedan existir sobre prestaciones.
prestaciones.
Utilizar registros u otros mecanismos que
aseguran la integridad del procesamiento.
4. Cumplir las leyes y nor- C Desconocimiento por parte Instruir a personal de recursos humanos o
mas aplicables. del personal de las leyes y de otros departamentos en las leyes y nor-
normas aplicables. mas aplicables.
Revisar y aprobar todos los documentos y

normas de los planes por un asesor jurídi-
co con experiencia en planes de pensiones
para empleados y jubilados.
5. Generar y distribuir in- O Falta de sistemas adecua- Garantizar que los sistemas de generación
formes sobre beneficios dos. de informes procesan la información con
sociales de manera preci- exactitud y se cumplen las fechas de en-
sa y puntual. trega de los mismos.
Falta de comprensión de Implantar y supervisar programas de for-

las exigencias relacionadas mación.
con los informes.
Actividad: PROCESO DE NÓMINAS

Pagar a los empleados de O El sistema no está disenado Implantar un plan de retribuciones que re-
acuerdo con los contratos para reflejar el plan de refleje las condiciones establecidas en rela-
laborales y las demás nor- tribuciones salariales in- ción a salarios y fechas de pago.
mas establecidas. cluido en los convenios co-
lectivos o en los contratos
particulares con los em-
pleados.
2. Calcular y registrar la nó- O, F Las tarifas o deducciones Revisar y aprobar los salarios iniciales y
mina (incluidas las deno han sido adecuadamen- todas las adiciones o cambios posteriores.
ducciones en las nómi- te autorizadas o son inco-
nas) con exactitud y en su rrectas. Verificar periódicamente la información
totalidad para todos los de la base de datos de nóminas.
servicios efectivamente
realizados por los em- Revisar y aprobar las condiciones inicia-
pleados y aprobados por les sobre deducciones/prestaciones.
el personal correspon-
diente. Utilizar modelos normalizados para la
realización de cambios en la información
de las nóminas.
Revisar y aprobar todos los conceptos de

la nómina no normalizados, tales como
pagos por enfermedad, vacaciones y gra-
tificaciones.
Revisar el registro de nóminas y los con-

troles de razonabilidad.
Establecer controles de seguridad que li-

miten el acceso a la base de datos de nó-
minas.
El tiempo de trabajo reali- Revisar y aprobar los registros de tiempo

zado no está autorizado o para situaciones inusuales o no normali-
es inexacto. zadas y horas extras.
Se presentan fichas de con- Utilizar normas y procedimientos norma-

trol de tiempo para emplea- lizados al contratar empleados.
dos inexistentes.
Establecer procedimientos de seguridad
para las altas y bajas de empleados en la
base de datos.

Llevar libros u otra documentación acre-
ditativa o rastrear los cambios en la base
de datos de la nómina.
Exigir, cuando sea posible, la identifica-

ción y firma válidas del empleado para la
recepción del cheque correspondiente a
su nómina.
Prohibir el pago de salarios en efectivo,

salvo en casos especiales predetermina-
dos.
Utilizar sistemas de ingreso directo en

cuenta.
Ausencia o pérdida de in- Verificar que se reciben documentos de

formación o documentos. información, tales como fichas de control
de tiempo, para todos los empleados.
Mantener registros de seguridad de las

horas de los empleados para el caso de
que se pierdan los documentos de infor-
mación.
Reconciliar el libro auxiliar de nómina

con las cuentas de control del mayor; in-
vestigar todas las diferencias.
Comparar las horas totales y el número de

empleados procesados con los totales del
registro de nóminas.
3. Restringir el acceso a la O Personal no autorizado Restringir el acceso a la información al-

información sobre datos puede acceder a la infor- macenada en medios informáticos cam-
de la nómina únicamente mación sobre nóminas. biando frecuentemente las claves de acce-
a aquellos empleados que so.
necesiten esta informa-
ción para realizar su tra- Los sistemas de procesamiento y la infor-
bajo. mación escrita sobre nóminas deben estar
físicamente protegidos.

Entregar información so- O Ausencia de definición de Identificar cómo la información sobre nó-
bre nóminas al personal las necesidades de infor- minas puede cubrir las necesidades rela-
adecuado para cubrir las mación de la dirección en cionadas u otros objetivos de gestión y re-
necesidades de informa- relación con la nómina. lacionar entre sí las diversas fuentes de
ción de la dirección. información.
Actividad: PROCESO DE CUMPLIMIENTO DE LAS OBLIGACIONES FISCALES

Procesar, preparar y pre- F,C Incorrecta información o Utilizar a expertos fiscales, ya sean inter-
sentar con exactitud las comprensión de la legisla- nos o externos a la entidad, para preparar
declaraciones de impues- ción y normativa fiscal. las declaraciones correspondientes.
tos en los plazos legal-
mente establecidos. Suscribirse a un servicio fiscal y/o perte-
necer a organizaciones adecuadas del sec-
tor, comerciales o profesionales para
identificar la nueva reglamentación u
oportunidades fiscales.
Establecer un sistema del tipo "archivo

recordatorio" para controlar las fechas lí-
mite de presentación de impuestos.
Uso de información in- Identificar la información necesaria para

completa o inexacta como preparar las declaraciones fiscales; garan-
base para la preparación de tizar que se diseñan sistemas de informa-
las declaraciones. ción adecuados para proporcionar con
precisión y puntualidad esa información.
Reducir los pagos de im- O,C Información inadecuada Asegurarse de que los asesores fiscales
puestos al mínimo legal- sobre las oportunidades de están plenamente informados de todos los
mente permitido. ahorro fiscal. aspectos de las operaciones de la empre-
sa, incluidas las operaciones rutinarias y
no rutinarias, así como de cualquier cam-
bio en las líneas de negocio o en los mé-
todos de llevar éstos.
Revisar periódicamente la normativa fis-

cal vigente para identificar específica-
mente oportunidades de ahorro fiscal.
3. Registrar de forma com- F, C Información inadecuada, o Emplear personal que conozca los aspec-
pleta y precisa el efecto desconocimiento de la in- tos de información financiera relaciona-
de todas las transacciones formación financiera, de dos con los impuestos.
fiscales o de los hechos las operaciones tributarias
económicos. o de los hechos económi- Suscribirse a un servicio técnico y/o per-
cos. tenecer a organizaciones del sector, co-
merciales o profesionales que identifi-
quen y expliquen las normas existentes y
las novedades sobre información finan-
ciera a emitir.
Actividad: PROCESO DE CUMPLIMIENTO DE LAS OBLIGACIONES FISCALES

Los asientos de diario rela- Aprobar por directivos autorizados y con
cionados con las operacio- conocimientos los aspectos contables re-
nes fiscales o los hechos lacionados con los impuestos.
económicos no son ade-
cuadamente aprobados o Comparar cada uno de los asientos del
registrados en el mayor. diario con el mayor para garantizar su
adecuado registro.
Actividad: PROCESO DE VALORACIÓN DEL COSTE DE LOS PRODUCTOS

1. Desarrollar costes están- O,F Información inadecuada o Identificar la información necesaria para
dar del proceso producti- inexacta. desarrollar costes estándar de producción;
vo, incluidos los costes asegurarse de que los sistemas de infor-
de cada una de las fases mación proporcionan esa información
del proceso de produc- con exactitud y en el momento oportuno
ción. (dicha información puede incluir elemen-
tos tales como las unidades que se prevé
producir, las horas de trabajo y los costes
presupuestados, costes generales presu-
puestados y costes estimados de materia-
les; deberá tener en cuenta el efecto de la
tecnología en el proceso de fabricación y
deberá considerar las fórmulas apropia-
das de asignación de costes).
Evaluar periódicamente el proceso de

producción y estimar los costes asociados
a cada fase del proceso.
Proceso de producción de- Ver la sección "Operaciones" en el pre-

ficientemente organizado. sente Manual de referencia.
Incapacidad para identifi- Definir y organizar claramente cada una

car la fase en que se en- de las fases de producción; documentarlas
cuentre la producción. adecuadamente.
Establecer sistemas para identificar de

forma rutinaria la fase en la que se en-
cuentra la producción; verificar periódi-
camente que el sistema funciona adecua-
damente.
2. Registrar de forma com- O,F Información inexacta, a Prenumerar y controlar la secuencia nu-
pleta y exacta los costes destiempo o no disponible mérica de las solicitudes de material y
reales en que se incurra. otros componentes de producción emiti-
sobre los costes reales en
das y devueltas por producción; investi-
que se incurre.
gación de los elementos faltantes o dupli-
cados por personas independientes de la
función de manipulación de materiales.
Conciliar los registros de cargos por ma-

no de obra y generales con las nóminas y
los costes generales incurridos. Investigar
diferencias.
Actividad: PROCESO DE VALORACIÓN DEL COSTE DE LOS PRODUCTOS

Prenumerar y controlar la secuencia nu-
mérica de los informes de producción o
demás registros de productos terminados
y de las transferencias dentro del trabajo
en curso; conciliar dichos informes con
las cantidades registradas; investigar los
documentos que falten y las diferencias.
Revisar y aprobar los resúmenes mensua-

les de producción.
Mantener registros de inventario perma-

nente.
Cuadrar periódicamente los registros de

materias primas, de los productos en cur-
so y de los productos terminados (saldo
anterior más entradas menos salidas,
comparando con las cifras actuales).
Recontar periódicamente las existencias

de materias primas, productos en curso y
productos terminados y comparar con los
registros permanentes; investigarlas dife-
Conciliar los registros permanentes con

las cuentas de control del mayor y aprobar
los ajustes por personal distinto del que
tenga la responsabilidad de mantener los
correspondientes inventarios permanen-
tes o de salvaguardar los mismos.
3. Determinar las desviacio- O, F Inexacto cómputo o regis- Calcular las desviaciones correspondien-
nes de los costes estándar tro de las desviaciones. tes a cada producto. Verificar su integri-
y su efecto sobre el inven- dad con la lista de productos o con otro
tario y el coste de las ven- documento adecuado.
tas.
Verificar la exactitud de la desviación cal-
culándola de nuevo o utilizando otros mé-
todos alternativos adecuados.
Revisar el mayor u otros registros para ga-

rantizar que las desviaciones se registran
adecuadamente.
Actividad: INFORMACIÓN FINANCIERA Y DE GESTIÓN

1. Facilitar la información O Las necesidades de infor- Identificar las necesidades de informa-

exacta y en tiempo opor- mación de la gerencia u ción de los usuarios y actualizarlas perió-
tuno, que necesita la di- otros miembros de la orga- dicamente.
rección y otros miembros nización no se conocen o
de la organización para el no se comunican claramen- Comunicar las necesidades de informa-
desempeño de sus funcio- te. ción por parte de los usuarios a los res-
nes. ponsables de la preparación de la infor-
mación de gestión.
Las fechas en que la infor- Determinar las fechas en las que la infor-
mación de gestión se re- mación de gestión se requiere, ya sea ru-
quiere o las prioridades de tinaria o no rutinaria.
la misma no son comunica-
das adecuadamente. Establecer prioridades para toda la infor-
mación de gestión, ya sea rutinaria o no
rutinaria.
Comunicar claramente los calendarios

para preparación de la información de
gestión.
Establecer algún tipo de procedimiento

que automáticamente produzca llamadas
de atención cuando no se hayan cumplido
las fechas previstas.
Los sistemas de informa- Identificar la información que el sistema

ción son incapaces de pro- no es capaz de producir y las necesidades
ducir la información nece- de cambios para solucionar las diferen-
saria. cias identificadas.
F,C. Los sistemas de informa- Identificar e implantar los cambios de sis-

2. Preparar información fi- ción no son capaces de pro- temas necesarios.
nanciera para el exterior porcionar la información
en las fechas oportunas y financiera en el momento
cumpliendo con las leyes, oportuno.
regulaciones o compro-
misos contractuales apli- El personal desconoce las Contratar personal competente que tenga
cables. leyes, regulaciones o com- los conocimientos y experiencia necesa-
promisos contractuales rios en relación con las leyes, regulacio-
aplicables. nes y normas aplicables y que afecten a la
información financiera para el exterior.
Revisar los acuerdos contractuales impor-

tantes por la gerencia o por los responsa-
Actividad: INFORMACIÓN FINANCIERA Y DE GESTIÓN

bles de la preparación de los informes fi-
nancieros para el exterior.
3. Mantener la confidencia- O, C Personas no autorizadas Restringir la distribución de información

lidad de la información tienen acceso a la informa- financiera a personas autorizadas en cada
financiera. ción financiera y de ges- caso. Revisar y poner al día las listas de
tión. distribución de la información.
Entorno de control
La dirección ha de transmitir el mensaje de que

la integridad y los valores éticos no pueden, bajo
ninguna circunstancia, ser contravenidos. Los em-
pleados deben captar y entender ese mensaje. La
dirección ha de demostrar continuamente, median-
te sus mensajes y su comportamiento, un compro-
miso con los valores éticos.
* Existencia y puesta en práctica de códigos de La empresa no tiene un código de con-

conducta y otras políticas que consideren las ducta formal. No obstante, existe un
prácticas empresariales de general aceptación, manual con las expectativas de con-
los conflictos de intereses o los niveles espera- ducta de los empleados, que se entrega
dos de comportamiento ético y moral. Por a todos los empleados nuevos al incor-
ejemplo, considerar si: porarse a la empresa.
‪ Los códigos son suficientemente amplios y se

refieren a conflictos de intereses, pagos ilega-
les u otros pagos indebidos, competencia des-
leal o uso fraudulento de información empre-
sarial en las operaciones.
‪ Los códigos son aceptados de forma expresa y
periódicamente por todos los empleados.
‪ Los empleados entienden qué comportamiento
es aceptable o no aceptable y saben qué hacer
si se encuentran con algún comportamiento in-

debido.
‪ La cultura de la dirección enfatiza la importan-
cia de la integridad y comportamiento ético
cuando no existe un código escrito de compor-
tamiento. Este código puede ser comunicado
verbalmente en reuniones con el personal, reu-
niones individuales, o en el curso de las activi-
dades diarias.
* La dirección predica con el ejemplo e indica La dirección espera que todos los em-
claramente lo que está bien y lo que está mal. pleados mantengan unas normas mo-
Por ejemplo, considerar si: rales y éticas elevadas y que se com-
porten de acuerdo a ellas. La dirección
‪ Se comunica efectivamente dentro de la em- es consciente de que tiene que dar
presa, tanto de palabra como en la forma de ejemplo y de que debe comunicar a la
actuar, el compromiso con la integridad y la organización ese mensaje. Esto se rea-
ética. liza deforma anecdótica y esporádica.
‪ Los empleados sienten presión por parte de sus Las expectativas de la dirección se co-
iguales para hacer "lo que es debido" o sola- munican a todos los empleados en el
mente se piensa en hacer "dinero rápidamen- manual y se espera que sean reforza-
te". das tanto por los supervisores como
‪ La dirección trata adecuadamente los síntomas por el resto de empleados.
de que existen problemas (por ejemplo, pro-
ductos potencialmente defectuosos), en parti-
cular cuando puede ser considerable el coste
de identificar los problemas y tratar los temas.
* El trato con los empleados, proveedores, La dirección mantiene un alto grado de

clientes, inversores, acreedores, aseguradores, integridad en sus tratos y exige que sus
competidores, auditores, etc. (por ejemplo, si empleados y agentes mantengan nive-
la dirección dirige el negocio con una alta con- les similares. El no cumplimiento de
sideración ética e insiste en que los demás ha- este requisito es tratado rápida y seve-
gan lo mismo o si presta poca atención a los ramente. Hay ejemplos en los archivos
temas éticos). Por ejemplo, considerar si: de medidas tomadas contra individuos
concretos, así como de comunicacio-
nes generales. No se han recibido
MANUAL DE REFERENCIA: ENTORNO DE CONTROL 347
‪ El trato diario con clientes, proveedores, em- prácticamente reclamaciones por par-
pleados y demás terceros se hace de forma ho- te de clientes u otras personas alegan-
nesta e igualitaria (por ejemplo, no se ignora el do conducta inadecuada. El director
pago excesivo de un cliente o la infrafactura- general habla periódicamente con los
ción de un proveedor o no se hacen esfuerzos clientes y proveedores importantes
para encontrar una manera de rechazar el dere- acerca del trato recibido de los em-
cho legítimo de un empleado o los informes a pleados de la compañía y normalmente
los prestatarios son completos, exactos y nada obtiene reacciones positivas.
engañosos).
* Las medidas correctivas que se toman en Las desviaciones de políticas y proce-

respuesta a las desviaciones de las políticas y dimientos o transgresiones de las ex-
procedimientos o ante las violaciones del códi- pectativas de comportamiento son tra-
go de conducta son adecuadas. Se comunican tadas según la infracción, pudiendo
las medidas correctivas para que sean conoci- consistir desde recordar verbalmente
das por toda la organización. Por ejemplo, con- al empleado la política de la empresa
siderar si: hasta el despido.
‪ La dirección responde ante las violaciones de

normas de comportamiento.
‪ Se comunican debidamente dentro de la enti-
dad las acciones disciplinarias que se toman.
Los empleados entienden que si se les sorpren-
de violando las normas de comportamiento su-
frirán las consecuencias.
* Actitud de la dirección hacia su intervención La dirección no ha intentado hacer ca-

en los casos en los que el sistema no dispone de so omiso de los controles o eludirlos
los mecanismos necesarios para garantizar un indebidamente. A los empleados se les
procesamiento adecuado de las transacciones o anima a comunicar cualquier intento
hacia la posibilidad de eludir el sistema ha- que conozcan de transgresión de los
ciendo caso omiso de los controles estable- sistemas de control y la dirección ha
cidos. Por ejemplo, considerar si: apoyado a los empleados que lo han
hecho reconociéndolo en sus evalua-
‪ La dirección proporciona directrices sobre las ciones.
situaciones y la frecuencia con la que se nece-
sita su intervención.
‪ La intervención por parte de la dirección está
debidamente documentada y explicada.
‪ Está explícitamente prohibido hacer caso omi-

so de los controles establecidos por parte de la
dirección.
‪ Se investigan y documentan las desviaciones
de las políticas establecidas.
* Existe presión para cumplir con unos objeti- Los ejecutivos son asalariados y nor-
vos de rendimiento poco realistas especialmen- malmente reciben bonos en efectivo en
te en lo referente a resultados a corto plazo y torno al 20% del salario. Estos bonos
hasta qué punto la remuneración se apoya en están en gran medida relacionados con
la consecución de dichos objetivos de rendi- la consecución de objetivos personales
miento. Por ejemplo, considerar si: o de la actividad en general. Como
consecuencia, la remuneración de los
‪ Existen condiciones tales como incentivos ex- directivos está basada esencialmente
tremados o alicientes que puedan poner a prue- en el rendimiento individual y de con-
ba (de una forma innecesaria e injusta) si los junto y en el de la actividad en la que
empleados observan los valores éticos. trabajan. La dirección considera que
‪ La remuneración y las promociones se basan este plan de remuneración anima a la
exclusivamente en la consecución de objetivos iniciativa individual y al trabajo en
de rendimiento a corto plazo. equipo. Dado que la remuneración a
‪ Existen controles para reducir tentaciones que corto plazo se basa sólo deforma indi-
de otra manera pudieran existir. recta en la rentabilidad, los directivos
tienen poco incentivo para manipular
las operaciones o los estados financie-
ros para mejorar los resultados opera-
tivos.
La dirección ha mostrado su compromiso con la integridad y el comportamiento ético y ha

comunicado dicho compromiso a todos los empleados. El mensaje es continuo pero anec-
dótico. La dirección debería considerar la realización de un programa más planificado.
La dirección ha de especificar el nivel de

competencia profesional requerido para trabajos
concretos y traducir los niveles requeridos de
competencia en conocimientos y habilidades im-
prescindibles.
* Existen descripciones formales o informales La empresa dispone de descripciones

de puestos de trabajo u otras formas de descri- escritas formales de los puestos de tra-
bir las funciones que comprenden trabajos es- bajo para todo el personal de supervi-
pecíficos. Por ejemplo, considerar si: sión y, para los trabajos que conllevan
solamente unas cuantas tareas especí-
‪ La dirección ha analizado, formal o informal- ficas, las obligaciones del puesto de
mente, las funciones que comprenden tareas trabajo se comunican claramente.
específicas, teniendo en cuenta factores tales
como hasta qué grado los individuos han de
ejercer su propio juicio y ha establecido cuál es
el grado de supervisión necesaria.
* Se analizan los conocimientos y las habilida- Las descripciones de los puestos de

des requeridos para realizar los trabajos ade- trabajo especifican el conocimiento y
cuadamente. Por ejemplo, considerar si: la capacitación requeridos bien gene-
ralmente o en términos de la naturale-
‪ La dirección ha determinado adecuadamente za y alcance de la cualificación, for-
los conocimientos y habilidades requeridas pa- mación y experiencia requeridas. El
ra realizar trabajos específicos. departamento de recursos humanos
‪ Existe evidencia que demuestre que los em- usa estas descripciones en las decisio-
pleados parecen poseer los conocimientos y nes relacionadas con la contratación,
habilidades requeridas. formación y ascensos.
La existencia de descripciones escritas de los puestos de trabajo con tareas y parámetros
definidos (por ejemplo, cualificaciones, formación) demuestra un compromiso claro por
parte de la dirección hacia el mantenimiento de un adecuado nivel de capacitación laboral.
La dirección deberá considerar la realización de descripciones más formales de los puestos
de trabajo del personal que no es de supervisión.
Consejo de administración y comité

de auditoría
Un consejo de administración activo y efecti-

vo, o comités del mismo, es un elemento de control
importante. Dado que la dirección tiene la posibi-
lidad de eludir los sistemas de control, el consejo
tiene un papel importante para asegurar un control
interno efectivo.
* La independencia respecto de la dirección es El consejo de administración se com-

más que necesaria cuando se plantean cuestio- pone de cuatro consejeros externos y
nes difíciles o que requieren investigación. Por tres directivos de alto nivel de la em-
ejemplo, considerar si: presa. Dos de los consejeros externos
están asociados en negocios con el di-
‪ El consejo examina constructivamente las de- rector general y el presidente. Según el
cisiones tomadas por la dirección (por ejem- secretario y otros invitados a las juntas
plo, iniciativas estratégicas y transacciones del consejo, se producen discusiones
importantes) y busca explicaciones para resul- animadas entre la dirección y algunos
tados pasados (por ejemplo, variaciones del consejeros externos.
presupuesto).
‪ En el caso de un consejo que esté formado úni-
camente por los ejecutivos y empleados de una
entidad (por ejemplo, una empresa pequeña),
se cuestionan y examinan detalladamente las
actividades, se presentan opiniones alternati-
vas y se toman las medidas que sean necesa-
rias.
* Se establecen comités dependientes del con- El consejo tiene un comité de auditoría

sejo en casos justificados por la necesidad de que se compone de tres consejeros ex-
prestar atención más detallada o directa a ternos y un comité de remuneraciones
asuntos específicos. Por ejemplo, considerar si: formado por los cuatro consejeros ex-
ternos.
‪ Existen comités dependientes del consejo.
‪ Son suficientes, en cuanto a contenido y núme-
ro de miembros, para tratar los temas impor-
tantes adecuadamente.
* Conocimiento y experiencia de los conseje- La mayoría de los miembros del conse-

ros. Por ejemplo, considerar si: jo son empresarios con experiencia.
Uno de ellos posee el 12% del capital
‪ Los consejeros tienen suficientes conocimien- social y es un físico que carece de ex-
tos, experiencia en el negocio de la empresa y periencia gerencial. Todos los miem-
tiempo para realizar sus funciones adecuada- bros del consejo, que son también eje-
mente. cutivos de la empresa, tienen gran
experiencia en la industria aeroespa-
cial, al igual que uno de los consejeros
externos.
* Se celebran reuniones con los responsables El jefe de auditoría interna de la em-

financieros y/o contables, auditores internos y presa, recientemente contratado, se
externos con la necesaria frecuencia y oportu reúne trimestralmente con el comité de
nidad. Por ejemplo, considerar si: auditoría. El comité de auditoría se
reúne con los auditores externos al me-
‪ El comité de auditoría se reúne en privado con nos dos veces al año, durante la plani-
el jefe de contabilidad y con los auditores in- ficación de la auditoría y al finalizar la
ternos y externos para discutir la razonabilidad auditoría. El director financiero es
del proceso de presentación de los estados fi- además consejero y se reúne frecuente-
nancieros, el sistema de control interno, los co- mente con otros consejeros.
mentarios y recomendaciones significativas y
la actuación de la dirección.
‪ El comité de auditoría realiza una revisión
anual del alcance de las actividades de los au-
ditores internos y externos.
* Se suministra información a los miembros Los miembros del consejo reciben es-
del consejo o del comité de forma suficiente y tados financieros mensuales, incluyen-
oportuna para permitir la supervisión de los do una comparación de los resultados
objetivos y las estrategias de la dirección, la actuales del ejercicio en curso con el
situación financiera y los resultados operativos presupuesto y con el año anterior- así
de la entidad y las condiciones de los acuerdos como ciertas estadísticas y análisis
significativos. Por ejemplo, considerar si: operativos. Estos documentos se entre-
gan antes del día 15 de cada mes y con-
‪ El consejo recibe regularmente información tienen suficiente información para per-
clave, tal como los estados financieros inter- mitir un análisis detallado de los
medios, iniciativas importantes de marketing, mismos antes de las reuniones del con-
contratos significativos o sobre negociaciones sejo. Las reuniones se celebran el últi-
en curso.
‪ Los consejeros consideran que reciben una in- mo viernes de cada mes. Los gastos
formación apropiada. que exceden de 250.000 dólares así co-
mo los pedidos de venta superiores a
un millón requieren la aprobación del
consejo. En este último caso, la apro-
bación se suele obtener durante reu-
niones especiales por teléfono.
* Se evalúa suficiente y oportunamente por La política de la empresa estipula que

parte del consejo o del comité de auditoría la el consejo ha de ser notificado por car-
información más sensible, las investigaciones y ta certificada, en un período de tres
los actos indebidos (por ejemplo,, gastos de días laborales, de cualquier litigio que
viaje de directivos importantes, litigios signifi- pueda resultar en una pérdida de más
cativos, investigaciones de organismos de con- de 100.000 dólares, de cualquier in-
trol, desfalcos, malversaciones o usos indebi- vestigación de las autoridades regula-
dos de los activos, violaciones de reglamentos doras, desfalco o cualquier otra actua-
con respecto al abuso de información privile- ción indebida por parte de un
giada, pagos a políticos, pagos ilegales). Por empleado o directivo del nivel geren-
ejemplo, considerar si: cial o de un nivel superior. Cualquier
actuación de este tipo por un empleado
‪ Existe un proceso para informar al consejo so- de un nivel inferior al gerencial que re-
bre los acontecimientos significativos. sulte en una pérdida para la empresa
‪ Se comunica la información oportunamente. de más de de 2.000 dólares ha de ser
notificada al consejo. Las cuentas de
gastos de los directivos y otros benefi-
cios por ellos recibidos son revisados
por el consejo dos veces al año.
* Existe un control sobre la determinación de El comité de remuneraciones determi-

las remuneraciones de ejecutivos y el jefe de na anualmente la remuneración co-
auditoría interna así como de su nombramien- rrespondiente al director general y al
to y cese. Por ejemplo, considerar si: jefe de auditoría interna.
‪ El comité de remuneraciones aprueba todos los

planes de incentivos de la dirección vinculados
al rendimiento.
‪ El comité de remuneraciones trata, previa con-
sulta con el comité de Auditoría, de la retribu-
ción del responsable de auditoría interna.
* Está establecida la forma de dejar evidencia El consejo impulsa a la dirección a es-

de que "los superiores deben dar ejemplo". Por tablecer e imponer altas normas éticas
ejemplo, considerar si: y morales. Los consejeros externos no
participan activamente en establecer
‪ El consejo de administración y el comité de au- esas normas aunque sí supervisan que
ditoría están suficientemente involucrados pa- la dirección cumpla con las mismas.
ra evaluar la efectividad del "ejemplo de los
superiores".
‪ El consejo toma las medidas necesarias para
garantizar un "tono ético" apropiado.
‪ El consejo controla específicamente la adhe-
sión de la dirección al código de conducta.
* Las acciones que toma el consejo o el comité El consejo normalmente deja el segui-
como consecuencia de sus conclusiones, inclu miento a la discreción de la dirección
yendo en su caso investigaciones especiales. y apenas realiza investigaciones espe-
Por ejemplo, considerar si: ciales.
‪ El consejo ha emitido directrices a la dirección

detallando las acciones específicas que han de
ser tomadas.
‪ El consejo supervisa y realiza el seguimiento
necesario.
El consejo de administración y el comité de auditoría contribuyen significativamente a la

efectividad del entorno de control. No obstante, la dirección debería esforzarse en hacer
que el consejo participe más estrechamente en investigaciones especiales.

suelen tener un efecto omnipresente en una enti-
dad. Éstos son, naturalmente, intangibles, pero se
pueden buscar indicadores positivos o negativos.
* La naturaleza de los riesgos empresariales La dirección es relativamente opuesta

aceptados por ejemplo, la dirección, suele em- al riesgo, siendo conservadora en sus
prender aventuras de especial alto riesgo o prácticas empresariales. El coeficiente
bien es extremadamente prudente para acep- de endeudamiento de la empresa es
tar riesgos. Por ejemplo, considerar si: uno de los más bajos del sector. Las
adquisiciones de empresas son investi-
‪ La dirección actúa con cuidado y solamente gadas afondo; como evidencia de esto
después de analizar los riesgos y los beneficios está el plan desarrollado para la ad-
potenciales de una operación que conlleva quisición de Laker Parts en el que se
riesgos. analizaron la competencia, los merca-
dos, la estructura de precios y las rela-
ciones con los proveedores y los clien-
tes. Las adquisiciones son financiadas
en un principio mediante las líneas de
crédito existentes con financiación
permanente obtenida o por medio de
préstamos garantizados a largo plazo.
Recientemente, la empresa ha contra-
tado consultores externos para estu-
diar cómo mejorar el control del plan
médico y de los costes salariales de los
empleados.
* Existe rotación de la plantilla en las funcio- El nivel de rotación de los empleados

nes clave, como son las operativas, contabili- ha sido satisfactorio durante muchos
dad, proceso de datos, auditoría interna. Por años. Hubo un incremento de rotación
ejemplo, considerar si: en Laker Parts inmediatamente antes
de la adquisición. Al parecer, tal rota-
‪ Ha existido una rotación excesiva del personal ción estuvo relacionada con la inmi-
gerencial o de supervisión. nente venta de la compañía y no fue
‪ Han dimitido inesperadamente o sin suficiente considerada como un problema por la
preaviso empleados clave. dirección, dado que no incluyó perso-
‪ Existe una tendencia en la rotación (por ejem- nal considerado como clave.
plo, la incapacidad de retener ejecutivos finan-
cieros clave o miembros del departamento de
auditoría interna) que pueda ser indicativa del
énfasis que la dirección pone sobre el control.
* Actitud de la dirección hacia el proceso de El departamento de sistemas informá-

datos y las funciones de contabilidad y su ticos se compone de 10 empleados fijos
preocupación por la Habilidad de la presenta incluyendo dos directivos con expe-
ción de la información financiera y la salva riencia que dependen directamente del
guarda de los activos. Por ejemplo, considerar director general, con un presupuesto
si: actual de 3 millones de dólares, sufi-
ciente para satisfacer sus necesidades.
‪ Se considera la contabilidad como un mal ne
cesario o como un vehículo para ejercer el con Las estimaciones relacionadas con
trol sobre las diversas actividades de la enti proyectos, tales como las relacionadas
dad. con los costes para completar proyec-
‪ La selección de criterios contables utilizados tos abiertos, son preparadas por per-
en los estados financieros se realiza siempre en sonal cualificado y revisadas y apro-
función de mostrar el mayor beneficio posible. badas por los directores financieros y
‪ Si la función contable está descentralizada, la operativos correspondientes.
dirección operativa correspondiente aprueba
los resultados declarados. Todos los informes financieros son re-
‪ El personal de contabilidad tiene también una visados por el "controller", el director
responsabilidad ante y es controlado por la di- financiero y el director general antes
rección financiera central. de ser dados a conocer. Los estados fi-
‪ Se protegen los activos (incluyendo los bienes nancieros anuales son revisados y
intelectuales y la información) del acceso o aprobados por el consejo de adminis-
uso no autorizado. tración antes de ser publicados.
* Frecuencia de interacción entre la alta direc La alta dirección y la dirección opera-

ción y la dirección operativa, en particular tiva se reúnen con frecuencia tanto de
cuando se opera en localizaciones geográfica una manera formal como informal, de
mente remotas. Por ejemplo, considerar si: lo cual son ejemplo las reuniones se-
manales y las comidas de trabajo in-
‪ Los altos directivos visitan periódicamente a formales. ABC tiene solamente un cen-
las subsidiarias o las divisiones. tro de trabajo.
‪ Se celebran con frecuencia reuniones de direc-
ción del grupo o de las divisiones.
* Actitudes respecto de la presentación de in La dirección desea que los informes fi-

formación financiera, incluyendo las posibles nancieros sean exactos y presentados
disputas en cuanto a la aplicación de criterios de manera que reflejen la imagen fiel
contables (por ejemplo, la selección de un tra de la empresa. De vez en cuando sur-
tamiento conservador en contraposición con gen desacuerdos entre la dirección
políticas contables muy liberales, si se han operativa y la dirección financiera y

aplicado inadecuadamente los principios con- entre la compañía y los auditores ex-
tables, si hay información financiera impor- ternos, pero la dirección y los audito-
tante que no haya sido revelada, o si han sido res trabajan conjuntamente para de-
manipulados o falsificados los archivos). Por terminar el tratamiento contable
ejemplo, considerar si: adecuado. Tales desacuerdos no afec-
tan negativamente a la relación con los
‪ La dirección evita los enfoques excesivamente auditores.
dirigidos sobre los resultados a corto plazo.
‪ El personal emite informes indebidos para
conseguir los objetivos (por ejemplo, vendedo-
res emitiendo pedidos para lograr la consecu-
ción de objetivos, sabiendo que los clientes de-
volverán las correspondientes mercancías en el
siguiente período).
‪ Los directivos ignoran las posibles sospechas
o indicaciones de prácticas indebidas.
‪ Se fuerzan las estimaciones hasta el límite de
razonabilidad o incluso más.
La filosofía de la dirección y el estilo operativo favorecen la existencia de un control

interno efectivo.
La estructura organizativa no deberá ser tan

sencilla que no pueda controlar adecuadamente las
actividades de la empresa ni tan complicada que
inhiba el flujo necesario de información. Los eje-
cutivos deben comprender cuáles son sus respon-
sabilidades de control y poseer la experiencia y los
niveles de conocimientos requeridos en función de
sus cargos.
* La estructura organizativa es apropiada y su La estructura organizativa de la empre-

capacidad de suministrar el flujo necesario de sa ha sido modificada recientemente
información para gestionar sus actividades. para acomodarla a la desinversión en
Por ejemplo, considerar si: la división de defensa y la adquisición
de Laker Parts. La dirección opina que
‪ La estructura organizativa está debidamente la nueva estructura es apropiada; no
centralizada o descentralizada dada la natura- obstante, no lleva en funcionamiento el
leza de las operaciones realizadas por la enti- tiempo suficiente como para evaluar su
dad. efectividad.
‪ La estructura facilita el flujo de información
hacia los niveles superiores e inferiores y entre
todas las actividades empresariales.
* La definición de las responsabilidades de los Las responsabilidades de los directi-

principales directivos es adecuada así como su vos principales han vuelto a ser de-
conocimiento de dichas responsabilidades. Por finidas junto con la nueva estructura
ejemplo, considerar si: organizativa. Estas responsabilida-
des parecen ser adecuadas para las
‪ Se comunica claramente a los ejecutivos las necesidades de la empresa, pero no
responsabilidades y las expectativas respecto a han sido probadas durante un perío-
las actividades de sus áreas de responsabilidad. do suficientemente amplio. La ac-
tuación de los directivos indica que
entienden cuáles son sus responsabi-
lidades y éstas son revisadas con
ellos anualmente.
* Los conocimientos y la experiencia de los Todos los directivos han permanecido

principales directivos son los adecuados para con la empresa durante al menos cinco
cubrir las responsabilidades asignadas. Por años, con la excepción de un antiguo
ejemplo, considerar si: directivo de Laker, y todos conocen
bien la industria y sus responsabilida-
‪ Los ejecutivos tienen los conocimientos, la ex- des. Algunos directivos (por ejemplo,
periencia y la formación necesaria para desem- el "controller" y el director de fabri-
peñar sus funciones. cación) en Laker Parts se habían in-
corporado en los últimos seis meses,
pero anteriormente habían ocupado
puestos similares en otras empresas
del sector aeroespacial.
* Idoneidad de las relaciones de dependencia. Las estructuras jerárquicas son lógi-

Por ejemplo, considerar si: cas y cada responsable de actividad in-
forma al directivo apropiado. Estas es-
‪ Las relaciones de dependencia establecidas (ya tructuras aseguran una comunicación
sean formales, informales, directas o matricia- efectiva entre los empleados, supervi-
les) son adecuadas y permiten a los directivos sores, gerentes y directivos.
conocer con claridad sus responsabilidades y
nivel de autoridad.
‪ Los ejecutivos de niveles inferiores tienen la
posibilidad de utilizar alguna vía de comunica-
ción apropiada hacia los altos ejecutivos.
* Se modifica la estructura organizativa cuan La estructura organizativa se evalúa

do existen cambios en las circunstancias que lo cuando es necesario. Por ejemplo, des-
requieran. Por ejemplo, considerar si: pués de la adquisición de Laker Parts,
‪ La dirección evalúa regularmente la estructura se llevaron a cabo modificaciones, ta-
organizativa a la luz de los cambios en la em- les como la integración de las funcio-
presa o en el sector en el que opera. nes administrativas y consolidación de
los departamentos de compras, para
dinamizar las operaciones y evitar du-
plicaciones.
* Hay suficientes empleados, especialmente Debido a la reciente fusión con Laker

con capacidad de dirección y supervisión. Con- Parts, ABC tiene más empleados que
siderar, por ejemplo, si: los que necesita. Se está despidiendo a
algunos trabajadores, pero la direc-
‪ Los directores de departamento y supervisores ción estudia detenidamente quién es
tienen tiempo suficiente para cumplir con sus despedido y el efecto que esto pueda te-
responsabilidades de manera eficiente. ner sobre el control interno. La direc-
‪ Los directores y los supervisores trabajan de- ción evalúa la carga de trabajo de los
masiadas horas extraordinarias y asumen ma- empleados, especialmente aquéllos
yores responsabilidades de las que les corres- con responsabilidades clave de super-
ponderían. visión y control, para asegurar que
puedan ejercer sus responsabilidades
eficazmente.
La estructura organizativa de la empresa y las estructuras jerárquicas son lógicas y se co-

rresponden con las actividades de la empresa. No obstante, los cambios recientes requieren
una supervisión cuidadosa de la efectividad e idoneidad de la estructura en el futuro próxi-
mo. Los despidos pendientes como consecuencia de la adquisición de Laker Parts han de
ser controlados, por los efectos que puedan tener en las responsabilidades clave de super-
visión y control.
La asignación de responsabilidad, la delega-

ción de autoridad y el establecimiento de políticas
conexas ofrecen una base para el seguimiento de
las actividades y el sistema de control y establecen
los papeles respectivos de las personas dentro del
sistema.
* Se asigna responsabilidad y se delega autori- La dirección delega autoridad basán-

dad para tratar objetivos organizativos, fun- dose en las responsabilidades del
ciones operativas y requisitos regulatorios, in- puesto de trabajo, cualificaciones, pe-
cluyendo la responsabilidad sobre los sistemas ricia y rendimiento en el pasado de ca-
de información y autorizaciones para efectuar da individuo. Por ejemplo, solamente
cambios. Considerar, por ejemplo, si: el director financiero tiene la perspec-
tiva necesaria para decidir si los cam-
‪ Se realiza la asignación de autoridad y respon- bios requeridos a los programas de los
sabilidad a los empleados de una forma siste- sistemas de información son viables y
mática en toda la organización de la empresa. necesarios. En consecuencia, solamen-
‪ La responsabilidad para la toma de decisiones te él puede autorizar tales cambios. En
está relacionada con la asignación de autoridad el departamento de ventas, únicamente
y responsabilidad. el personal más experimentado atiende
‪ Existe información apropiada para determinar a los grandes fabricantes de aviones.
el nivel de autoridad y el alcance de la respon- Se les da considerable, pero no absolu-
sabilidad asignada a cada persona. ta, autoridad para negociar contratos,
hacer concesiones o tomar otras accio-
nes que consideren necesarias para

asegurar la satisfacción de los clien-
tes. Todas las asignaciones importan-
tes de responsabilidad y delegación de
autoridad son revisadas por la alta di-
rección.
* Idoneidad de las normas y los procedi Las normas de trabajo y las responsa-
mientos relacionados con el control, incluyen bilidades de control se revisan anual-
do la descripción de funciones. Considerar, por mente por cada vicepresidente y cada
ejemplo, si: responsable de departamento. El di-
rector general revisa anualmente si la
‪ Existe una descripción de funciones para el estructura jerárquica y los canales de
trabajo de los directores de departamento y los información son adecuados a nivel de
supervisores. dirección de actividades y/o departa-
‪ En esa descripción se hace referencia específi- mentos.
ca a las responsabilidades de control.
* Número apropiado de personas, especial Debido a la reciente adquisición de

mente con respecto a funciones relacionadas Laker Parts, hay más personal de con-
con el proceso de datos y contabilidad que ten tabilidad que el necesario. La direc-
gan los niveles técnicos requeridos en función ción tiene intención de integrar las ac-
del tamaño de la entidad y la naturaleza y tividades contables y está actualmente
complejidad de sus actividades y sistemas. evaluando los requerimientos de per-
Considerar, por ejemplo, si: sonal. El departamento de sistemas in-
formáticos tiene dos directivos, cuatro
‪ La entidad tiene el personal adecuado, en nú- programadores y cuatro operadores,
mero y experiencia, para llevar a cabo su mi- todos bien formados y competentes.
sión. Este personal parece ser suficiente pa-
ra cubrir las necesidades futuras.
* Idoneidad de la delegación de autoridad es- Las responsabilidades de cada puesto

tablecida en relación con las responsabilidades de trabajo se corresponden con las ne-
asignadas. Considerar, por ejemplo, si: cesidades y capacitación. La toma de
decisiones se baja a niveles razonables
‪ Existe un adecuado equilibrio entre la autori- con la suficiente participación de los
dad necesaria para "que se haga el trabajo" y la superiores, cuando es necesario.
participación de personal directivo cuando sea

requerida.
‪ Los empleados del nivel "adecuado" están au-
torizados para resolver cualquier problema o
para implantar mejoras. Esta facultad se acom-
paña con los niveles adecuados de aptitud y
con límites claros de autoridad.
La autoridad y la responsabilidad han sido adecuadamente establecidas y revisadas por

la alta dirección.
Políticas y prácticas en materia de recursos

humanos
Las políticas de recursos humanos son esencia-

les para el reclutamiento y el mantenimiento de
personas competentes que permitan llevar a cabo
los planes de la entidad y así lograr la consecución
de sus objetivos.
* Se han implementado políticas y procedi- El departamento de recursos humanos

mientos para la contratación, formación y pro- ha establecido políticas y procedi-
moción a los empleados. Considerar, por ejem- mientos para contratar, formar, pro-
plo, si: mocionar y remunerar a los emplea-
dos. Tales políticas y procedimientos
‪ Las políticas y los procedimientos existentes son revisados y modificados, según sea
aseguran el reclutamiento o el desarrollo pro- necesario, al menos anualmente. Asi-
fesional de las personas fiables necesarias para mismo, el vicepresidente de recursos
soportar un sistema efectivo de control interno. humanos es responsable de controlar
‪ El nivel de atención que se presta al recluta- que se cumpla con las políticas y pro-
miento y a la formación de las personas es ade- cedimientos establecidos de recursos
cuado. humanos en toda la empresa, e informa
‪ Cuando no existe documentación formal de las sobre dicho cumplimiento anualmente

políticas y prácticas la dirección informa de las al consejo.
expectativas existentes sobre qué tipo de per-
sonas han de ser contratadas o participa direc-
tamente en el proceso de contratación.
* Se informa a los empleados de sus responsa- Todos los nuevos empleados a nivel de
bilidades y de lo que se espera de ellos. Consi- supervisión reciben una descripción
derar, por ejemplo, si: escrita de su puesto de trabajo en la
que se detallan sus responsabilidades.
‪ Los empleados nuevos conocen cuáles son sus Adicionalmente, son evaluados anual-
responsabilidades y lo que la dirección espera mente, estableciéndose objetivos de
de ellos. rendimiento para el año siguiente. Sus
‪ El personal de supervisión se reúne periódi- responsabilidades son revisadas con
camente con los empleados para revisar su ren- ellos durante su evaluación. Los super-
dimiento profesional y proponer medidas para visores comunican las funciones del
mejorarlo. puesto de trabajo a los empleados que
tienen a su cargo.
* Las acciones correctivas que se toman en Las desviaciones de las políticas y de

respuesta a las desviaciones de las políticas y los procedimientos, así como los com-
procedimientos aprobados son suficientes y portamientos inadecuados, son trata-
adecuados. Considerar, por ejemplo, si: dos según la infracción cometida. Las
medidas correctivas pueden ir desde
‪ La respuesta de la dirección es adecuada cuan- avisos verbales, recordando la política
do no se llevan a cabo apropiadamente las res- de la empresa, a la formación adicio-
ponsabilidades asignadas. nal o al despido.
‪ Se toman acciones correctivas cuando no se
observan las políticas establecidas.
‪ Los empleados entienden que cualquier in-
cumplimiento traerá como consecuencia la
adopción de medidas correctivas.
* Las políticas de personal están orientadas a La observancia de normas éticas es un

la observancia de unas normas éticas y mora factor que se trata específicamente en
les apropiadas. Por ejemplo, considerar si: el formulario de evaluación anual y ha
de tenerse en cuenta durante el proce-
‪ Se toman en cuenta los valores éticos y la inte- so de evaluación.
gridad en las evaluaciones de rendimiento pro-
fesional.
* Las verificaciones de los historiales de los Para todos los candidatos, la empresa
candidatos en cuanto a comportamientos pre se pone en contacto con al menos tres
vios o actividades que se consideren no acepta referencias, profesionales y persona-
bles por la entidad son suficientes y apropia les. Los empleados contratados a nivel
das. Por ejemplo, considerar si: de supervisor o a un nivel superior son
entrevistados por un psicólogo indus-
‪ Se someten a un examen especialmente minu- trial.
cioso los historiales que tienen cambios de em-
pleo frecuentes o períodos de inactividad.
‪ Las políticas de contratación incluyen una in-
vestigación de los candidatos con antecedentes
penales.
* Idoneidad de los criterios de retención de los Todos los empleados han de cumplir
empleados, de los criterios de promoción y de con las expectativas de la empresa en
las técnicas para la recopilación de informa cuanto a comportamiento para mante-
ción en relación con el código de conducta u ner sus puestos de trabajo. Los candi-
otras directrices de comportamiento. Por ejem datos para promoción a supervisor o
plo, considerar si: niveles superiores deben haber demos-
trado su compromiso de cumplimiento
‪ Los criterios con respecto a ascensos y subidas de los valores éticos, mediante su pro-
de sueldos están suficientemente explícitos pa- pia actuación y dando un ejemplo a los
ra que los empleados sepan lo que la dirección otros empleados. La información se
espera de ellos antes de ascensos o promocio- obtiene primordialmente mediante el
nes. proceso de evaluación y de manera
‪ Dichos criterios incluyen el cumplimiento de menos formal mediante memorandos o
normas de conducta. comentarios presentados por los su-
pervisores u otros empleados. Los co-
mentarios que indican incumplimiento
de las normas de conducta son investi-
gados, antes de ser considerados en las
decisiones relacionadas con el mante-
nimiento o promoción del empleado.
Las políticas y procedimientos con respecto al personal son adecuados.

Resumen del componente: Conclusiones/acciones necesarias
La dirección está comprometida con la integridad, comportamiento ético y capacitación

profesional. La participación del consejo en las actividades de la empresa es generalmente
adecuada, aunque podría participar más en investigaciones especiales. La filosofía de di-
rección y el estilo de gestión son adecuados, como lo son la estructura organizativa y la
asignación de autoridad y responsabilidad. La dirección debe seguir controlando los efec-
tos de la adquisición de Laker Parts, especialmente en lo concerniente a la estructura or-
ganizativa revisada y a los despidos pendientes. Las políticas y procedimientos de personal
pueden considerarse adecuados.
Objetivos globales de la entidad Los objetivos, incluidos en el plan de

negocios de ABC y confirmados por la
Para que una entidad tenga un control eficaz, dirección, son:
debe tener unos objetivos establecidos. Los objeti-
vos globales de la entidad incluyen aseveraciones Operaciones. Ser líder en el suministro
generales acerca de sus metas y están apoyados de piezas aeroespaciales de alta cali-
por los planes estratégicos correspondientes. Des- dad, imprescindibles para la seguridad
cribir los objetivos globales de la entidad y las es- de los vuelos. Para los próximos cinco
trategias clave que se han establecido. años, el objetivo es llegar a tener una
participación del 2% en el mercado
nacional y una participación del 10%
en el mercado internacional.
- Conseguir una rentabilidad a la

inversión efectuada del 18%.
- Facilitar a los empleados bue
nas oportunidades de desarrollo
profesional y empleo estable.
Estados financieros. Emitir estados fi-

nancieros en tiempo oportuno que
cumplan con los principios contables
generalmente aceptados.
Cumplimiento. Cumplir con la letra y

espíritu de todas las leyes y legislacio-
nes aplicables.
* Hasta qué punto los objetivos globales de la Estos objetivos determinan lo que la
entidad proporcionan una descripción y orien empresa desea conseguir con respecto
tación lo suficientemente amplias de las metas a calidad, mercado, participación en el
de la misma, que sean además lo bastante es mercado y rentabilidad sobre la inver-
pecíficos respecto de la entidad en concreto. sión efectuada. Son descripciones bas-
Por ejemplo, considerar si: tante amplias pero adaptadas a las ne-
cesidades de la empresa. Aportan
‪ La dirección ha establecido unos objetivos glo- directrices y guías para la dirección y
bales. los empleados.
‪ Dichos objetivos globales están suficiente-
mente diferenciados de los objetivos genéricos
que podrían aplicarse a cualquier entidad (por
ejemplo, generar un flujo de caja suficiente pa-
ra liquidar las deudas o conseguir una rentabi-
lidad adecuada de las inversiones).
* Efectividad con la que los objetivos globales Estos objetivos están incluidos en
comunican a los empleados y al consejo de ad nuestro plan de negocios anual que se
ministración. Por ejemplo, considerar si: distribuye a los empleados y se expone
en la reunión anual con los empleados,
‪ La información sobre los objetivos globales de así como en varias reuniones de depar-
la entidad se comunica a los empleados y al tamentos y unidades. El consejo de ad-
consejo de administración. ministración ayuda a establecer los
‪ La dirección recibe confirmación de los direc- objetivos globales y aprueba el plan de
tivos clave, los empleados y el consejo de que negocios.
la comunicación al personal es efectiva.
* Relación y coherencia de las estrategias con los Los planes estratégicos (dirigidos a
objetivos globales. Por ejemplo, considerar si: producir tolerancias estrictas, en un
programa de calidad total, y dirigir re-
‪ El plan estratégico apoya los objetivos globa- cursos de comercialización a clientes
les. claves e influyentes) van en línea con
‪ Incluye la asignación a alto nivel de recursos y los objetivos operativos.
prioridades.
* Coherencia de los planes de negocios y los El plan de negocios quinquenal de la

presupuestos con los objetivos globales, los empresa es actualizado anualmente
planes estratégicos y las circunstancias actua por la dirección y aprobado por el con-
les de la entidad. Por ejemplo, considerar si: sejo. Incluye las estrategias a llevar a
MANUAL DE REFERENCIA: EVALUACIÓN DE LOS RIESGOS 367
‪ Las asunciones adoptadas en los planes y pre- cabo para conseguir los objetivos glo-
supuestos reflejan la experiencia histórica y las bales establecidos. Parte de la actuali-
circunstancias actuales de la entidad. zación anual del plan de negocios con-
‪ Los planes y presupuestos tienen un nivel de siste en identificar los objetivos de los
detalle adecuado para cada nivel de dirección. departamentos y las unidades, y esta-
blecer presupuestos detallados, tanto
operativos como de inversiones. Los
gerentes de los departamentos y las
unidades participan activamente en el
establecimiento de objetivos y presu-
puestos. Todos los planes y presupues-
tos son revisados y aprobados por la
alta dirección, asegurándose de que
planes y presupuestos son coherentes
entre sí y reflejan la experiencia histó-
rica y las condiciones económicas ac-
tuales del sector.
Los objetivos globales y las estrategias de la empresa están establecidos a un nivel apro-
piado y están interrelacionados, determinando lo que la empresa tiene que conseguir y
cómo se conseguirá.
Objetivos específicos para cada actividad
Los objetivos específicos surgen de los objeti-

vos y estrategias globales y están vinculados con
ellos. Los objetivos específicos suelen expresarse
como metas a conseguir, con unos fines y plazos
determinados. Deberían establecerse objetivos pa-
ra cada actividad importante, siendo estos objeti-
vos específicos coherentes los unos con los otros.
* Vinculación de los objetivos específicos de Los objetivos de cada actividad se ba-

cada actividad con los objetivos globales y los san y derivan de los objetivos globales
planes estratégicos. Por ejemplo, considerar si: y planes estratégicos. Los responsa-
bles de las unidades presentan objeti-
‪ Existe un vínculo adecuado para todas las activos específicos a su vicepresidente
vidades importantes. quien asegura su vinculación con los
‪ Se revisan periódicamente los objetivos espe- objetivos globales. Por ejemplo, al po-
cíficos para comprobar que continúan siendo ner énfasis en la producción de piezas
relevantes. de alta calidad críticas para la seguri-
dad de los vuelos, los requisitos de
cualificación de los proveedores fue-
ron modificados para subrayar las
consideraciones de calidad, y los pro-
cedimientos del departamento de re-
cepción de material, el número de em-
pleados, los requisitos de formación y
la compra de equipos fueron modifica-
dos para reflejar la importancia cre-
ciente de la verificación de los mate-
riales. Los procesos de producción
fueron alterados y se contrató más per-
sonal para el control de calidad.
* Coherencia de los objetivos específicos entre Los objetivos de cada actividad están
sí. Por ejemplo, considerar si: diseñados para apoyar la realización
de los objetivos globales. Para asegu-
‪ Se complementan y refuerzan dentro de cada rar la coherencia, la alta dirección re-
actividad. visa los objetivos de las actividades de
‪ Se complementan y se apoyan mutuamente en- las que son responsables. El director
tre sí para las distintas actividades. general también revisa objetivos espe-
cíficos para obtener una perspectiva
amplia y asegurar la coherencia.
* Establecimiento de objetivos específicos para Supervisado por el vicepresidente co-

todos los procesos empresariales importantes. rrespondiente, cada departamento re-
Por ejemplo, considerar si: visa anualmente su participación en
los procesos empresariales para ase-
gurarse de que ayudan a la consecu-
ción de los objetivos específicos. Se
‪ Se establecen objetivos para las actividades presta especial atención a que la infor-
esenciales en los flujos de bienes y servicios y mación sea la adecuada y que las acti-
para las actividades de apoyo. vidades de cada empleado sean las
‪ Los objetivos específicos son coherentes con apropiadas. Los objetivos específicos
las prácticas y actuaciones históricas de la en- están en línea con los objetivos y las
tidad o con empresas similares del mismo sec- prácticas de la empresa de los últimos
tor y, si existen diferencias, se han analizado cuatro años. Las compañías del sector
los motivos de las mismas. comparten objetivos y prácticas simi-
lares.
‪ Se establecen objetivos para cada actividad Cada departamento o unidad desarro-

importante, que pueden incluir las siguientes, lla objetivos, dentro de la actualiza-
entre otras (las actividades expuestas a conti- ción anual del plan de negocio. Véanse
nuación se derivan de un modelo genérico de páginas 404 a 415 para actividades de
empresa, páginas 277 a 280; en las páginas 281 recepción de mercancía (no se incluye
a 344 del "Manual de referencia" se presentan análisis para actividades similares).
ejemplos de objetivos para cada una de dichas
actividades):
- Recepción de mercancías
- Operaciones
- Expedición de mercancías
- Marketing y ventas
- Servicio al cliente
- Aprovisionamientos
- Desarrollo de tecnología
- Recursos humanos
- Gestión de la empresa
- Gestión de las relaciones con terceros
- Servicios administrativos
- Tecnología de la información
- Gestión de riesgos (de accidentes u otras
pérdidas asegurables)
- Gestión de los asuntos legales
- Planificación
- Proceso de cuentas a pagar
- Proceso de cuentas a cobrar
- Proceso de la tesorería
- Proceso de inmovilizado material
- Análisis y conciliaciones
- Proceso de la información sobre pensiones y
jubilación
- Proceso de nóminas
- Proceso de cumplimiento de las obligacio
nes fiscales
- Proceso de valoración del coste de los pro
ductos
- Información financiera y de gestión
* Nivel de especificación de los objetivos de ca- Los objetivos de cada actividad son lo
da actividad. Por ejemplo, considerar si: más específico posible. Están definidos
de tal manera que permitan que la de-
‪ Los objetivos incluyen criterios de cuantifica- terminación de si se ha alcanzado un
ción. objetivo sea una cuestión sencilla y ra-
zonable.
* Adecuación de los recursos relacionados con Los planes de negocios y los presu-
cada objetivo. Por ejemplo, considerar si: puestos se basan en, y son el origen de,
las necesidades y la asignación de re-
‪ La dirección ha identificado los recursos nece- cursos. También sirven como chequeo
sarios para alcanzar los objetivos. de si las nuevas iniciativas son facti-
‪ Existen planes para adquirir los recursos preci- bles. Por ejemplo, el plan de negocios
sos (por ejemplo, financiación, personal, insta- para desarrollar una línea de equipo
laciones, tecnología). de navegación puso de manifiesto que
los recursos financieros y de gestión
necesarios sólo se podían obtener a un
alto coste y un riesgo inaceptable; por
consiguiente, el plan fue desechado.
* Identificación de los objetivos importantes La empresa ha dividido los objetivos

(factores críticos de éxito) para conseguir los específicos de cada actividad en tres
objetivos globales de la entidad. Por ejemplo, categorías diferentes: crítico, impor-
considerar si: tante y de apoyo. La categoría asig-
nada es revisada con regularidad y
‪ La dirección ha identificado las acciones que siempre que un cambio en los condi-
deben llevarse a cabo con éxito, o los fallos cionantes del negocio requiere una
que han de evitarse, para que se consigan los modificación de objetivos o de la for-
objetivos globales de la entidad.
‪ Las inversiones y los presupuestos de gastos se ma en que la empresa lleva a cabo los
basan en el análisis efectuado por la dirección negocios.
de la importancia relativa de los objetivos.
‪ La dirección efectúa un seguimiento especial
de los objetivos que constituyen factores críti-
cos de éxito.
* Participación de todos los niveles de la direc- Todos los gerentes participan en esta-
ción en la fijación de objetivos y hasta qué blecer los objetivos globales de la em-
punto están comprometidos en la consecución presa. Las decisiones finales son toma-
de los mismos. Por ejemplo, considerar si: das por la alta empresa (el director
financiero y los vicepresidentes de pro-
‪ Los directores o supervisores de actividades o ducción y de marketing), teniendo en
departamentos participan en la determinación cuenta la aportación de los gerentes.
de los objetivos de las actividades de las que Las modificaciones a los objetivos es-
son responsables. pecíficos de cada actividad se discuten
‪ Existen procedimientos para resolver los con- entre el vicepresidente correspondiente
flictos. y el gerente de la unidad. Los temas no
‪ Los directivos apoyan el cumplimiento de los resueltos son tratados por el director
objetivos, sin tener "programas secretos". general. Los planes de las unidades son
modificados en lo necesario, en
consonancia con los objetivos finales.
Los objetivos específicos de cada actividad están vinculados a los objetivos globales de la
empresa. La participación de los gerentes en el desarrollo de los objetivos específicos con-
tribuye a establecer metas alcanzables.
Riesgos
El proceso de evaluación de los riesgos de una

entidad debe identificar y analizar las implicacio-
nes de los riesgos relevantes, tanto para la entidad
como para cada una de las actividades. Dicho pro-
ceso ha de tener en cuenta los factores externos e
internos que pudiesen influir en la consecución de

los objetivos, debe efectuar un análisis de los rie-
gos y proporcionar una base para la gestión de los
mismos.
* Existencia de mecanismos adecuados para La dirección obtiene información, so-

identificar los riegos derivados de fuentes ex- bre los riesgos que afectan a la empre-
ternas. Por ejemplo, considere si la dirección to- sa, de asesores y analistas industria-
ma en cuenta los riesgos relacionados con: les, abogados, auditores externos y
miembros del consejo. La evaluación
- las fuentes de suministro de los principales riesgos efectuada
- los cambios tecnológicos por la dirección es la siguiente:
- los requerimientos de los acreedores
- las acciones de la competencia Riesgo: La incapacidad del proveedor
- las condiciones económicas de suministrar materiales que cumplan
- las condiciones políticas permanentemente con las especifica-
- la normativa aplicable ciones de producción de la empresa.
- los acontecimientos naturales
La empresa dispone de un eficaz de-
partamento de control de calidad que
controla la calidad de cada suminis-
trador. Los procedimientos de la acti-
vidad de recepción de materiales son
adecuados para afrontar este riesgo.
Riesgo: Insuficiente capacidad de pro-

ducción de los suministradores de ma-
teriales para satisfacer los pedidos de
la empresa.
Existen varios suministradores impor-
tantes que pueden cumplir con las ne-
cesidades de suministro de la empresa.
Parece que hay poco riesgo de que se
produzca una escasez de proveedores.
La actividad de compra de la empresa
controla la disponibilidad de los sumi-
nistradores.
Riesgo: Una subida importante en los

costes de material debido a cambios en
la demanda o en la coyuntura econó-
mica.
Los costes de material fluctúan perió-

dicamente como respuesta a los cam-
bios en los precios de materias primas.
La empresa debería tener en cuenta el
uso de contratos de futuros para cier-
tos materiales para cubrir posibles in-
crementos de costes.
Riesgo: La investigación por la Comi-

sión Federal de Comercio de la com-
pra de Laker Parts por posible restric-
ción de la competencia.
La empresa prevé tener una participa-

ción del 2% en el mercado nacional y
del 10% en el mercado internacional.
Un fallo en contra de la empresa es po-
co probable.
Riesgo: Actas de la Inspección de Ha-

cienda derivadas de la revisión de los
años abiertos a inspección.
Las declaraciones de los últimos tres

años están abiertas a inspección. Las
prácticas de la empresa respecto a im-
puestos son prudentes y ha dotado pro-
visiones para posibles liquidaciones
adicionales.
Riesgo: La Fuerza Aérea puede impo-

ner más requisitos estrictos sobre la
producción de las piezas de recambio
utilizadas en la industria aérea.
Es probable que la Fuerza Aérea re-

quiera que las piezas de recambio sean
más duraderas. El departamento de
desarrollo de tecnología está actual-
mente considerando procesos de pro-
ducción y materiales alternativos. Pro-
bablemente estamos ligeramente por
delante de nuestros competidores a es-
te respecto.
Riesgo: La penetración en el mercado

internacional de un competidor impor-
tante como consecuencia de su recien-
te adquisición de una compañía alema-
na, dificultando así la posibilidad de
que ABC consiga una participación del
10% del mercado exterior en cinco
años.
Las actividades de ventas y marketing

están considerando este factor al des-
arrollar las estrategias para penetrar
en el mercado exterior y conseguir los
objetivos de crecimiento fijados.
Riesgo: Recortes en los gastos de de-

fensa del Pentágono pueden ocasionar
un exceso en la capacidad de produc-
ción.
ABC tiene pedidos para tres años de

contratos con el Gobierno, por lo que
futuras reducciones en los gastos del
Gobierno no tendrían un impacto in-
mediato en la producción.
Riesgo: Las condiciones económicas y

políticas podrían frenar el transporte
aéreo comercial y reducir los pedidos

de nuevos aviones.
El transporte aéreo comercial puede

reducirse en los próximos años, pero la
demanda de piezas de recambio debe-
ría seguir siendo fuerte, debido a la
gran acumulación de pedidos pendien-
tes de nuevos aparatos y la antigüedad
de la flota. No se espera ningún impac-
to importante.
Riesgo: Un dólar americano inestable

junto con el incremento de ventas al
extranjero podría dar lugar a pérdidas
por diferencias de cambio en divisas.
Hay que considerar tomar medidas pa-

ra cubrir las transacciones en moneda
extranjera.
Riesgo: Los principales competidores

de ABC han modernizado sus procesos
de producción y han reducido sus plan-
tillas en el 15%. La empresa ha tarda-
do en seguir sus pasos.
Esta situación precisa atención inme-

diata, de lo contrario, puede haber un
riesgo de pérdida de negocio.
* Existencia de mecanismos adecuados para Los riesgos procedentes de fuentes in-

detectar los riesgos provenientes de fuentes internas son evaluados. La evaluación de
ternas. Por ejemplo, considerar si la dirección la dirección de estos riesgos es:
toma en cuenta los riesgos relacionados con:
Riesgo: La empresa puede experimen-
‪ Los recursos humanos, tales como la continui- tar problemas de tesorería a corto pla-
dad de los directivos clave o los cambios de zo debido a su reciente adquisición de
responsabilidades que pudieran influir en la Laker Parts y su plan de incrementar

eficacia del trabajo. los dividendos a los accionistas.
‪ La financiación, es decir, la disponibilidad de
fondos para las iniciativas nuevas o la conti- Riesgo: Las proyecciones financieras
nuación de programas clave. muestran que la integración de Laker
‪ Las relaciones laborales, por ejemplo, los pro- Parts y ABC tendrá como resultado el
gramas de remuneraciones y otros beneficios ahorro anual de efectivo de aproxima-
laborales que mantengan el nivel de competiti- damente 2,8 millones de dólares por
vidad de la entidad dentro de su sector. año, a partir del tercer trimestre de es-
‪ Los sistemas de información, tal como el mante año. El flujo neto de caja de aproxi-
tenimiento de sistemas adecuados de copias madamente 2,5 millones de dólares
de seguridad y de emergencia, para el caso de procedente de las operaciones es sufi-
fallos del sistema que pudiesen afectar la con- ciente para cubrir la deuda de la ad-
tinuidad de las operaciones de manera impor- quisición. Las inversiones están siendo
tante. financiadas por préstamos a largo pla-
zo garantizados con las propias inver-
siones. La empresa tiene capacidad de
endeudamiento adicional como de-
muestra la línea de crédito autorreno-
vable de 4,5 millones de dólares aún
sin utilizar. No son necesarias más ac-
ciones para controlar este riesgo.
Riesgo: Se están disminuyendo los

márgenes de beneficio en algunas lí-
neas de productos.
ABC está cambiando el énfasis en va-

rias líneas de producto, alejándose de
productos de poco margen a productos
de mucho margen, como las piezas im-
prescindibles para la seguridad de los
vuelos. Además, los mercados euro-
peos en expansión ofrecen nuevas
oportunidades. El plan de negocios
afronta estos temas y la realización del
plan debería ser supervisada atenta-
mente. No se considera necesario to-
mar otro tipo de medidas.
Riesgo: Conflicto laboral.
ABC no prevé problemas laborales. La

plantilla está totalmente compuesta de
personas capacitadas y con experien-
cia. Las relaciones con el comité de
empresa son buenas. La negociación
del convenio laboral está prevista para
el próximo ejercicio. No se considera
necesario tomar medidas adicionales.
Riesgo: Debido a la reciente adquisi-

ción de Laker Parts, diversos puestos
de administración han sido elimina-
dos, creando incertidumbre entre algu-
nos empleados sobre su seguridad en
el empleo a largo plazo.
La dirección ha tomado medidas para

reducir la inseguridad creada por di-
chos despidos:
- La dirección ha explicado la ne-

cesidad de los despidos demos-
trando que sólo tenían relación
con la adquisición y no con pro-
blemas del negocio a largo pla-
zo.
- Se pagaron indemnizaciones ge-
nerosas a los empleados despe-
didos.
- El personal de supervisión efec-
túa un seguimiento de la moral
de los empleados.
Riesgo: La integración de las opera-

ciones y los sistemas de información de
Laker Parts puede provocar alteracio-
nes en las operaciones ya existentes
(por ejemplo, producción, control de

calidad, comercialización).
El vicepresidente de operaciones ha si-

do encargado de integrar las operacio-
nes de Laker Parts. El plan de integra-
ción, aprobado por el director general,
incluye fechas límite y factores que van
midiendo el alcance y resultado de la
misma. Se informa semanalmente de la
situación de la integración y cualquier
desviación del programa establecido.
* Identificación de los riesgos significativos pa- Los planes de negocio y presupuestos

ra cada objetivo específico importante para de las actividades clave relacionan los
cada actividad. (Considerar los riesgos identifi- objetivos específicos de cada actividad
cados para cada una de las actividades menciona- con los riesgos y los planes de acción.
das en los "objetivos específicos"; el "Manual de Véanse páginas .... (no se incluyen
referencia" incluye ejemplos de riesgos relacio- análisis similares para otras activida-
nados con objetivos usuales, en las páginas 285 a des).
348).
* Profundidad con que se efectúa el análisis de Como ya se ha mencionado, los pro-

riesgos; es decir, si se evalúa la importancia y cesos de planificación y presupuestos
probabilidad de ocurrencia de los riesgos, así incluyen el análisis de los riesgos que
como las medidas necesarias para abordarlos. pueden afectar a la empresa. Adicio-
Por ejemplo, considerar si: nalmente, la alta dirección se reúne
mensualmente para comentar los
‪ Los riesgos se analizan a través de procedi- acontecimientos recientes y cómo
mientos formales, o de manera informal como pueden éstos afectar a la empresa.
parte de la actividad diaria de la gerencia.
‪ Los riesgos detectados son relevantes para el
objetivo específico correspondiente.
‪ El análisis de riesgos es realizado por directi-
vos de una categoría adecuada.
El proceso de la empresa para identificar y analizar los riesgos es adecuado basándose en

la naturaleza de las operaciones de la misma. Los conceptos a los que hay prestar atención
son:
‪ Estudiar la utilización de técnicas de cobertura para cubrir los incrementos de costes
de algunos materiales.
‪ Evaluar inmediatamente el progreso realizado en la modernización de los procesos de
producción.
‪ Supervisar la integración y los proyectos de cambio de mercados/productos.
Gestión del cambio
Los entornos económico, industrial y legal

cambian y las actividades de las entidades evolu-
cionan. Hacen falta mecanismos para detectar ta-
les cambios y reaccionar ante ellos.
* Existencia de mecanismos para anticipar, Los responsables de las diferentes fun-

identificar y reaccionar ante los acontecimien- ciones identifican los acontecimientos
tos o cambios rutinarios que influyen en la o cambios coyunturales que afectan a
consecución de los objetivos específicos o glo- sus esferas de responsabilidad. La di-
bales (suelen ser establecidos por los directivos rección se reúne dos veces al mes para
responsables de las actividades que más se ve- tratar los cambios identificados y para
rían afectadas por los cambios). Por ejemplo, formular planes de acción. Se realiza
considerar si: un seguimiento en las reuniones poste-
riores donde se toman las decisiones
‪ Los acontecimientos o cambios se abordan co- con respecto a la necesidad de estable-
mo parte del proceso usual de identificación y cer nuevos controles.
análisis de riesgos, o por medio de mecanis-
mos independientes.
‪ Los riesgos y las oportunidades relacionados
con los cambios son tratados por personas de
categoría suficiente, de forma que se identifi-
quen todas sus implicaciones y se formulen

planes de acción adecuados.
‪ En el proceso se incluyen todas las actividades
de la entidad que se verán afectadas significa-
tivamente por los cambios.
* Existencia de mecanismos para detectar y re- La dirección utiliza varios mecanismos

accionar ante los cambios que pueden tener un para identificar acontecimientos o ac-
efecto más importante sobre la entidad y que, tividades que puedan afectar a la con-
consecuentemente, requieran la atención de la secución de los objetivos, incluyendo
alta dirección. Por ejemplo, para cada una de las la revisión de publicaciones de nego-
siguientes áreas de cambio potencial, considerar cios y del sector, la participación en
si: asociaciones empresariales y la utili-
zación de asesores y otros profesiona-
Cambio en el entorno de las operaciones: les para recabar datos específicos. La
empresa tiene asesores externos que le
‪ Las investigaciones de mercado u otros pro- informan de los cambios legales que
gramas identifican las principales variaciones puedan afectar a la misma. La alta di-
en la naturaleza, preferencias y tendencias de rección supervisa los cambios en la
las compras y gastos realizados por los clien- economía nacional y el estado de la in-
tes. dustria aeronáutica (por ejemplo, nue-
‪ La entidad es consciente de los cambios signi- vos pedidos, nivel de la cartera de pe-
ficativos en el personal, bien externos o inter- didos, tipos de aviones que están
nos, que pudieran afectar al nivel profesional siendo solicitados, cambios en la tec-
del personal disponible. nología, niveles de empleo) a través de
‪ Los asesores legales informan periódicamente un servicio de información sectorial.
a la dirección sobre las implicaciones de los Las actividades de los competidores se
cambios legislativos. siguen a través de afiliaciones a aso-
ciaciones profesionales, la interacción
Nuevos empleados: con los fabricantes de aviones y el aná-
lisis de las ofertas competitivas reali-
‪ Se toman medidas especiales para asegurar zadas por los competidores.
que los empleados nuevos entienden la cultura
de la entidad y actúan de acuerdo con la mis- La empresa ha tenido poca rotación,
ma. especialmente en las funciones de con-
‪ Se presta especial atención a las actividades trol clave. Todos los empleados o eje-
esenciales de control realizadas por personas a cutivos nuevos (por ejemplo, los proce-
las que se va a cambiar de actividad. dentes de Laker Parts) en puestos
clave son supervisados atentamente al
Sistemas de información nuevos o modificados: principio para asegurar que su actua-

ción y enfoque son apropiados.
‪ Existen mecanismos para evaluar el impacto
de los nuevos sistemas. El vicepresidente de investigación/in-
‪ Se han implantado procedimientos para anali- geniería efectúa un seguimiento de las
zar si las actividades de control existentes sonnuevas tecnologías que pueden ser in-
apropiadas cuando se desarrollan e implantan corporadas en los productos de la em-
nuevos sistemas informáticos. presa, o que están siendo desarro-
‪ La dirección sabe si se cumplen las políticas de lladas por los competidores. Se
desarrollo e implantación de sistemas, a pesar informa a la alta dirección y al consejo
de que existan presiones para "acortar" el pro- de administración acerca de esas tec-
ceso. nologías. El vicepresidente de opera-
‪ Se presta atención al efecto de los nuevos sis- ciones sigue los desarrollos tecnológi-
temas tanto sobre los flujos de información y cos que pueden ser utilizados en el
los controles correspondientes como sobre la proceso de producción y el director fi-
formación de los empleados, prestando espe- nanciero y el gerente de sistemas de in-
cial atención a la resistencia de los empleados formación identifican nuevas tecnolo-
ante el cambio. gías que pueden ser incorporadas en
los sistemas de información de la em-
Crecimiento rápido: presa. Los planes de implantación son
desarrollados por los responsables de
‪ Se aumenta la capacidad de los sistemas para los departamentos o actividades, con-
poder tratar rápidamente volúmenes crecientes juntamente con la alta dirección y son
de información. aprobados por el consejo de adminis-
‪ Se incrementa en lo necesario el número de tración.
empleados de operaciones, contabilidad y pro-
ceso de datos para hacer frente al aumento en Cuando se analiza el desarrollo de
el volumen de actividad. nuevas líneas de producto, se presta
‪ Existe un procedimiento de revisión de presu- mucha atención a la demanda de los
puestos o previsiones. clientes, las capacidades de produc-
‪ Existe un proceso para analizar las implicacio- ción, las implicaciones sobre la renta-
nes interdepartamentales de la revisión de ob- bilidad, las necesidades de los siste-
jetivos o planes en las distintas unidades. mas de información, etc. El formulario
"desarrollo de un nuevo producto" fa-
Nuevas tecnologías: cilita la disciplina para considerar es-
tos temas.
‪ Se obtiene información sobre los avances tec-
nológicos a partir de servicios de información,
asesorías, seminarios o quizás mediante opera-
ciones conjuntas con compañías líderes en las Las reasignaciones o reducciones de

áreas de investigación y desarrollo que son re- personal a consecuencia de la adquisi-
levantes para la entidad. ción de Laker Parts son aprobadas por
‪ Se efectúa un seguimiento de las nuevas tecno- el vicepresidente responsable de cada
logías o aplicaciones desarrolladas por la com- actividad. A los directores y superviso-
petencia. res se les ha pedido que estén atentos a
‪ Existen mecanismos para aprovechar las nue- cualquier signo que indique que la mo-
vas aplicaciones tecnológicas y para controlar ral de los empleados se ha visto afecta-
su utilización, mediante la incorporación de las da. La dirección ha mantenido reunio-
mismas en los procesos de producción o en los nes con los empleados para explicar
sistemas de información. las causas de las reducciones y enfati-
zar la fortaleza y estabilidad de ABC,
Líneas, productos, actividades y adquisiciones Inc. Los responsables de cada unidad
nuevas: se reúnen personalmente con su vice-
presidente para decidir las posibles
‪ Existe la capacidad de realizar previsiones ra- acciones a tomar para mejorar la mo-
zonables de los resultados de explotación y fi- ral.
nancieros.
‪ Se evalúa si son adecuados los sistemas de in- Debido a que la empresa planea au-
formación y de control existentes relacionados mentar su penetración en el mercado
con nuevos productos, líneas o actividades. europeo, hemos contratado personal
‪ Se desarrollan planes de contratación y forma- local con bastante experiencia en el
ción de personal con los conocimientos nece- sector de aviación para dirigir opera-
sarios para tratar los nuevos productos o acti- ciones en países clave, incluyendo el
vidades. Reino Unido, Alemania y Francia. Sus
‪ Existen procedimientos para seguir los resulta- responsabilidades incluyen el segui-
dos iniciales y efectuar las modificaciones que miento de los cambios en la industria y
sean necesarias a la producción y la comercia- la comunidad empresarial, enfocados
lización. especialmente a la unificación de la
‪ Se identifican y cumplen las obligaciones lega- Comunidad Europea.
les, fiscales y de formulación de estados finan-
cieros.
‪ Se realiza un seguimiento del impacto sobre
otros productos y sobre la rentabilidad de la
empresa.
‪ Se modifican las asignaciones de gastos gene-
rales para reflejar correctamente la aportación
de cada producto.
Reestructuración de la entidad
‪ Se analizan los efectos potenciales sobre las

operaciones correspondientes de las reduccio-
nes de plantilla o las reasignaciones de perso-
nal.
‪ Se lleva a cabo una nueva asignación de las
responsabilidades de control correspondientes
a los empleados transferidos o despedidos.
‪ Se analiza el impacto de las reducciones im-
portantes de plantilla sobre la moral del resto
de los empleados.
‪ Existen mecanismos para proteger a la empre-
sa contra las posibles represalias de los em-
pleados despedidos.
Operaciones en el extranjero:
‪ La dirección se mantiene al día en cuanto a la

cultura política, legal, empresarial y social de
las zonas en las que se llevan a cabo operacio-
nes extranjeras.
‪ Se informa a los empleados de las costumbres
y las normas de los países extranjeros.
‪ Existen procedimientos alternativos en el caso
de que las actividades o los mecanismos de co-
municación con las operaciones en el extranje-
ro se vean interrumpidos.
Los controles para identificar y reaccionar ante los cambios son adecuados.
Continuar vigilando la posible desmoralización de los antiguos empleados de Laker Parts.
Hay que estudiar la posibilidad de que los responsables de recursos humanos analicen las
actitudes de los empleados y supervisen su rendimiento periódicamente.
Los procedimientos para relacionar los objetivos globales con los objetivos específicos son
apropiados. La participación de la dirección en todos los niveles contribuye a establecer
metas factibles. Los procesos de evaluación de riesgos para identificar y analizar los ries-
gos son apropiados, como también lo son los mecanismos para el seguimiento de los cam-
bios coyunturales.
La dirección debe tomar en consideración la utilización de técnicas para mitigar el riesgo
de fluctuaciones de precios para ciertos materiales. La dirección también debería determi-
nar cómo acelerar el progreso en la modernización de las instalaciones en la planta. Se
debe seguir controlando la desmoralización en los empleados a causa de la adquisición de
Laker Parts.
Las actividades de control abarcan una gran

variedad de políticas y los procedimientos corres-
pondientes de implantación que ayudan a asegurar
que se siguen las directrices de la dirección. Ayu-
dan a asegurar que se llevan a cabo aquellas accio-
nes identificadas como necesarias para afrontar los
riesgos y así conseguir los objetivos de la entidad.
* Existencia de las políticas y los procedi- Los responsables de cada unidad dise-
mientos apropiados y necesarios en relación ñan controles relacionados con sus
con cada una de las actividades de la entidad. planes y programas de actividad en
particular. Los controles relacionados
‪ Todos los objetivos relevantes y los riesgos con los factores críticos de éxito son
asociados para cada una de las actividades im- revisados por el vicepresidente corres-
portantes deberían haber sido identificados pondiente. Véanse las páginas 404 a
conjuntamente en el proceso de evaluación de 415 para una descripción de las activi-
riesgos. Se puede consultar el "Manual de re- dades de control relacionadas con la
ferencia" (páginas 281 a 344 que presenta, pa- actividad de recepción de materiales.
ra las actividades empresariales generales, (No se incluyen análisis similares para
unos modelos de objetivos, riesgos y "puntos otras actividades).
donde centrar las acciones/actividades de con-
trol". Los comentarios que aparecen en la co-
lumna "actividades de control" pueden ser úti-
les para identificar qué medidas ha tomado la
dirección para afrontar los riesgos y para con-
siderar si son adecuadas las actividades de
control que aplica la entidad para asegurar que
las acciones se llevan a cabo. Hay que tener en

cuenta que los puntos de atención para los con-
troles generales (o controles generales infor-
máticos) se presentan en el "Manual de refe-
rencia" bajo la actividad "Tecnología de la
información".
* Las actividades de control establecidas están Las políticas de ABC requieren —y los
siendo aplicadas correctamente. programas de formación subrayan su
importancia— un seguimiento de las
‪ Los controles descritos en los manuales de desviaciones de los planes o resultados
procedimientos son aplicados en la realidad y esperados para determinar las causas
de la manera debida. de las mismas. Los empleados son eva-
‪ Se toman acciones apropiadas y en tiempo so- luados en base a sus acciones de segui-
bre las excepciones o sobre la información que miento.
requiere un seguimiento posterior.
‪ El personal de supervisión revisa el funciona-
miento de los controles.
El proceso de la empresa para identificar las actividades de control se basa en sus objetivos
y riesgos, y parece ser efectivo.
Existen actividades de control para los planes y programas significativos. Las mismas res-
ponden a las necesidades de la dirección.
Acciones necesarias con respecto a las actividades de recepción de materiales:
‪ Deben desarrollarse políticas y procedimientos que mejoren el flujo de grandes cantida-
des de materiales en las fases de recepción y comprobación de los mismos.
‪ Ha de estudiarse la eliminación de las duplicaciones que pueden surgir en la utilización
de personal de ingeniería en las comprobaciones iniciales.
‪ La dirección debe analizar la implantación de políticas para controlar las situaciones
en las que los empleados ejerzan una presión excesiva sobre el departamento de recep-
ción para que acepten los materiales recibidos.
‪ La dirección debería considerar la conveniencia de facilitar cursos de formación sobre
las leyes y normas relacionadas con materiales peligrosos.
Información
La información se identifica, recoge, procesa y

presenta por medio de los sistemas de informa-
ción. La información pertinente incluye los datos
del sector y los datos económicos y de organismos
de control obtenidos de fuentes externas así como
la información generada dentro de la organización.
* Obtención de información externa e interna, El plan estratégico global, desarro-

facilitando a la dirección los informes necesa- llado por la dirección, identifica la in-
rios sobre el rendimiento de la empresa en re- formación, generada interna y exter-
lación con los objetivos establecidos. Por ejem- namente, necesaria para analizar y
plo, considerar si: supervisar el cumplimiento de los obje-
tivos globales de la empresa. La infor-
‪ Existen mecanismos para conseguir la infor- mación derivada de fuentes externas,
mación externa pertinente sobre las condicio- como Dun & Bradstreet, publicaciones
nes del mercado, programas de competidores, de asociaciones comerciales y aseso-
novedades legislativas o de organismos de res externos, incluye información in-
control y cambios económicos. dustrial, económica y de los organis-
‪ Se identifica y presenta con regularidad la in- mos de control para utilizar en el
formación, generada dentro de la organiza- análisis de las tendencias del mercado
ción, crucial para el logro de los objetivos de y de la industria, registros de seguri-
la entidad, incluyendo la relacionada con los dad, información sobre la cuota de
factores críticos de éxito. mercado y el cumplimiento de las nor-
mas de aviación. La información gene-
rada internamente incluye informes
‪ Se suministra a los directivos y jefes de depar- sobre los márgenes brutos de las dife-
tamento la información que necesitan para rentes líneas de productos y la calidad
cumplir con sus responsabilidades. de servicio que la empresa ofrece (véa-
se también "Evaluación de riesgos ").
* Suministro de información a las personas Los grupos de proyecto, conjuntamen-

adecuadas, con detalle suficiente y en el mo- te con el comité de dirección de siste-
mento preciso, para permitirles cumplir con mas de información, identifican la in-
sus responsabilidades eficiente y eficazmente. formación que necesitan los usuarios
Por ejemplo, considerar si: para llevar a cabo eficazmente las ope-
raciones de la empresa, y son respon-
‪ Los directivos reciben información analítica sables de asegurar que cualquier defi-
que les permite identificar qué acción es nece- ciencia en el sistema actual de
saria llevar a cabo. información es tenida en cuenta en el
‪ La información se facilita con el detalle ade- programa de modificaciones al siste-
cuado para los distintos niveles de gestión. ma de información.
‪ En lugar de suministrar un "mar de datos" la
información se resume adecuadamente, facili- Las fechas límite para el suministro de
tando información pertinente y permitiendo la información han sido claramente esta-
inspección minuciosa de los detalles cuando es blecidas y acordadas por la dirección.
necesario. Semanalmente se supervisa el cumpli-
‪ La información está disponible en tiempo miento de dichas fechas límite, inclu-
oportuno para permitir el control efectivo de yendo los tiempos de disponibilidad y
los acontecimientos y actividades, tanto inter- respuesta, informando al director fi-
nos como externos, posibilitando la rápida re- nanciero.
acción ante factores económicos y comerciales
y los asuntos de control.
* Desarrollo o revisión de los sistemas de in- El comité de dirección de sistemas de

formación en base a un plan estratégico para información se encarga del desarrollo
dichos sistemas de información, vinculado a la del plan estratégico para los sistemas
estrategia global de la entidad, orientado a la de información. Dicho comité cuenta
consecución de los objetivos globales de la mis- con representantes de la dirección de
ma y los específicos de cada actividad. Por cada área de actividad del usuario de
ejemplo, considerar si: los sistemas. El plan se actualiza
anualmente, junto con las revisiones
‪ Se ha establecido un mecanismo (por ejemplo, del plan de negocios de la empresa, y
un comité de planificación de informática) pa- deforma interina cuando se hacen mo-
dificaciones importantes al plan de ne-
MANUAL DE REFERENCIA: INFORMACIÓN Y COMUNICACIÓN 389
ra identificar las necesidades de información gocios, con el fin de asegurar que el

que surjan. sistema de información sigue respon-
‪ Las necesidades y prioridades de información diendo a necesidades de la misma.
son determinadas por directivos con responsa-
bilidades suficientemente amplias.
‪ Se ha desarrollado un plan informático a largo
plazo ligado a las iniciativas estratégicas.
* El apoyo de la dirección al desarrollo de los La dirección creó el comité de direc-

sistemas de información necesarios se demues- ción de sistemas de información, cuyos
tra mediante la aportación de los recursos miembros dedican un tiempo conside-
apropiados, tanto humanos como financieros. rable a evaluar si los sistemas actuales
Por ejemplo, considerar si. son adecuados y llevar a cabo las me-
joras requeridas.
‪ Se aportan recursos suficientes (gestores, ana-
listas, programadores con los conocimientos
técnicos precisos) según sean necesarios para
mejorar o desarrollar nuevos sistemas de infor-
mación.
Los sistemas de información proporcionan a la dirección la información requerida, en tiem-

po oportuno, para poder gestionar eficazmente la empresa.
Comunicación
La comunicación es inherente al proceso de in-

formación. La comunicación también se lleva a ca-
bo en un sentido más amplio, en relación con las
expectativas y responsabilidades de individuos y
grupos. La comunicación debe ser eficaz en todos
los niveles de la organización (tanto hacia abajo
como hacia arriba y a lo largo de la misma) y con
personas ajenas a la organización.
* Eficacia con la que se comunica a sus em- Después de la emisión del informe
pleados las tareas y responsabilidades de con- anual, el director general mantiene
trol. Por ejemplo, considerar si: una reunión con los empleados para
revisar los resultados del ejercicio, ex-
‪ Las vías de comunicación —sesiones formales poniendo también los objetivos globa-
e informales de formación, reuniones y super- les para el siguiente año y cómo la di-
visión durante el trabajo— son suficientes para rección pretende conseguir esos
efectuar tal comunicación. objetivos. Después de la reunión, los
‪ Los empleados conocen los objetivos de su ac- vicepresidentes de cada departamento
tividad y cómo sus tareas contribuyen a lograr se reúnen con el personal de cada uni-
esos objetivos. dad para explicar cómo las actividades
‪ Los empleados entienden cómo sus tareas de esa unidad están relacionadas con
afectan a, y son afectadas por, las tareas de la consecución de los objetivos globa-
otros empleados. les de la empresa.
Como parte de su formación inicial, to-

dos los empleados reciben información
sobre sus tareas y cómo éstas afectan a
otros empleados de su propia unidad y
de otras unidades. Muchos empleados
reciben una formación cruzada, que
fortalece aún más su entendimiento de
estas cuestiones. Cada empleado es
objeto de una evaluación anual, en la
cual se analizan sus responsabilidades
para asegurar que las entiende perfec-
tamente.
* Establecimiento de canales de comunicación El manual del empleado especifica que

para que los empleados puedan informar so- los posibles incumplimientos de las po-
bre posibles irregularidades. Por ejemplo, con- líticas o normas de conducta de la em-
siderar si: presa deben ser comunicados a un vi-
cepresidente, como se ha explicado
‪ Existe alguna forma de comunicarse con los anteriormente. Tales comunicaciones
niveles superiores de la empresa sin tener que pueden efectuarse anónimamente.
pasar por un superior directo, por ejemplo me-
diante un "defensor del empleado" o asesor in- Los empleados han hecho uso de las
terno. vías de comunicación existentes para
‪ Se permite el anonimato. informar sobre posibles irregularida-
‪ Los empleados usan de hecho los canales de des. Además, a veces los empleados so-
comunicación. licitan a sus supervisores interpreta-
‪ Las personas que informan de posibles irregu- ciones de políticas y directrices cuan-
laridades son informadas de las medidas que se do la acción o conducta correcta a
toman y protegidas contra represalias. seguir no está especificada con clari-
dad.
La empresa no proporciona informa-

ción a los empleados que han denun-
ciado posibles irregularidades sobre
las medidas tomadas, limitándose a
agradecerles su interés. Los emplea-
dos que informan de posibles irregula-
ridades son protegidos de represalias,
a menos que (como se descubrió una
vez.) el informe haya sido realizado con
mala intención. La dirección anima a
los empleados a denunciar posibles
irregularidades y ha investigado todas
las denuncias que se han presentado.
* Receptividad de la dirección a las sugeren- La alta dirección acepta sugerencias

cias de los empleados sobre cómo mejorar la constructivas sin tener en cuenta su
productividad, la calidad a otro tipo de mejo- origen. En varias ocasiones, se han
ras similares. Por ejemplo, considerar si: ofrecido premios en metálico para su-
gerencias especialmente buenas. Los
‪ Existen mecanismos establecidos para que los directores de algunos departamentos
empleados puedan aportar sus recomendacio- no aceptan con facilidad tales sugeren-
nes de mejora. cias, por lo que la alta dirección está
‪ La dirección premia las buenas sugerencias de tratando de inculcarles una actitud
los empleados con premios en metálico o con más abierta en este sentido.
otras formas significativas de reconocimiento.
* Existencia de una comunicación adecuada La comunicación entre departamentos

entre todas las áreas de la empresa (por ejem- o unidades suele ser buena. Los em-
plo, entre las actividades de compras y pro- pleados son evaluados en base a su co-
ducción) y de una información completa, pun- laboración con el personal de otras ac-
tual y suficiente que permita que las personas tividades. Además, la percepción de
"bonos " depende del rendimiento con-
cumplan con sus responsabilidades eficazmen- junto de varios departamentos; por

te. Por ejemplo, considerar si: ejemplo, ventas, compras, recepción
de materiales y fabricación se evalúan
‪ Los agentes de ventas informan a los departa- en base a varios factores entre los que
mentos de ingeniería, producción y marketing se incluye la rentabilidad.
sobre las necesidades de los clientes.
‪ El personal de gestión de cuentas a cobrar in-
forma al de aprobación de créditos de aquellos
clientes que retrasan el pago.
‪ La información sobre nuevos productos o ga-
rantías de los competidores llega al personal de
ingeniería, marketing y ventas.
* Apertura y eficacia de los canales de comuni- Los vendedores buscan activamente

cación con los clientes, proveedores y otras las opiniones de los clientes, al atender
personas externas para transmitir información sus peticiones, quejas, propuestas de
sobre los cambios que se producen en las nece- mejoras en el diseño, necesidades de
sidades de los clientes. Por ejemplo, considerar reparaciones, etc. La información se
si: comunica al personal apropiado (por
ejemplo, al personal de ingeniería y
‪ Existen mecanismos de información con todos producción) en las reuniones conjun-
los terceros pertinentes. tas entre departamentos celebradas
‪ Las sugerencias, quejas y otras informaciones cada dos semanas. La dirección de
son recogidas y comunicadas a las personas operaciones y de ventas se reúne con
pertinentes dentro de la organización. los clientes y proveedores importantes
‪ La información se transmite a los niveles supe- periódicamente para obtener sus opi-
riores de la organización según sea necesario y niones directamente.
se realizan acciones de seguimiento.
* Alcance de la comunicación a terceros de las La dirección no notifica formalmente a

normas éticas de la entidad. Por ejemplo, consi- terceros las normas éticas y las expec-
derar si: tativas de la empresa. Sin embargo, la
empresa tiene reputación, tanto en la
‪ Las comunicaciones importantes a terceros sociedad como en el sector, de ser hon-
son proporcionadas por la dirección de acuer- rada y dicha reputación se refuerza
do con la naturaleza y la importancia del men- mediante el comportamiento observa-
saje (por ejemplo, un alto ejecutivo explica pe- do en las transacciones que realiza con
riódicamente por escrito a los terceros las terceros. Las cartas recibidas por el
normas éticas de la entidad). director general, además de los co-
‪ Los proveedores, clientes y otros terceros co- mentarlos en conversaciones con

nocen las normas y expectativas de la entidad clientes y proveedores importantes, de-
a la hora de tratar con la misma. muestran que la conducta seguida es
‪ Esas normas son evidenciadas en las relacio- adecuada.
nes diarias con terceros.
‪ Las irregularidades cometidas por empleados
de terceros son comunicadas a las personas
adecuadas.
* Realización de un seguimiento oportuno y La dirección realiza una comproba-

apropiado por la dirección de las comunicacio- ción inmediata de las comunicaciones
nes recibidas de clientes, proveedores, organis- recibidas de terceros que indican que
mos de control y otros terceros. Por ejemplo, existen problemas dentro del sistema
considerar si: de control, o que los empleados pueden
haber cometido irregularidades. Estas
‪ El personal es sensible a las comunicaciones fuentes externas son consideradas co-
recibidas respecto a problemas en los produc- mo indicadores valiosos de posibles
tos, servicios u otros temas y se investigan y problemas que sea necesario afrontar.
toman las acciones oportunas referentes a estas Las quejas de los clientes y las accio-
comunicaciones. nes de seguimiento correspondientes
‪ Se corrigen los errores de facturación a clien- son formalmente comunicadas al di-
tes, investigándose y corrigiéndose las fuentes rector general. La dirección exige que
de tales errores. se conteste a todas las comunicaciones
‪ Las quejas son tratadas por una persona ade- externas, indicando los resultados y
cuada y distinta de los empleados involucrados agradeciendo al comunicante su tiem-
en las transacciones originales. po y esfuerzo.
‪ Se toman las acciones adecuadas y se notifica
a los comunicantes las acciones de seguimien-
to llevadas a cabo.
‪ La alta dirección está al corriente de la natura-
leza y el volumen de las quejas.
En general, la comunicación es eficaz, tanto dentro de la empresa como entre la empresa y

los terceros externos. Para mejorar la comunicación aún más, deben tenerse en cuenta los
siguientes aspectos:
‪ Desarrollar unas normas de conducta formales dentro de la empresa.
‪ Animar aún más a los directores de cada departamento para que soliciten y tengan en
cuenta las sugerencias constructivas del personal a todos los niveles.
Las políticas y procedimientos de comunicación e información son eficaces. La dirección

debería considerar el desarrollo de unas normas de conducta formales dentro de la empresa
y animar aún más a los directores de cada departamento para que soliciten y tengan en
cuenta las sugerencias constructivas del personal.
Supervisión
Supervisión continuada
La supervisión continuada se produce en el

transcurso normal de las operaciones e incluye las
actividades habituales de gestión y supervisión, así
como otras acciones que efectúa el personal al rea-
lizar sus tareas encaminadas a evaluar los resulta-
dos del sistema de control interno.
* Hasta qué punto el personal, en el desarrollo La alta dirección está involucrada ac-
de sus actividades normales, obtiene evidencia tivamente en todas las operaciones de
de que el sistema de control interno sigue fun- la empresa y tiene contacto directo con
cionando. Por ejemplo, considerar si: clientes, proveedores, bancos, produc-
ción, control de existencias, etc. Los
‪ La dirección responsable de las operaciones directivos cuestionan con frecuencia
compara la producción, las existencias, las los informes financieros y de gestión
ventas u otra información conseguida en el que no coinciden con su propia infor-
curso de sus actividades diarias con la infor- mación.
mación generada a través de los sistemas.
‪ Se lleva a cabo la integración o reconciliación
de la información utilizada para gestionar las
operaciones con los datos generados por el sis-
tema de información financiera.
‪ Se exige al personal operativo que confirmen,
mediante su firma, la exactitud de los estados
financieros de sus unidades y se les considera
responsables si se descubren errores.
* Evaluar hasta qué punto las comunicaciones Muchos de los informes que se utilizan
recibidas de terceros corroboran la informa- para gestionar las actividades están
ción generada dentro de la organización o in- integrados con el sistema de informa-
dican problemas. Por ejemplo, considerar si: ción financiera y con los informes que
se utilizan en otras actividades. Debi-
‪ Los clientes corroboran implícitamente los dado a dicha integración, es fácil que se
tos de facturación al pagar sus facturas. Se detecten rápidamente las diferencias
investigan las quejas de los clientes sobre la importantes o contradicciones que pu-
facturación, indicando la existencia de defi- dieran existir entre los diferentes in-
ciencias en el procesamiento de las operacio- formes. Se espera que el personal ope-
nes de venta, a fin de descubrir la causa de di- rativo identifique e informe sobre las
chas quejas. posibles inexactitudes, o identifique
‪ Las comunicaciones de suministradores y los los informes que crea que pueden con-
estados mensuales de cuentas a pagar se usan tener imprecisiones. Los ayudantes del
como una técnica de supervisión del sistema de controller también analizan los infor-
control interno. mes sobre operaciones e investigan las
‪ Se investigan las quejas presentadas por los aparentes diferencias entre éstos y los
proveedores sobre las prácticas desleales de informes financieros.
los agentes de compra.
‪ Los organismos de control proporcionan infor-
mación a la entidad sobre el cumplimiento de
las normas aplicadas u otros asuntos relaciona-
dos con el funcionamiento del sistema de con-
trol interno.
‪ Se comprueban los controles que deberían ha-
ber prevenido o detectado los problemas.
* Comparación periódica de los importes re- La dirección realiza un seguimiento de

gistrados por el sistema de contabilidad con todas las comunicaciones de terceros
los activos materiales. Por ejemplo, considerar que indican que podría existir un pro-
si: blema dentro de la empresa. Se presta
especial atención a las comunicacio-
‪ Se comprueban los niveles de existencias nes de clientes y de entidades guberna-
cuando los productos se retiran del almacén mentales. Los estados mensuales de
para su envío al cliente. Se corrigen las dife- proveedores se reconcilian con las
rencias que pueden producirse entre los impor- cuentas a pagar y los saldos de las
tes registrados y los reales. cuentas a cobrar son confirmados por
lo menos una vez al año. Los proble-
mas se investigan y se resuelven. Re-
MANUAL DE REFERENCIA: SUPERVISIÓN 397
‪ Se cuentan periódicamente los valores deposi- cientemente, algunos clientes se queja-

tados por terceros con la entidad, y se compa- ron de que se les estaban cobrando
ran con los registros existentes. porcentajes indebidos del impuesto so-
bre el valor añadido. Sus cuentas fue-
ron corregidas y la correspondiente in-
vestigación detectó un fallo en una
actualización efectuada al sistema in-
formático que no había reconocido
ciertos códigos en la aplicación de los
porcentajes de IVA. Se corrigió el pro-
grama y los controles sobre los cam-
bios en los programas están siendo re-
visados.
* Respuesta de la entidad ante las recomenda- Se realizan recuentos físicos de las

ciones de los auditores internos y externos so- existencias semestralmente y las cifras
bre medios de fortalecer los controles internos. reales se comparan con los inventarios
Considerar si: permanentes. Se investigan las diferen-
cias. Asimismo, se llevan a cabo re-
‪ Los directivos que deciden qué recomendacio- cuentos del inmovilizado y se compa-
nes de los auditores se llevarán a la práctica ran los resultados con los registros
tienen el nivel de autoridad adecuado. correspondientes. Dichos recuentos
‪ Se realiza un seguimiento de las acciones efec- son cíclicos y se efectúan cada tres
tuadas para comprobar la realización de las años como mínimo.
mismas.
* Estudiar hasta qué punto los seminarios de Las recomendaciones de los auditores
formación, las sesiones de planificación u otras internos y externos son revisadas por
reuniones facilitan información a la dirección la alta dirección y el comité de audito-
sobre si los controles funcionan eficazmente. ría. Se toman las acciones apropiadas
Considerar si: informándose al consejo, al que tam-
bién se le comunican las razones por
‪ Se recogen los temas importantes y las cuestio- las que no se han seguido algunas re-
nes planteadas en los seminarios de formación. comendaciones.
‪ Se informa a la alta dirección de las sugeren-
cias de los empleados, y se toman las acciones
necesarias.
* Se pregunta periódicamente al personal si La dirección ha puesto de manifiesto

comprende y cumple con el código de conducta que las sesiones de formación y otras
de la entidad y si regularmente lleva a cabo reuniones han proporcionado en oca-
actividades esenciales de control. Por ejemplo, siones datos sobre la eficacia de los
considerar si: controles y el entendimiento de los par-
ticipantes de sus responsabilidades de
‪ Se requiere periódicamente al personal para control. Se hace un seguimiento apro-
que confirme su cumplimiento del código de piado.
conducta.
‪ Se requieren firmas para acreditar la realiza-
ción de funciones críticas de control, tales co-
mo la conciliación de importes específicos.
* Efectividad de las actividades de auditoría La empresa no ha desarrollado un có-

interna. Por ejemplo, considerar si: digo de conducta formal. Sin embargo,
el comportamiento esperado se explica
‪ Los auditores internos son capaces y experien el manual del empleado y la direc-
mentados. ción refuerza estas expectativas tanto
‪ Su posición dentro de la organización es ade- verbalmente como a través de su com-
cuada. portamiento.
‪ Tienen acceso al consejo de administración y
al comité de auditoría. La empresa ha establecido reciente-
‪ Sus responsabilidades y planes de auditoría mente una función de auditoría interna
son apropiados para las necesidades de la orga- dirigida por un auditor interno experi-
nización. mentado, que ha trabajado en una de
las principales empresas del país. En
este momento tiene un ayudante.
Conclusiones y Acciones necesarias
La supervisión del funcionamiento del control interno es adecuada y suficiente. La dirección

analizará las ventajas de formalizar un código de conducta y de exigir periódicamente que
los empleados demuestren que entienden y cumplen con el código. Sin embargo, el cumpli-
miento por parte de los empleados de las expectativas de conducta es elevado. La función de
auditoría interna es nueva, pero se espera que aumente y sea más efectiva con el tiempo.
Resulta útil examinar el sistema de control in-

terno de vez en cuando, enfocando el análisis di-
rectamente a la eficacia del sistema. El alcance y
la frecuencia de tales evaluaciones puntuales de-
penderá principalmente de la evaluación de los
riesgos y de los procedimientos de supervisión
continuada.
* Fijar el alcance y la frecuencia de las evalua- El comité de dirección de sistemas de

ciones puntuales del sistema de control inter- información evalúa la eficacia del sis-
no. Por ejemplo, considerar si: tema de información a nivel global. El
consejo se centra en el análisis del en-
‪ Son evaluados los elementos apropiados del torno de control y las funciones de su-
sistema de control interno. pervisión, obteniendo información del
‪ Las evaluaciones son efectuadas por emplea- director financiero y de los auditores.
dos con los conocimientos necesarios.
‪ Son adecuados el alcance, la cobertura y la fre-
cuencia de la evaluación.
* Validez del proceso de evaluación. Por ejem- El proceso de evaluación es informal.

plo, considerar si: Incluye medidas para el entendimiento
y el análisis de los controles claves es-
‪ El evaluador tiene un conocimiento suficiente tablecidos.
de las actividades de la entidad.
‪ Se obtiene un conocimiento de cómo debería
funcionar el sistema, y cómo funciona en rea-
lidad.
‪ Se realiza un análisis utilizando los resultados
de la evaluación contrastados con unos crite-
rios establecidos.
* Lógica y validez de la metodología para eva- El proceso es informal.

luar los sistemas. Por ejemplo, considerar si:
‪ Esta metodología incluye "checklists", cues-

tionarios y otras herramientas.
‪ Se reúne el equipo de evaluación para planear

el proceso de evaluación y asegurar que se rea-
liza un esfuerzo coordinado.
‪ El proceso de evaluación es gestionado por un
directivo con un nivel de autoridad suficiente.
* Adecuación del nivel de documentación. Por Existe un volumen de documentación

ejemplo, considerar si: reducido en las actas del consejo y del
comité de dirección de sistemas de in-
‪ Existen manuales de políticas, organigramas, formación.
instrucciones operativas, etc.
‪ Se presta atención a documentar el proceso de
evaluación.
Se debería considerar la formalización del proceso de evaluación y el alcance de su cober-

tura en el tiempo. El nuevo auditor interno llevará a cabo una revisión inicial del proceso
de evaluación establecido.
Comunicación de las deficiencias

de control interno
Las deficiencias de control interno deberían

ser comunicadas a los niveles superiores y las más
significativas deben ser presentadas a la alta direc-
ción y al consejo de administración.
* Existencia de un mecanismo para reconocer Existen políticas para el registro y co-

e informar sobre las deficiencias del control municación de deficiencias. Por ejem-
interno identificadas. Por ejemplo, considerar si: plo, el departamento de marketing co-
munica las quejas de los clientes a los
‪ Existen medios para conseguir información niveles superiores para asegurar que
sobre deficiencias de fuentes tanto internas co- el departamento adecuado (por ejem-
mo externas (por ejemplo, clientes, proveedo- plo, envío de mercancía, producción,
res, auditores y organismos de control). etc.) las toma en consideración y reali-
‪ Existen medios para conseguir información za el seguimiento apropiado. La reac-

sobre deficiencias a partir de la supervisión ción ante las deficiencias comunicadas
continuada o las evaluaciones puntuales. por el auditor externo está bien estruc-
turada.
* Son adecuadas las normas de comunicación Las políticas identifican claramente a

de las deficiencias. Por ejemplo, considerar si: quienes se deben comunicar las defi-
ciencias. Normalmente, es al director
‪ Las deficiencias son puestas en conocimiento del departamento bajo evaluación, sin
del responsable directo de la actividad y de un tener en cuenta el nivel de los controles
superior. que se están evaluando.
‪ Se informa a la alta dirección o al consejo de
administración sobre algunos tipos específicos
de deficiencias.
* Validez de las acciones de seguimiento. Por Se vigilan las acciones de seguimiento

ejemplo, considerar si: y se comunican a la dirección.
‪ Se corrige la transacción o acontecimiento

identificado.
‪ Se investigan las causas fundamentales del
problema.
‪ Se efectúa un seguimiento para asegurar que se
toma la acción correctiva necesaria.
Las políticas y procedimientos establecidos para informar sobre deficiencias son adecua-
dos.
Resumen: Conclusiones/Acciones necesarias

Los procedimientos de supervisión continuada son adecuados. La dirección debería estu-
diar la formalización de un código de conducta. El proceso de evaluaciones puntuales del
sistema de control interno podría formalizarse. Las políticas de comunicación de deficien-
cias parecen ser adecuadas.
Hoja de trabajo: Evaluación de
riesgos y actividades de control1
Véase modelo en página 268.
1
Esta herramienta de evaluación se ha completado para una actividad (recepción de materiales) de ABC
Company. Al evaluar los riesgos y actividades de control para el conjunto de la compañía, esta herramienta sería
completada para todas las actividades significativas.

Análisis de riesgos
Objetivos O, F, C Factores de riesgo Probabilidad
Logística
1. Los materiales se comprueban a tiempo y, o bien O La recepción de grandes cantida- Media-alta

se aceptan y son almacenados o bien son recha- des de materiales puede ralentizar
zados y devueltos para ser abonados. las actividades de recepción y
comprobación.
2. Se procesa correctamente toda la información O, F La información no se introduce al Media

sobre los materiales recibidos y se pone a dispo- sistema correctamente o en un
sición de los departamentos de producción en un tiempo razonable.
tiempo razonable.
No se identifican claramente las Baja

necesidades de información de las
diversas unidades de producción.
3. Los pedidos de compra se completan y envían O Los pedidos de compra se extra- Media
en el momento adecuado. vían o no son enviados a las acti-
vidades de recepción.
La información acerca de la fecha Media

prevista de entrega no está dispo-
nible.
MANUAL DE REFERENCIA: HOJA DE TRABAJO 405
Acciones/ Otros Evaluación

Actividades de control/ objetivos y
Comentarios afectados conclusión
1. El área de producción proporciona un informe semanal Las políticas y los procedimientos son in-
sobre aquellos materiales que son más necesarios para suficientes en relación con el procesa-
continuar con la producción de manera eficiente. El dimiento en tiempo razonable. Se deben
rector del área de recepción revisa los materiales a com- desarrollar políticas y procedimientos pa-
probar y asigna prioridades de comprobación según el ra detallar la forma en que los materiales
infoime semanal. deberían moverse por las áreas de recep-
ción y comprobación, en el caso de recibir
2. Ciertos miembros del área de ingeniería han sido forma- grandes cantidades de materiales, así co-
dos y están disponibles, por cortos períodos de tiempo, mo la forma en que se realizará el segui-
para comprobar ciertos tipos de materiales. miento de que el objetivo se está cum-
pliendo. Además, el uso de personal de
ingeniería para comprobar los materiales
puede dar lugar a conflictos entre las dos
áreas, especialmente si ello afecta de for-
ma negativa a la consecución de los obje-
tivos del área de ingeniería.
3. Los informes de recepción están prenumerados, investi- Los controles son suficientes para alcan-
gándose los informes faltantes dos veces a la semana. zar el objetivo.
4. La información de los documentos de recepción se com-

para con los pedidos de compra pendientes y posterior-
mente con la factura del proveedor.
5. Las necesidades de información de cada actividad se re-

visan semestralmente y se comunican al personal res-
ponsable de la función de tecnología de la información.
Se modifican los sistemas e informes cuando es necesa-
rio.
6. Cuando se genera un pedido de compra, el sistema ac- Los controles son suficientes para alcan-
tualiza automáticamente el fichero de pedidos pendien- zar el objetivo.
tes de recibir. Se envía una copia del documento prenu-
merado al área de recepción que revisa semanalmente
las órdenes de pedidos pendientes de recibir, investigan-
do cualquier documento que falte. Los ficheros electró-
nicos se revisan regularmente para comprobar su exac-
titud.
7. El sistema ofrece la opción de clasificar las órdenes de

pedidos pendientes de varias maneras, incluso por fecha
prevista de entrega. Se prepara un informe semanal con
los pedidos que tienen fecha de entrega en dicha semana.

4. Se registran correctamente todos los materiales O, F Las cantidades realmente recibi- Media-alta
recibidos. das pueden no ser iguales a las
cantidades indicadas en el pedido
de compra o en los documentos de
expedición del proveedor.
El personal del área de recepción Baja

puede olvidar preparar la docu-
mentación pertinente, o ésta se
puede perder.
5. Sólo se registran los materiales realmente reci- O, F El personal del área de recepción Baja
bidos y aceptados. puede preparar informes de recep-
ción erróneos con materiales no
recibidos en realidad.
6. Se registran correctamente todos los materiales O, F La documentación relativa a la de- Baja-media

devueltos al proveedor para ser abonados. volución de materiales puede per-
derse.

8. La cantidad de mercancía recibida es comprobada me- Producción Los controles son suficientes para alcan-
diants conteo, peso u otra forma apropiada. n° 10 zar el objetivo.
(no mostrado)
9. Un supervisor del departamento de recepción cuenta de

nuevo algunas de las mercancías seleccionadas al azar.
10. Las cantidades recibidas, de acuerdo con el informe de

recepción, son comparadas con el documento de expe-
dición del proveedor y con el pedido de compra. Si falta
material se anota en la documentación de recepción y
cualquier cantidad por enci ma de la pedida es rechazada.
En el caso de recibir cantidades por encima de lo pedido,
la documentación es firmada por el representante de la
empresa de transportes para devolvérsela al proveedor.
Se envía la documentación al área de cuentas a pagar
para su proceso y control.
11. Los documentos de recepción están prenumerados se-

cuencialmente y semanalmente se investigan los docu-
mentos faltantes.
12. El personal del almacén no aceptará materiales sin una

copia de la documentación de recepción apropiada. Un
supervisor de recepción investiga los materiales que per-
manecen en el departamento de recepción durante más
de un día.
13. No se procesarán las facturas de proveedores que no

coincidan con la documentación de recepción adecuada.
Las diferencias detectadas son investigadas inmedia-
tamente.
14. Los informes de recepción son verificados por el super- Los controles son suficientes para alcan-
visor del departamento de recepción. zar el objetivo.
15. Los informes de recepción deben confrontarse con el
documento de transferencia de materiales, firmado por
la persona autorizada que aceptó los materiales del de-
partamento de recepción. Los informes de recepción no
confrontados o con diferencias son investigados sema-
nalmente.
16. Los formularios de devolución están prenumerados y

Los controles son suficientes para alcan-
cualquier documento que falte es investigado inmedia- zar el objetivo.
tamente.

La documentación relativa a la de- Baja

volución de materiales puede no
prepararse.
La documentación sobre la devo- Baja

lución de materiales puede conte-
ner errores.
Recepción de mercancías
7. Sólo se aceptan los materiales que hayan sido O Los empleados pueden carecer de Baja
pedidos adecuadamente. información sobre qué materiales
han sido pedidos adecuadamente.
8. Sólo se aceptan los materiales que cumplan con O Los materiales recibidos del pro- Media
las especificaciones del pedido de compra. veedor pueden no cumplir con las
especificaciones.
El personal de la actividad de re- Baja

cepción de materiales no entiende
las especificaciones, debido a una
mala comunicación con el área de
compras.
Los procedimientos de compraba- Baja-media

ción pueden volverse obsoletos.
Los equipos de comprobación Medía-alta

pueden volverse obsoletos o in-
exactos.

17. Si se devuelve material sin haber preparado la documen-

tación de recepción, se investigan los pedidos de compra
pendientes de recibir. Si se ha preparado la documenta-
ción de recepción, no coincidirá con la documentación
de transferencia de materiales. Se efectúa un rápido se-
guimiento de estos informes de recepción sin casar, se-
gún si; ha descrito en el apartado 15 anterior.
18. La documentación relativa a la devolución de material

debe ser aprobada por un supervisor de recepción que
verifica la información contenida en el documento de
devolución.
19. Los transportistas comprueban los materiales a devolver

y firman la documentación apropiada indicando su
aceptación de tales materiales.
20. No se: acepta ningún material sin que haya un pedido de Los controles son suficientes para alcan-
compra debidamente autorizado, archivado en el depar- zar el objetivo.
tamento de recepción.
21. Se comprueba que los materiales recibidos cumplen con Las políticas y procedimientos parecen
las especificaciones del contrato o del pedido de com- adecuados para alcanzar los objetivos.
pra. Todas las pruebas están documentadas, según los Sin embargo, se debe prestar atención a
procedimientos establecidos, y se revisan por el super- situaciones en las que exista una presión
visor del departamento de recepción. indebida sobre el personal del área de re-
cepción para que acepten materiales (por
ejemplo, en casos donde una escasez de
ciertos materiales clave amenace la efi-
ciencia o continuidad de la producción).
22. El área de recepción recibe una copia del pedido de com-

pra del contratista con las especificaciones requeridas.
Las especificaciones se comparan con la documentación
del proveedor y con los resultados de las pruebas de
comprobación antes de enviar el material a otro departa-
mento.
23. Los procedimientos de comprobación se revisan y ac-

tualizan anualmente por el director de compras y el ge-
rente del área de ingeniería. El vicepresidente de opera-
ciones revisa y aprueba los mismos.
24. Los equipos de comprobación se revisan y calibran cada

30 días o a petición del operador de los mismos, si lo
requiere con anterioridad.

El personal de la actividad de re- Baja

cepción puede no comprobar los
materiales o no comprobarlos de
forma adecuada.
9. Se registran completa y adecuadamente los ma- O, F No se prepara la documentación Baja

teriales transferidos desde recepción a otras ac- adecuada.
tividades.
La información puede ser incom- Media
pleta o inexacta.
La información puede introducir- Media

se al sistema con errores.
10. Los metales preciosos se manejan y almacenan O Los metales preciosos pueden ser Alta
de forma segura para prevenir el acceso no auto- robados.
rizado.

25. Al efectuar la revisión de los procedimientos de compro-

bación mencionados en el apartado 23 anterior, se revi-
san también los equipos de comprobación y si es nece-
sario se hacen recomendaciones para la adquisición de
nuevos equipos. La adquisición de nuevos equipos ne-
cesita la aprobación del vicepresidente de operaciones.
26. Los supervisores revisan la documentación relativa a las Producción

pruebas de comprobación efectuadas. Los materiales n°10
utilizados para fabricar piezas claves para la seguridad (no
aérea son comprobados de nuevo mediante muestreo al mostrado)
azar. Se investiga cualquier discrepancia detectada du-
rante la segunda prueba y se toman las acciones apropia-
das (formación adicional, despido si existe un alto nú-
mero de discrepancias, y la formación no resuelve el
problema, etc).
27. El personal de producción detecta los problemas relati-

vos a los materiales que no alcanzan las especificaciones
de ingeniería, avisando al departamento de compras, y
se toman las medidas de seguimiento adecuadas.
28. El material no puede transferirse sin documentos de Los controles son suficientes para alcan-
transferencia. zar el objetivo.
29. Los documentos de transferencia deben llevar la firma

del empleado que los recibe y del que los transfiere. Am-
bos verifican la exactitud y totalidad de los datos.
30. Se realiza un recuento físico cada trimestre, comparán-

dose los resultados de dicho recuento con los registros
de inventario permanentes, e investigando las diferen-
cias.
31. Los registros relativos a los metales preciosos los lleva Los controles son suficientes para alcan-
una persona independiente de los responsables de su zar el objetivo.
manejo y almacenamiento.
32. Los metales preciosos se almacenan en un lugar bajo

llave y custodiado. Cámaras de vigilancia graban conti-
nuamente todas las entradas y salidas del área de alma-
cenamiento.
33. Todos los paquetes, carteras, etc., sacados por los em-
pleados fuera de las instalaciones, son inspeccionados
por el personal de seguridad.

1 1 . Se transfieren adecuadamente todos los materia- O, F Procedimientos de solicitud de Media

les pedidos, y solamente los pedidos. materiales inadecuados.
Se transfieren materiales no pedi- Media

dos.
12. Se registran completa y adecuadamente todas O, F Información incompleta o inexac- Media

las transferencias al almacén y desde el almacén. ta.
Se puede perder la documentación Media

de la transferencia.
13. Los materiales peligrosos se manejan y almace- C Los empleados pueden no tener en Baja
nan de acuerdo con todas las leyes y normativas cuenta las políticas y procedi-
aplicables. mientos sobre el manejo y almace-
namiento de materiales peligro-
sos.
Los tanques de almacenamiento Media-alta

pueden tener escapes.

34. Se realizan recuentos físicos mensuales de los metales

preciosos por personal que no tiene responsabilidad ni
respecto al registro ni al almacenamiento de los mismos.
Los recuentos son reconciliados con los registros perma-
nentes y se investiga cualquier diferencia.
35. El personal de almacén transfiere materiales a las áreas Los controles son suficientes para alcan-
de operaciones solamente bajo la autorización de un pe- zar el objetivo.
dido debidamente aprobado.
36. El personal de almacén y de operaciones verifican que

se han transferido los materiales adecuados y ambos fir-
man la documentación de transferencia.
37. El personal de las áreas de almacén y operaciones firman Los controles son suficientes para alcan-
la documentación de transferencia como evidencia de zar el objetivo.
haber verificado la exactitud de la misma.
38. Se realiza un recuento físico del inventario cada trimes-

tre. Cualquier diferencia al comparar esta información
con los registros permanentes es investigada y resuelta.
39. Los documentos de transferencia están prenumerados.

Semanalmente se investigan los documentos faltantes.
40. Los empleados responsables del manejo y almacenaje Los controles son adecuados para alcan-
de materias peligrosas son supervisados estrechamente, zar los objetivos. Sin embargo, los em-
siendo su trabajo revisado por supervisores experimen- pleados no reciben una formación perió-
tados. Cualquier desviación de las políticas establecidas dica sobre las leyes y normativas ni sobre
es seriamente considerada, siendo las acciones discipli- las técnicas del manejo y almacenamiento
narias rápidas y severas. de materias peligrosas. Esta formación
podría dar una seguridad razonable de
41. Los empleados responsables del manejo y almacena- que los empleados conocen tales leyes,
miento de materias peligrosas se someten regularmente normativas y técnicas. Además, ayudaría
a pruebas de salud. a asegurar que los empleados siguen sien-
do conscientes de la importancia de cum-
plir con las políticas de la empresa.
42. Los tanques de almacenamiento se inspeccionan anual-

mente. Cualquier signo de irregularidad es investigado
y resuelto inmediatamente.
43. Los tanques de almacenamiento se cambian cuando al-

canzan el 90% de la vida útil estimada por el fabricante.

14. Se cumple con todas las leyes y normativas acer- C El personal puede no tener conoci- Media
ca de la seguridad en el trabajo. miento de todas las leyes y norma-
tivas.
Puede haber transgresiones de las Media-alta

normativas o leyes debido a erro-
res, negligencia o acciones inten-
cionadas.

44. Se someten a un análisis trimestral ciertas muestras de

agua y tierra tomadas junto a los tanques de almacena-
miento para detectar posibles escapes. Cualquier signo
de irregularidad es investigado y resuelto inmedia-
tamente.
45. Se utilizan sistemas de control de medición de la presión

en las tuberías de transporte de materias peligrosas para
detectar escapes u otros posibles problemas, inspeccio-
nándose los sistemas cada trimestre. Cualquier signo de
irregularidad es investigado y resuelto inmediatamente.
46. Los asesores legales y el vicepresidente de operaciones Los controles son suficiente para alcanzar
revisan las políticas y procedimientos cada trimestre, el objetivo.
siendo modificados, si es necesario, para cumplir con
todas las leyes aplicables.
47. El asesor legal mantiene un seguimiento regular de las

políticas y procedimientos de la empresa, investigando
cualquier acción cuestionable y tomando las acciones
oportunas.
48. Se anima a los empleados a informar a la oficina del

presidente de cualquier sospecha que tengan acerca de
infracciones legales. Los empleados de la oficina del
presidente realizan un seguimiento adecuado de tales in-
formaciones.
Evaluación global del sistema
de control interno
Componentes del control Conclusiones preliminares/ Consideraciones

interno Acciones necesarias adicionales
Entorno de control
¿Comunica de forma adecua- La dirección ha demostrado El consejo y yo (director ge-
da la dirección el mensaje de su compromiso con la integri- neral) estamos considerando
que no se puede comprometer dad, el comportamiento ético las ventajas de disponer de un
la integridad? ¿Existe un en- y la capacitación profesional código de conducta formal.
torno de control positivo con de su personal, y ha comuni- Estoy supervisando la efecti-
una actitud de conciencia de cado ese compromiso a todos vidad de las modificaciones
control en toda la organiza- los empleados. El entorno de realizadas recientemente en
ción y un "tono" o "sintonía" control de la entidad favorece la estructura de la organiza-
de control positivo en los ni- un control interno efectivo y ción, como consecuencia de
veles más altos de la organiza- proporciona una influencia la adquisición de Laker Parts
ción? ¿Está la capacidad del positiva que mejora las posi- y la enajenación de la división
personal de la entidad en pro- bilidades de lograr los objeti- de defensa, e introduciremos
porción con sus responsabili- vos de ABC. cambios en la medida en que
dades? ¿Es apropiado el estilo sean necesarios. Asimismo,
de la dirección cuando asigna en un tiempo prudencial, se
responsabilidades y cuando evaluarán las responsabilida-
organiza y forma a su perso- des gerenciales clave de nue-
nal? ¿Presta el consejo un ni- va creación e introduciremos
vel adecuado de atención? cambios en la medida en que
sean necesarios. La adquisi-
MANUAL DE REFERENCIA: EVALUACIÓN GLOBAL DEL SISTEMA DE CONTROL INTERNO 417

ción de Laker Parts ha oca-

sionado también la duplici-
dad de algunas funciones en
el área de contabilidad. Ac-
tualmente se están revisando
las necesidades de personal.
Evaluación de riesgos
¿Están establecidos y adecua- Los objetivos y estrategias de Las implicaciones de las pre-
damente coordinados los ob- la empresa proporcionan una siones competitivas para el
jetivos de la empresa y los ob- orientación adecuada sobre logro de los objetivos de cre-
jetivos de cada una de las lo que la empresa quiere lo- cimiento y rentabilidad a lar-
actividades de la misma? ¿Es- grar y cómo hacerlo. Los re- go plazo seguirán necesitan-
tán identificados y evaluados cursos para lograr los objeti- do la atención de la dirección
los riesgos internos y externos vos se asignan en base a la financiera y la de operacio-
que influyen en el éxito o en el importancia de éstos. Se han nes. Se proporcionará tal
fracaso del logro de los objeti- desarrollado objetivos a nivel atención.
vos? ¿Existen mecanismos en de actividades para apoyar el
vigor para identificar los cam- logro de los objetivos de la Se acelerará el desarrollo de
bios que puedan influir en la empresa. Los objetivos a nivel procesos de producción nue-
capacidad de la empresa para de actividades son coherentes vos o modificados para seguir
lograr sus objetivos? ¿Se mo- y complementarios entre sí. el paso del sector.
difican las políticas y procedi-
mientos cuando es necesario?
La dirección de ABC identifi- Una mayor consolidación del

ca y evalúa los riesgos de ma- sector de aviación comercial
nera informal continuada- y regulación del mismo por
mente y de manera formal parte del Gobierno son cam-
anualmente, conjuntamente bios que podrían afectar a la
con la actualización del plan empresa de forma negativa.
de negocios. Los riesgos se Estos posibles cambios se si-
afrontan tomando las medi- guen de forma continuada y
das oportunas. Hay que estu- se desarrollan estrategias pa-
diar la necesidad de realizar ra dar respuesta a los mismos.
contratos de cobertura, para
cubrir los aumentos de costes

de materiales, y de moderni-
zar los procesos de produc-
ción.
Los controles para identificar

y reaccionar ante cambios
son los adecuados. Necesita-
mos continuar vigilando cual-
quier signo de desmoraliza-
ción de los empleados
provenientes de la antigua
empresa Laker Parts. Debe-
mos analizar que el departa-
mento de recursos humanos
haga un seguimiento de las
actitudes y la productividad
del personal.
¿Existen actividades de con- Se han diseñado e implemen- Las actividades de comproba-
trol que aseguren el cumpli- tado actividades de control ción de materiales para acep-
miento de las políticas esta- para cubrir los riesgos impor- tarlos o rechazarlos y los pro-
blecidas y la realización de tantes relacionados con los cedimientos de formación de
acciones que traten los riesgos objetivos de los departamen- los empleados en la legisla-
correspondientes? ¿Existen tos y las actividades de las ción sobre desechos de mate-
actividades de control apro- unidades. Las preocupacio- riales peligrosos serán redefi-
piadas para cada una de las ac- nes surgidas en cuanto a la nidas y formalizadas.
tividades de la entidad? comprobación de materiales y
el manejo de sustancias peli-
grosas deben ser resueltas.
MANUAL DE REFERENCIA: EVALUACIÓN GLOBAL DEL SISTEMA DE CONTROL INTERNO 419

Información y comunica-
ción
¿Existen sistemas de informa- Los sistemas de información En las estrategias a largo pla-
ción para identificar y captar proporcionan a la dirección zo se obtendrá y tomará en
la información pertinente — la información necesaria en consideración la información
financiera y no financiera, que un tiempo razonable para disponible sobre las activida-
tenga relación con aconteci- gestionar la empresa de for- des de los competidores en re-
mientos externos e internos— ma eficaz. lación al desarrollo de mate-
y presentarla al personal en riales más ligeros para el uso
una forma que les permita lle- En general la comunicación en la producción, así como
var a cabo sus responsabilida- tanto dentro de la empresa también el riesgo de posibles
des? ¿Se comunica la infor- como con terceros externos es pérdidas por diferencias de
mación relevante? ¿Es clara eficaz- Se tendrán en cuenta cambio debidas a la inestabi-
con respecto a las expectati- los siguientes factores para lidad del dólar.
vas y responsabilidades de in- mejorar todavía más la efica-
dividuos y grupos, y para la cia de la comunicación: des- Se desarrollará un programa
comunicación de resultados? arrollar un código de conduc- formal para comunicar las-
¿Existe comunicación ade- ta formal y seguir animando a normas éticas de la empresa a
cuada en todas las direccio- los directores de departamen- sus proveedores y a otros ter-
nes, tanto hacia abajo como to para que soliciten y consi- ceros externos.
hacia arriba y lateralmente, deren las sugerencias del per-
así como entre la entidad y sonal de todos los niveles.
terceros''
Supervisión
¿Existen procedimientos La supervisión del control in- Es importante una supervi-
apropiados para supervisar de terno es apropiada y suficien- sión continuada de las opera-
forma continuada o evaluar te. Aunque el cumplimiento ciones de la antigua Laker
periódicamente el funciona- por parte de los empleados de Parts para asegurar su conti-
miento de los componentes las normas de comportamien- nua efectividad y coherencia
del control interno? ¿Se infor- to detalladas en el manual del global dentro del conjunto de
ma de las deficiencias al perso- empleado es alto, la dirección la empresa. Es de importan-
nal adecuado? ¿Se modifican considerará la conveniencia cia primordial determinar si
las políticas y procedimientos de formalizar un código de su estructura organizativa y
cuando es necesario? conducta y requerir que los la asignación de responsabili-

(véase Herramientas de evaluaeión individuales)
empleados confirmen periódi- dades son adecuadas. Tengo

camente que lo entienden y la intención de continuar su-
que cumplen con él. La fun- pervisando estas áreas. Daré
ción de auditoría interna es instrucciones al encargado de
nueva y se espera que crezca auditoría interna para que
y sea más efectiva con el paso desarrolle un procedimiento
del tiempo. Hay que analizar de evaluación formal.
el alcance de las evaluaciones
periódicas.
Conclusión global
El sistema de control interno de ABC al 31 de diciembre de 19XX es eficaz y proporciona una

seguridad razonable de que el proceso de preparación de la información financiera es fiable,
de que la empresa tiene procedimientos eficaces para asegurar el cumplimiento de las leyes y
normativas que le sean aplicables y de que la dirección conoce hasta qué punto la empresa está
alcanzando sus objetivos operacionales.

Los Nuevos Conceptos Del Control Interno

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Los Nuevos Conceptos Del Control Interno

Cargado por

Copyright:

Formatos disponibles

Los nuevos conceptos

del control interno

Los nuevos conceptos

COOPERS & LYBRAND

Traducción: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.

© Coopers & Lybrand e Instituto de Auditores Internos, 1997

© Committee of Sponsoring Organizations of the Treadway Commission,

Reservados todos los derechos.

«No está permitida la reproducción total o parcial de este libro,

Ediciones Díaz de Santos, S.A.

Diseño de Cubierta: Ángel Calvete

GRUPO ASESOR DEL INFORME

Andrew D. Bailey Willian J. Ihlanfeldt Howard L.Siers, Consult.

Roger N. Carolus David L. Landsittel

Frank J. Tanki Robert J. spear

Sección primera: Resumen para la dirección

Resumen para la dirección .................................................................................... 3

Sección segunda: Marco general de referencia

Sección tercera: Información a terceros

9. Información a terceros ......................................................................................... 173

Sección cuarta: Herramientas de evaluación

10. Introducción ............................................................................................................ 219

Constituye para nosotros un motivo de gran satisfacción presentar a los

ción financiera falsa o fraudulenta y emitir las recomendaciones que garanti-

Eduardo Hevia Vázquez Ángel Luis Linares Martínez

Resumen para la dirección

Lo que se entiende por control interno

El presente informe trata de las necesidades y las expectativas de los

En un sentido amplio, se define como un proceso efectuado por el consejo

■ Eficacia y eficiencia de las operaciones.

La primera categoría se dirige a los objetivos empresariales básicos de una

■ Disponen de información adecuada sobre hasta qué punto se están logran-

Si bien el control interno es un proceso, su eficacia es el estado o la

El control interno consta de cinco componentes relacionados entre sí. Se

■ Entorno de control.— El entorno de control marca la pauta del funciona-

■ Evaluación de los riesgos.— Cada entidad se enfrenta a diversos riesgos

■ Actividades de control.— Las actividades de control son las políticas y

■ Información y comunicación.— Hay que identificar, recopilar y comuni-

empleado con sus responsabilidades. Los sistemas informáticos producen

■ Supervisión.— Los sistemas de control interno requieren supervisión, es

Estos componentes, vinculados entre sí, generan una sinergia y forman un

Lo que se puede lograr con el control interno

Lo que no se puede lograr con el control interno

■ El control interno garantiza el éxito de una entidad, es decir, asegura la

nómicas pueden estar fuera del control de la dirección. El control interno

■ El control interno puede asegurar la fiabilidad de la información financiera

■ La dirección.— El director general (o cualquier otra denominación que

director general, a veces un empresario-propietario, suele ser más directa.

■ El consejo de administración.— La dirección es responsable ante el con-

■ Auditores internos.— Los auditores internos desempeñan un papel im-

■ Otros empleados.— El control interno es, hasta cierto punto, la respon-

Por otra parte, algunos terceros ajenos a la entidad suelen contribuir a la

independiente y objetiva, contribuyen directamente mediante la auditoría de

Presentación de este informe

Lo que se debe hacer

■ Alta dirección.— La mayoría de los altos directivos que han colaborado

■ Miembros del consejo.— Los miembros del consejo de administración

■ Otros empleados.— Los directores a todos los niveles y otros empleados

■ Legisladores y organismos de control.— Los altos funcionarios que re-

sistemas de control pueden y no pueden hacer y sobre la validez del

■ Organizaciones profesionales.— Las organizaciones responsables de la

■ Educadores.— Este marco general deberá ser objeto de investigación

Marco general de referencia

Resumen del capítulo: El control interno se define como un proceso, efec-