Coso 2013 Marco Integrado y Apendices

Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Marco Integrado de Control Interno

Marco y Apéndices
Mayo 2013
1
TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Este proyecto fue encargado por COSO, organismo dedicado a proporcionar liderazgo
en pensamiento por medio del desarrollo de Marcos y orientaciones amplias sobre control
interno, gerencia de riesgo empresarial y prevención del fraude, diseñados para mejorar el
desempeño y la vigilancia organizacional, así como reducir el alcance del fraude en las
organizaciones. COSO es una iniciativa del sector privado, patrocinada y financiada en
conjunto por:
• Asociación Americana de Contabilidad (AAA)

• Instituto Americano de Contadores Públicos Colegiados (IACPC)
• Internacional de Ejecutivos Financieros (IEF)
• Instituto de Contadores Gerenciales (ICG)
• El Instituto de Auditores Internos (IIA)
ISBN 978-1-93735-238-7
©2013 Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida,
redistribuida, transmitida o exhibida de cualquier forma ni por cualquier medio, sin permiso por escrito. Para
información sobre licencias y permisos para impresión, por favor contacte al Instituto Americano de Contadores
Públicos Colegiados,el agente de COSO para las licencias y permisos de materiales con derechos reservados.
Dirija todas las consultas a copyright@aicpa.org, o AICPA, Attn: Gerente, Derechos y Permisos, 220 Leigh Farm
Rd., Durham, NC 27707. Las consultas telefónicas se pueden hacer al 888-777-7707 .

Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Marco Integrado de Control Interno

Marco y Apéndices
Mayo 2013

Comité de las Organizaciones Patrocinadoras
de la Comisión Treadway
Miembros del Consejo
David L. Landsittel: Presidente de COSO

Mark S. Beasley, Douglas F. Prawitt: Asociación Americana de Contabilidad
Richard F. Chambers: El Instituto de Auditores Internos
Charles E. Landes: Instituto Americano de Contadores Públicos Colegiados
Marie N. Hollein: Internacional de Ejecutivos Financieros
Sandra Richtermeyer, Jeffrey C. Thomson: Instituto de Contadores Gerenciales
PwC—Autor
Contribuyentes Principales
Miles E.A. Everson: Líder del Trabajo, Nueva York, EE.UU.

Stephen E. Soske: Socio Líder de Proyecto, Boston, EE.UU.
Frank J. Martens: Director Líder de Proyecto, Vancouver, Canadá
Cara M. Beston: Socio, San Jose, EE.UU.
Charles E. Harris: Socio, Florham Park, EE.UU.
J. Aaron Garcia: Director, San Diego, EE.UU.
Catherine I. Jourdan: Director, Paris, Francia
Jay A. Posklensky: Director, Florham Park, EE.UU.
Sallie Jo Perraglia: Gerente, Nueva York, EE.UU.

Tabla de Contenidos
Prólogo.....................................................................................i
Marco
1. Definición de Control Interno................................................1
2. Objetivos, Componentes y Principios..................................7
3. Control Interno Eficaz.........................................................21
4. Consideraciones Adicionales.............................................27
5. Ambiente de Control..........................................................37
6. Evaluación del Riesgo........................................................71
7. Actividades de Control.....................................................107
8. Información y Comunicación............................................129
9. Actividades de Supervisión..............................................149
10. Limitaciones del Control Interno.....................................165
Apéndices
A. Glosario...........................................................................169
B. Roles y Responsabilidades.............................................173
C. Consideraciones para Entidades Más Pequeñas............187
D. Metodología para la Modificación del Marco...................193
E. Cartas de Comentarios Públicos.....................................195
F. Resumen de Cambios al Marco Integrado de Control
Interno de COSO (1992)......................................................203
G. Comparación con el Marco Integrado de Gestión del
Riesgo Empresarial de COSO.............................................213

Prólogo
En 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) publicó su
Marco Integrado de Control Interno (el Marco original). El Marco original ha ganado amplia
aceptación y es ampliamente utilizado en todo el mundo. Se reconoce como un Marco importante
para el diseño, ejecución y conducción del control interno y la evaluación de la efectividad del control
interno.
En los veinte años transcurridos desde la creación de Marco original, los entornos de
negocios y de operaciones han cambiado dramáticamente, convirtiéndose cada vez más
complejos, impulsados por la tecnología y globales. Al mismo tiempo, las partes interesadas
están más comprometidas, buscando mayor transparencia y responsabilidad para la integridad
de los sistemas de control interno que soportan las decisiones empresariales y de gobernabilidad
de la organización.
COSO se complace en presentar su Marco Integrado de Control Interno actualizado (Marco).
COSO considera que el Marco permitirá a las organizaciones desarrollar y mantener sistemas
de control interno que pueden aumentar la posibilidad de alcanzar los objetivos de la entidad,
así como adaptarse a los cambios en los entornos de negocio y de operaciones.
El lector experimentado encontrará mucho de lo que es habitual en el Marco, que se construye en lo

que ha demostrado ser útil de la versión original. Se mantiene la definición básica de control interno y
de los cinco componentes del control interno. El requisito de tener en cuenta los cinco com-
ponentes para evaluar la eficacia de un sistema de control interno se mantiene sin cambios
fundamentales. Además, el Marco sigue haciendo hincapié en la importancia del juicio de la gerencia
en el diseño, implementación y conducción del control interno, así como en la evaluación de la eficacia
de un sistema de control interno.
Al mismo tiempo, el Marco incluye mejoras y aclaraciones destinadas a facilitar la utilización y

la aplicación. Una de las mejoras más importantes es la formalización de los conceptos
fundamentales introducidos en el Marco original. En el Marco actualizado estos conceptos ahora
son principios que están relacionados con los cinco componentes, mejorando la información al
usuario para el diseño e implementación de sistemas de control interno, y para la comprensión de
los requisitos de control interno eficaz.
El Marco ha sido mejorado mediante la ampliación de la categoría de los objetivos de

información financiera para incluir otras formas importantes de información, tales como informes
no financieros e informes internos. Además, el Marco responde a consideraciones de muchos
cambios en los entornos de negocios, operativos y regulatorios de las últimas décadas, entre ellos:
• Expectativas de vigilancia sobre la gobernabilidad

• Globalización de los mercados y las operaciones
• Cambios y mayor complejidad en el negocio
• Exigencias y complejidad de leyes, reglas, regulaciones y normas
• Expectativas de competencias y responsabilidades
• Uso y dependencia de tecnologías en evolución
• Expectativas relacionadas con la prevención y detección del fraude

Un Resumen Ejecutivo proporciona información general de alto nivel destinada al Consejo,
director ejecutivo y otra alta alta gerencia. Esta publicación del Marco y Apéndices establece el
Marco, incluyendo la definición de control interno, los requisitos de control interno eficaz incluidos
componentes y principios relevantes, y dirección para todos los niveles gerenciales en el diseño,
implementación y realización del control interno y en la evaluación de su eficacia. Incluido dentro de la
publicación del Marco y Apéndices se encuentran diez capítulos que constituyen el Marco.
Los Apéndices en la publicación del Marco y Apéndices proporcionan referencia, pero no se consid-
eran parte del Marco. Las Herramientas Ilustrativas para Evaluar la Eficacia de un Sistema de Control
Interno proporcionan plantillas y escenarios que pueden ser útiles en la aplicación del Marco.
Además del Marco, el Control Interno sobre Información Financiera Externa: Compendio de Enfo-
ques y Ejemplos ha sido publicado en paralelo para proporcionar enfoques prácticos y ejemplos
que ilustran cómo los componentes y los principios establecidos en el Marco se pueden aplicar
en la preparación de los estados financieros externos.
Previamente, COSO emitió la Orientación sobre la Supervisión de Sistemas de Control Interno

para asistir a las organizaciones a comprender y aplicar las actividades de supervisión dentro de un
sistema de control interno. Aun cuando esta orientación fue preparada para asistir en la aplicación del
marco original, COSO considera que esta orientación tiene un uso similar para el Marco actualizado.
En el futuro, COSO puede emitir otro documento para proporcionar asistencia en la aplicación
del Marco. Sin embargo, ni el Control Interno sobre Información Financiera Externa: Compendio
de Enfoques y Ejemplos ni cualquier otra orientación futura tiene prioridad sobre el Marco.
Entre otras publicaciones de COSO, está el Marco Integrado de Gerencia de Riesgo Empresarial
(Marco GRE). El Marco GRE y el Marco están diseñados para ser complementarios, y uno no
reemplaza al otro. Sin embargo, mientras que estos marcos son diferentes y proporcionan un
enfoque diferente, se superponen. El Marco GRE abarca el control interno con varias partes
reproducidas del texto original del Marco Integrado de Control Interno. En consecuencia, el Marco
GRE sigue siendo viable y adecuado para el diseño, la implementación, la conducción y la
evaluación de la gerencia de riesgos empresariales.
Por último, el Consejo de COSO quiere agradecer a PwC y al Consejo Asesor por su
contribución en el desarrollo de los documentos del Marco y demás relacionados. Su plena
consideración de los aportes de muchas partes interesadas y su atención al detalle fue funda-
mental para garantizar que las fortalezas esenciales de la estructura original hayan sido conservadas,
aclaradas y fortalecidas.
David L. Landsittel
Presidente de COSO
ii

1. Definición de Control Interno
El propósito de este Marco Integrado de Control Interno (Marco) es ayudar a la gerencia a

mejorar el control de la organización y proporcionar al Consejo 1 una capacidad adicional para
supervisar el control interno. Un sistema de control interno permite a la gerencia mantenerse
enfocada en la búsqueda de las metas de operaciones y desempeño financiero de la
organización, mientras que opera dentro de los límites de las leyes pertinentes y minimiza las
sorpresas en el camino. El control interno permite a la organización responder mejor a los
cambios del entorno económico y competitivo, el liderazgo, las prioridades y la evolución de
los modelos de negocio.
Entendiendo el Control Interno
Control interno se define como sigue:
Control interno es un proceso, efectuado por el Consejo de la entidad, la gerencia y

otro personal, diseñado para proporcionar un aseguramiento razonable en cuanto al
logro de los objetivos relacionados con las operaciones, los informes y el cumplimiento.
Esta definición refleja ciertos conceptos fundamentales. El control interno:

• Está orientado al logro de los objetivos en una o más categorías: operaciones,
informes y cumplimiento
• Es un proceso que consiste en tareas y actividades continuas: un medio para un fin,
no un fin en sí mismo
• Es efectuado por personas: no sólo sobre los manuales de políticas y proce-
dimientos, sistemas y formas, sino acerca de personas y las acciones que ejecu-
tan a todos los niveles de una organización para afectar el control interno
• Es capaz de proporcionar aseguramiento razonable: pero no aseguramiento
absoluto, a la alta gerencia y al Consejo de la entidad
• Adaptable a la estructura de la entidad: flexible en la aplicación de toda la
entidad o de una filial, división, unidad operativa o proceso de negocio en particular
Esta definición es intencionalmente amplia. Captura conceptos importantes que son funda-
mentales para las organizaciones como el diseño, implementación y conducción del control
interno, proporcionando una base para la aplicación a través de las organizaciones que
operan en diferentes estructuras de la entidad, industrias y regiones geográficas. Además,
la definición incorpora subconjuntos de control interno.
1 El Marco utiliza el término "Consejo", que abarca el órgano de gobernabilidad, incluyendo el Consejo, Consejo de
fiduciarios, socios generales, propietario o Consejo de vigilancia.

Los que quieran pueden enfocarse por separado, por ejemplo, en el control interno sobre la
información o los controles relativos al cumplimiento de las leyes y reglamentos. Del mismo
modo, se puede acomodar un enfoque dirigido sobre los controles en las unidades o
actividades de una entidad.
También proporciona flexibilidad en su aplicación, lo que permite a una organización mantener
el control interno a través de toda la entidad, en una subsidiaria, división, o que operen a nivel
de unidad, o dentro de una función relevante para los objetivos de operaciones, información o
cumplimiento de la entidad, sobre la base de las necesidades y circunstancias específicas de
la entidad.
Orientado al Logro de Objetivos
El Marco proporciona tres categorías de objetivos, que permiten a las organizaciones

centrarse en diferentes aspectos del control interno:
• Objetivos de Operaciones - Estos se refieren a la eficacia de las operaciones

de la entidad, incluyendo metas de desempeño operativo y financiero, y la
salvaguarda de los activos contra pérdidas.
• Objetivos de Informes - Estos se refieren a la información financiera y no
financiera, tanto interna como externa, y puede abarcar la confiabilidad, la
oportunidad, la transparencia, u otros términos establecidos por los reguladores,
emisores de normas reconocidas o las políticas de la entidad.
• Objetivos de Cumplimiento - Estos se refieren a la observancia de las leyes y
regulaciones a las que esté sujeta la entidad.
Estas categorías distintas pero solapadas (un objetivo particular puede incluirse en más de
una categoría) abordan necesidades diferentes y pueden ser responsabilidad directa de
diferentes individuos. Las tres categorías también indican lo que se puede esperar del control
interno.
Se espera que un sistema de control interno proporcione a una organización el aseguramien-

to razonable que se alcanzarán los objetivos relacionados con la información externa y el
cumplimiento de leyes y reglamentos. El logro de esos objetivos, que se basan en gran medi-
da en las leyes, normas, reglamentos o normas establecidas por los legisladores, reguladores
y emisores de normas, depende de cómo se llevan a cabo las actividades de control dentro
de la entidad. En general, la gerencia y/o el Consejo tienen mayor discreción en la fijación de
los objetivos de informes internos que no son impulsados principalmente por las partes exter-
nas. Sin embargo, la organización puede optar por alinear sus objetivos de informes internos
con los externos para permitir que los informes internos apoyen mejores informes externos de
la entidad.

El logro de algunos objetivos de operaciones, tales como el retorno sobre la inversión, la
cuota de mercado, o mantener la seguridad de las operaciones en particular, no siempre está
bajo el control de la organización. Por ejemplo, supongamos que una compañía aérea ha
especificado un objetivo para que 90% de todos sus vuelos salgan a tiempo. El mal tiempo,
como huracanes y tormentas de nieve, son acontecimientos externos que escapan al control
de la gerencia que tienen el potencial de afectar significativamente al logro de dicho objetivo.
Para este tipo de objetivos de operaciones, los sistemas de control interno sólo pueden
proporcionar un aseguramiento razonable que la gerencia y el Consejo son informados, en el
momento oportuno, de la medida en que la entidad está avanzando hacia esos objetivos.
Donde es poco probable que eventos externos tengan un impacto significativo en el logro de
los objetivos de operaciones especificados, o cuando la organización puede predecir
razonablemente la naturaleza y el calendario de eventos externos y mitigar el impacto a un
nivel aceptable, la entidad podría ser capaz de obtener un aseguramiento razonable que
estos objetivos pueden alcanzarse. Por ejemplo, supongamos que la gerencia especifica un
objetivo de realizar mantenimiento periódico de equipo cada 500 horas de funcionamiento. La
gerencia considera que el logro de este objetivo está en gran parte bajo su control, aunque
reconoce que pueden haber eventos externos, tal como una pandemia, que podría provocar
una reducción significativa de la fuerza laboral y reducciones correspondientes en las horas
de mantenimiento, que tienen el potencial de impactar el logro del objetivo, pero que es poco
probable que se produzca.
Un Proceso
El control interno no es un evento o circunstancia, sino un proceso dinámico e iterativo2: ac-

ciones que impregnan las actividades de una entidad y que son inherentes a la forma como la
gerencia gestiona la entidad. Incrustado dentro de este proceso están los controles que con-
sisten en las políticas y procedimientos. Estas políticas reflejan las declaraciones de la geren-
cia o Consejo sobre lo que debe hacerse para efectuar el control interno. Tales declaraciones
pueden ser documentadas, declaradas explícitamente en otras comunicaciones de la geren-
cia, o implícitas a través de acciones y decisiones de gerencia. Los procedimientos consisten
en acciones que implementan una política.
Los procesos de negocio, que se realizan dentro, o a través de las unidades operativas o
áreas funcionales, se gestionan a través de las actividades de gerencia fundamentales, tales
como la planificación, ejecución y control. El control interno se integra con estos procesos. El
control interno integrado dentro de estos procesos y actividades probablemente es más eficaz
que los controles independientes.
2 Aunque referido como un proceso, el control interno comprende muchos procesos.

Efectuado por Personas
El control interno es efectuado por el Consejo, la gerencia y otro personal. Esto se logra con
la gente de una organización, por lo que hacen y dicen. Las personas establecen objetivos de
la entidad y ponen en marcha acciones para lograr los objetivos especificados.
Las responsabilidades de supervisión del Consejo incluyen proporcionar asesoramiento y
orientación a la gerencia, desafiar a la gerencia de forma constructiva, aprobar las políticas y
transacciones, y supervisar las actividades de la gerencia. En consecuencia, el Consejo es
un elemento importante de control interno. El Consejo y la alta gerencia establecen las
pautas de la organización sobre la importancia del control interno y las normas de conducta
esperadas en toda la entidad.
Los problemas surgen cada día en la gerencia de una entidad. La gente puede no entender
completamente la naturaleza de estas cuestiones o las alternativas disponibles para ellos,
para comunicarse efectivamente, o para desempeñarse de forma coherente. Cada individuo
trae al lugar de trabajo una experiencia y capacidad únicas, y cada uno tiene diferentes
necesidades y prioridades. Estas diferencias individuales pueden ser intrínsecamente
valiosas y beneficiosas para la innovación y la productividad, pero si no son correctamente
alineadas con los objetivos de la entidad, pueden ser contraproducentes. Sin embargo, las
personas deben conocer sus responsabilidades y límites de autoridad. Por consiguiente,
debe existir un vínculo claro y cercano entre las funciones y responsabilidades de las
personas y la manera en que se comunican estas funciones, se ejecutan, y se alinean con
los objetivos de la entidad.
Proporciona Aseguramiento Razonable
Un sistema eficaz de control interno proporciona a la gerencia y al Consejo un aseguramiento

razonable respecto a los logros de los objetivos de la entidad. El término "aseguramiento
razonable" en lugar de "aseguramiento absoluto", reconoce que existen limitaciones en todos
los sistemas de control interno, y que pueden existir incertidumbres y riesgos que nadie
puede predecir con confianza y precisión. El aseguramiento absoluto no es posible.
El aseguramiento razonable no implica que la entidad siempre logrará sus objetivos. El control
interno eficaz aumenta la probabilidad que una entidad logrará sus objetivos. Sin embargo, la
probabilidad de logro se ve afectada por las limitaciones inherentes a todos los sistemas de
control interno, tales como el error humano, la incertidumbre inherente en decidir, y el posible
impacto de los acontecimientos externos que escapan al control de la gerencia. Además, un
sistema de control interno puede ser evitado si la gente se confabula. Además, si la gerencia
es capaz de anular los controles, todo el sistema puede fallar. A pesar que el sistema de con-
trol interno de la entidad debe ser diseñado para prevenir y detectar la colusión, el error hu-
mano y su anulación por la gerencia, un sistema eficaz de control interno puede experimentar
una falla.

Adaptable a la Estructura de la Entidad
Las entidades pueden estructurarse en diferentes dimensiones. El modelo operativo de
gerencia puede seguir líneas de productos o servicios, y la información puede prepararse
para una entidad, división o unidad de operación consolidada, con mercados geográficos que
establecen nuevas subdivisiones o agregaciones de desempeño. El modelo operativo de
gerencia puede utilizar proveedores de servicios externos para apoyar el logro de los
objetivos.
La estructura jurídica está diseñada especialmente para seguir los requisitos de informes
regulatorios, limitar el riesgo, u ofrecer ventajas fiscales. A menudo, la organización de las
personas jurídicas es bastante diferente del modelo operativo de gerencia utilizado para
administrar las operaciones, asignar recursos, medir el desempeño e informar resultados.
El control interno se puede aplicar al modelo de gerencia operativa, la estructura legal de la
entidad, o una combinación de estas, sobre la base de las decisiones de gerencia y el
contexto de los requisitos legales o regulatorios.

6

que representa a la entidad en general, sus divisiones, filiales, unidades operativas o
funciones, incluyendo sus procesos de negocio como ventas, compras, producción y
comercialización, y a la que se refiere el control interno, es representada por la tercera
dimensión del cubo3.
Cada componente atraviesa y se aplica a las tres categorías de objetivos. Por ejemplo, atraer,
desarrollar y retener a las personas competentes que sean capaces de llevar a cabo el control
interno (parte del componente de ambiente de control) es relevante para las tres categorías
de objetivos.
Las tres categorías de objetivos no son partes ni unidades de la entidad. Por ejemplo, los ob-
jetivos de operaciones se refieren a la eficacia de las operaciones, no a unidades operativas
o funciones específicas, tales como ventas, mercadeo, compras o recursos humanos.
En consecuencia, cuando se considera la categoría de objetivos relacionados con la informa-
ción, por ejemplo, se necesita el conocimiento de una amplia gama de información acerca de
las operaciones de la entidad. En ese caso, el foco está en la columna media del modelo, los
objetivos de informes, en lugar de la categoría de objetivos de operaciones.
El control interno es un proceso dinámico, iterativo e integrado. Por ejemplo, la evaluación del
riesgo no sólo influye en el ambiente de control y las actividades de control, sino que también
puede destacar la necesidad de reconsiderar las necesidades de información y comunicación
de la entidad, o sus actividades de supervisión. Por lo tanto, el control interno no es un proce-
so lineal en el que uno de los componentes afecta sólo al siguiente. Es un proceso integrado
en el que los componentes pueden y tendrán un impacto en otro componente.
No habrán, o no deberían haber, dos entidades con el mismo sistema de control interno. Las
entidades, objetivos y sistemas de control interno se diferencian por la industria y entorno
regulatorio, así como por consideraciones internas, tales como el tamaño, la naturaleza del
modelo operativo de gerencia, la tolerancia al riesgo, la dependencia en tecnología y la com-
petencia y el número de personal. Así, mientras que todas las entidades requieren cada uno
de los componentes para mantener un control interno eficaz sobre sus actividades, el sistema
de control interno propio de una entidad será diferente del sistema de control interno de otras
entidades.
Objetivos
La gerencia, con vigilancia del Consejo, establece objetivos a nivel de entidad que se alinean
con la misión, la visión y las estrategias de la entidad. Estos objetivos de alto nivel reflejan
3 A través del Marco, el término "la entidad y sus sub-unidades" se refiere colectivamente a la entidad en general, sus
divisiones, filiales, unidades operativas y funciones.

decisiones tomadas por la gerencia y el Consejo acerca de cómo la organización pretende
crear, preservar y generar valor para sus partes interesadas. Estos objetivos pueden centrarse
en las necesidades operativas únicas de la entidad, o alinearse con las leyes, reglamentos y
normas impuestas por los legisladores, reguladores y emisores de normas, o alguna combi-
nación de los dos. El establecimiento de objetivos es un requisito previo para el control interno
y una parte clave del proceso de gerencia en relación con la planificación estratégica.
Las personas que forman parte del sistema de control interno deben comprender las
estrategias y los objetivos generales establecidos por la organización. Como parte del control
interno, la gerencia especifica los objetivos adecuados para que los riesgos, hacia el logro de
tales objetivos, puedan ser identificados y evaluados. La especificación de objetivos incluye la
articulación de objetivos específicos, medibles u observables, alcanzables, relevantes y suje-
tos a plazos.
Sin embargo, puede haber casos en que la entidad puede no documentar explícitamente un
objetivo. Los objetivos especificados en detalle apropiado pueden ser fácilmente entendidos
por las personas que están trabajando hacia su logro.
Categorías de Objetivos
Los Marcos agrupan los objetivos de la entidad en tres categorías de operaciones, informes
y cumplimiento.
Objetivos de Operaciones
Los objetivos de operaciones se relacionan con el logro de la misión y la visión básica de la
entidad, la razón fundamental de su existencia. Estos objetivos varían en función de las op-
ciones de la gerencia relacionadas con el modelo operativo de gerencia, consideraciones de
la industria y el desempeño. Los objetivos a nivel de entidad caen en cascada hacia sub-obje-
tivos relacionados con las operaciones dentro de las divisiones, filiales, unidades operativas y
funciones, dirigidas a mejorar la eficacia en mover a la entidad hacia su objetivo final.
Por lo tanto, los objetivos de operaciones pueden estar relacionados con la mejora de los
resultados financieros, la productividad (por ejemplo, evitando desperdicios y reprocesos), la
calidad, las prácticas ambientales, la innovación y la satisfacción de clientes y empleados.
Estos objetivos se refieren a todos los tipos de entidades. Por ejemplo, una entidad con fines
de lucro puede centrarse en los ingresos, la rentabilidad, el rendimiento de los activos y la
liquidez. Por el contrario, una entidad sin fines de lucro, aunque sin duda considerará los in-
gresos o niveles de gasto, puede centrarse más en aumentar la participación de los donantes.
Un organismo gubernamental puede centrarse en el logro de la misión establecida por el
órgano legislativo o de gobierno, mediante la gerencia eficiente de los programas específicos
del gobierno y el gasto de acuerdo con los propósitos designados de sus apropiadores para
garantizar el apoyo de sus objetivos. Si los objetivos de operaciones de una entidad no están
bien concebidos o claramente especificados, sus recursos pueden ser mal dirigidos.

Salvaguarda de los Activos
La categoría de objetivos de operaciones incluye la salvaguarda de los activos, es decir, la

protección y preservación de los activos de la entidad. Por ejemplo, una entidad puede es-
tablecer objetivos relacionados con la prevención de pérdida de activos, así como la
detección oportuna y la notificación de tales pérdidas. Estos objetivos constituyen la base de
la evaluación del riesgo en relación con la salvaguarda de los activos, así como la selección y
desarrollo de los controles necesarios para mitigar este riesgo.
El uso eficiente de los activos de una entidad, así como la prevención de la pérdida a través
de residuos, la ineficiencia o malas decisiones de negocios (por ejemplo, la venta de produc-
tos a un precio demasiado bajo, otorgar crédito a riesgos malos, no retener empleados clave,
permitir la infracción de patente, incurrir en pasivos imprevistos) se refieren a los objetivos de
operaciones más generales y no son una consideración específica en relación con la salva-
guarda de los activos.
Las leyes, reglamentos y normas externas han creado una expectativa que los informes de
gerencia sobre el control interno incluyen controles relativos a la prevención y detección de
adquisiciones, uso o disposición no autorizada de activos de la entidad. Además, algunas en-
tidades consideran que la salvaguarda de los activos es una categoría separada de objetivo,
y ese punto de vista puede acomodarse dentro de la aplicación del Marco.
Objetivos de Informes
Los objetivos de informes se refieren a la preparación de informes para uso de las organi-
zaciones y partes interesadas. Los objetivos de informes pueden estar relacionados con la in-
formación financiera y no financiera, así como informes internos o externos. Los objetivos de
informes internos son impulsados por las necesidades internas en respuesta a una variedad
de necesidades potenciales, tales como direcciones estratégicas de la entidad, planes operativos
e indicadores de desempeño en los distintos niveles. Los objetivos de informes externos son
impulsados principalmente por los reglamentos y/o normas establecidas por los reguladores y
organismos de normalización.
• Objetivos de Informes Financieros Externos, las entidades necesitan alcanzar los objetivos de
informes financieros externos para cumplir con las obligaciones hacia las partes interesadas y
sus expectativas. Los estados financieros son necesarios para acceder a los mercados de ca-
pital y pueden ser críticos para ser adjudicatarios de un contrato o en el trato con proveedores.
Los inversionistas, analistas y acreedores, a menudo, confían en los estados financieros exter-
nos de la entidad para evaluar su desempeño contra sus pares e inversiones alternativas. La
gerencia también puede tener la obligación de publicar estados financieros utilizando los obje-
tivos establecidos por las normas, reglamentos y normas externas.
• Objetivos de Informes No Financieros Externos, la gerencia puede reportar información no

financiera externa de conformidad con las leyes, normas, reglamentos u otros marcos. Los re-
quisitos de informes no financieros según lo establecido por los reglamentos y normas para
10

esos riesgos, y supervisa los componentes del control interno de apoyo al objetivo de
informes no financieros especificado.
En contraste, el componente de Información y Comunicación apoya el funcionamiento de
todos los componentes de los objetivos de informes, así como para los objetivos de
operaciones y cumplimiento. Por ejemplo, los controles dentro de Información y
Comunicación apoyan la preparación del informe anterior, ayudando a proporcionar
información relevante y de calidad incorporada al informe, pero estos controles son sólo una
parte del sistema general de control interno.
Objetivos de Cumplimiento
Las entidades deben llevar a cabo las actividades, y frecuentemente toman acciones
específicas, de conformidad con las leyes y reglamentos aplicables. Como parte de la
especificación de objetivos de cumplimiento, la organización tiene que entender cuales leyes,
normas y reglamentos se aplican en toda la entidad. Muchas leyes y reglamentos son
generalmente bien conocidas, tales como las relativas a recursos humanos, impuestos y
cumplimiento ambiental, pero otras pueden ser más oscuras, tales como las que se aplican a
una entidad que realiza operaciones en un lejano territorio extranjero.
Las leyes y reglamentos establecen las normas mínimas de conducta que se espera de la
entidad. Se espera que la organización incorpore estas normas a los objetivos fijados por la
entidad. Algunas organizaciones establecen objetivos a un nivel de desempeño más alto que
el establecido por las leyes y reglamentos. Al establecer estos objetivos, la gerencia es capaz
de ejercer su discreción respecto a la actuación de la entidad. Por ejemplo, una ley particular
puede limitar a dieciocho horas el tiempo de trabajo en una semana escolar para menores
que trabajan fuera del horario escolar. Sin embargo, una empresa minorista de servicios de
alimentos puede optar por limitar a quince horas por semana el tiempo de trabajo de su
personal menor de edad.
Para efectos del Marco, el cumplimiento de las políticas y procedimientos internos de la
entidad, en lugar de cumplir con las leyes y regulaciones externas como se mencionó
anteriormente, se refiere a objetivos de operaciones.
Solapamiento de Categorías de Objetivos
Un objetivo en una categoría puede solaparse o apoyar un objetivo en otra categoría. Por
ejemplo, "el cierre de período de información financiera dentro de cinco días hábiles" puede
ser un objetivo que principalmente apoya un objetivo de operaciones, para apoyar a la
gerencia en su revisión del desempeño del negocio. Pero también apoya informes y entregas
de documentos oportunas ante los organismos reguladores.
La categoría en la que cae un objetivo puede variar dependiendo de las circunstancias. Por
ejemplo, los controles para evitar el robo de activos, tales como el mantenimiento de una
12

cerca alrededor del inventario, o tener un guardia para verificar la debida autorización de las
solicitudes de circulación de mercancías, entran en la categoría de operaciones. Estos con-
troles pueden no ser relevantes para los informes en los que se detectan pérdidas de inven-
tario después de una inspección física periódica y que luego son registrados en los estados
financieros. Sin embargo, si para efectos de los informes, la gerencia se basa únicamente en
registros de inventario perpetuo, como puede ser el caso de información financiera preliminar
o interna, entonces los controles de seguridad física también entrarían dentro de la categoría
de informes. Se necesitan estos controles de seguridad física, además de los controles sobre
los registros de inventario perpetuo, para lograr los objetivos de informes. Se necesita una
clara comprensión de los procesos de negocio, políticas y procedimientos de la entidad, y del
impacto correspondiente en cada categoría de objetivos.
Base de las Categorías de Objetivos
Algunos objetivos se derivan de los entornos regulatorios o la industria en que opera la

entidad. Por ejemplo:
• Algunas entidades presentan información a las agencias ambientales.
• Las empresas que cotizan en la bolsa entregan información a los reguladores de va-
lores.
• Las universidades informan de los gastos de subvención a los organismos
gubernamentales.
Estos objetivos se establecen en gran medida por la ley o el reglamento, y caen en la

categoría de cumplimiento, informes externos, o como en estos ejemplos, en ambos.
Por el contrario, los objetivos de operaciones e informes internos se basan más en las pre-
ferencias de la organización, juicios y decisiones. Estos objetivos pueden variar ampliamente
entre las entidades simplemente porque las personas informadas y competentes pueden se-
leccionar diferentes objetivos. Por ejemplo, una organización puede optar por estar entre las
primeras en adoptar nuevas tecnologías para el desarrollo de nuevos productos, mientras que
otra podría ser un rápido seguidor, y otra un adoptante tardío. Estas opciones podrían reflejar
las estrategias de la entidad y las competencias, tecnologías y controles dentro de su función
de investigación y desarrollo. En consecuencia, ninguna formulación de objetivos puede ser
óptima para todas las entidades.
Objetivos y Sub-objetivos
La gerencia enlaza los objetivos especificados a nivel de entidad con sub-objetivos más
específicos que caen en cascada por toda la organización. Los sub-objetivos también se
13

establecen como parte, o fluyen, del proceso de fijación de la estrategia, y se relacionan con
la entidad y sus sub-unidades y actividades funcionales como ventas, producción, ingeniería,
mercadeo, productividad, compromiso de los empleados, innovación y tecnología de la
información. La gerencia alinea estos sub-objetivos con los objetivos a nivel de entidad y
coordina estos a través de la entidad.
Cuando los objetivos, a nivel de entidad, son coherentes con la práctica y el desempeño
anterior, el vínculo entre las actividades es generalmente conocido. Cuando los objetivos se
apartan de las prácticas anteriores de la entidad, la gerencia se ocupa de los vínculos o acep-
ta un mayor riesgo. Por ejemplo, un objetivo a nivel de entidad en relación con la satisfacción
del cliente depende de sub-objetivos enlazados que abarcan la introducción de los servicios
que utilizan una infraestructura de la tecnología más reciente y menos probada. Puede que
sea necesario que estos sub-objetivos deban cambiarse considerablemente si la práctica an-
terior utiliza tecnologías probadas más antiguas.
Los sub-objetivos de las unidades operativas y las actividades funcionales también deben ser
específicos, medibles u observables, alcanzables, relevantes y sujetos a plazos. Además,
deben ser fácilmente comprendidos por las personas que están trabajando hacia su logro. La
gerencia y otro personal requieren un entendimiento mutuo, tanto de lo que se ha logrado
como de los medios para determinar en qué medida se ha logrado, con el fin de asegurar la
responsabilidad individual y en equipo.
Las entidades pueden especificar varios sub-objetivos para cada actividad, que fluyen tanto
de los objetivos a nivel de entidad como de las normas establecidas en relación con los
objetivos de cumplimiento e informes, según se considere apropiado en las circunstancias.
Por ejemplo, los objetivos de operaciones de procura pueden ser:
• La adquisición de bienes que cumplan con las especificaciones de ingeniería
• Comprar productos de empresas que cumplan con normas de medio ambiente, salud
y seguridad (por ejemplo, no hay trabajo infantil, buenas condiciones de trabajo)
• Negociar precios y otros términos aceptables
Tenemos otro ejemplo, al especificar los objetivos de informes externos adecuados relativos
a la preparación de estados financieros externos, la gerencia considera las normas de
contabilidad, aseveraciones de los estados financieros y características cualitativas que son
aplicables a la entidad y sus sub-unidades. Por ejemplo, la gerencia puede fijar un objetivo de
informes financieros externos a nivel de entidad de la siguiente manera: "Nuestra compañía
prepara estados financieros confiables que reflejan las transacciones y eventos de acuerdo
con principios de contabilidad generalmente aceptados."
La gerencia también especifica sub-objetivos adecuados para las divisiones, filiales,
unidades operativas y funciones, con claridad suficiente para apoyar los objetivos a nivel de
entidad. Por ejemplo, la gerencia especifica sub-objetivos para transacciones de venta donde
se aplican las normas de contabilidad apropiadas sobre la base de las circunstancias y que
abordan las aseveraciones relevantes de los estados financieros y las características
14

cualitativas, tales como:
• Todas las transacciones de ventas que se producen se registran en el momento oportuno.
• Las transacciones comerciales se registran por sus valores correctos en las cuentas correctas.
• Las transacciones de venta se resumen con precisión y completamente en los libros y

registros de la entidad.
• La presentación y revelaciones relativas a las ventas están bien descritas, ordenadas y

clasificadas.
Componentes y Principios de Control Interno
El Marco establece cinco componentes del control interno y diecisiete principios que
representan los conceptos fundamentales relacionados con los componentes. Estos
componentes y los principios de control interno son adecuados para todas las entidades.
Todos los diecisiete principios se aplican a cada categoría de objetivos, así como a los
objetivos y sub-objetivos dentro de una categoría. Por ejemplo, una entidad puede aplicar el
Marco relativo al cumplimiento de una ley específica sobre los acuerdos comerciales con
entidades extranjeras, una sub-categoría de la categoría de objetivos de cumplimiento.
A continuación, se muestra un resumen de cada uno de los cinco componentes del control in-
terno y de los principios relativos a cada componente. Cada uno de los principios se trata en
los respectivos capítulos sobre componentes.4
Entorno o Ambiente de Control
El ambiente de control es el conjunto de normas, procesos y estructuras que sirven de base

para llevar a cabo el control interno en la organización. El Consejo y la alta gerencia estable-
cen las pautas con respecto a la importancia del control interno y las normas de conducta
esperadas.
Hay cinco principios relacionados con el ambiente de control:
1. La organización demuestra compromiso con la integridad y los valores éticos.
2. El Consejo demuestra independencia de la gerencia y ejerce vigilancia sobre el
desarrollo y el desempeño de los controles internos.
3. La gerencia establece, con la vigilancia del Consejo, las estructuras, las líneas de
subordinación, así como las autoridades y responsabilidades apropiadas para el logro
4 A los efectos del Marco, al describir los principios, el término "organización" se utiliza para capturar el sig-
nificado conjunto de Consejo, gerencia y otro personal. Normalmente, el Consejo sirve por su capacidad de
vigilancia dentro de este término.
15

de los objetivos.
4. La organización demuestra el compromiso de atraer, desarrollar y retener a individuos
competentes en alineación con los objetivos.
5. La organización hace a los individuos responsables por sus funciones de
control interno en la búsqueda de los objetivos.
Evaluación del Riesgo
La evaluación del riesgo consiste en un proceso dinámico e iterativo para identificar y

analizar riesgos para el logro de objetivos de la entidad, formando una base para determinar
cómo se deben manejar los riesgos. La gerencia considera los posibles cambios en el
entorno externo y dentro de su propio modelo de negocio, que puedan obstaculizar su
capacidad para lograr sus objetivos.
Hay cuatro principios relativos a la evaluación del riesgo:
6. La organización especifica objetivos con suficiente claridad para permitir la
identificación y evaluación del riesgo relacionado con los objetivos.
7. La organización identifica los riesgos para el logro de sus objetivos a través de la
entidad y analiza los riesgos como base para determinar cómo se deben manejar los
riesgos.
8. La organización considera el potencial de fraude en la evaluación de los riesgos para
el logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían afectar significativamente
el sistema de control interno.
Actividades de Control
Las actividades de control son las medidas establecidas por las políticas y procedimientos
para asegurar que se cumplan las directivas de la gerencia para mitigar los riesgos para el
logro de los objetivos. Las actividades de control se llevan a cabo en todos los niveles de la
entidad y en las distintas etapas en los procesos de negocio, así como sobre el entorno
tecnológico.
Hay tres principios relacionados con actividades de control:
10. La organización selecciona y desarrolla actividades de control que contribuyen a la
mitigación de los riesgos para el logro de objetivos a un nivel aceptable.
11. La organización selecciona y desarrolla actividades de control general sobre la
tecnología para apoyar el logro de los objetivos.
12. La organización implementa las actividades de control a través de políticas que
establecen lo que se espera y los procedimientos que ponen en práctica las políticas.
16

Información y Comunicación
La información es necesaria en la entidad para que se lleven a cabo las responsabilidades de

control interno en apoyo del logro de sus objetivos. La comunicación se produce tanto a nivel
interno como externo y proporciona a la organización la información necesaria para llevar a
cabo los controles día a día. La comunicación permite al personal entender sus responsabili-
dades de control interno y su importancia para el logro de los objetivos.
Hay tres principios relativos a la información y comunicación:
13. La organización obtiene o genera, y utiliza, información relevante y de calidad
para apoyar el funcionamiento de los otros componentes del control interno.
14. La organización comunica internamente la información, incluyendo los objetivos y
responsabilidades de control interno, necesarios para apoyar el funcionamiento de los
otros componentes del control interno.
15. La organización se comunica con partes externas sobre asuntos que afectan el
funcionamiento de los otros componentes del control interno.
Actividades de Supervisión
Las evaluaciones continuas, evaluaciones independientes, o una combinación de ambas, se

utilizan para determinar si cada uno de los cinco componentes de control interno, incluidos los
controles para efectuar los principios dentro de cada componente, están presentes y en fun-
cionamiento. Los resultados son evaluados y las deficiencias se comunican oportunamente,
reportando los asuntos graves a la alta gerencia y al Consejo.
Hay dos principios en relación con las actividades de control:
16.La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o inde-
pendientes para determinar si los componentes del control interno están presentes y
en funcionamiento.
17.La organización evalúa y comunica las deficiencias de control interno, de manera
oportuna, a las partes responsables de tomar acciones correctivas, incluyendo la alta
gerencia y el Consejo, según sea el caso.
17

Control Interno y el Proceso Gerencial
Debido a que el control interno es una parte de la responsabilidad general de la gerencia, los
cinco componentes se discuten en el contexto de la gerencia de la entidad. No todas las
decisiones o acciones de la gerencia, sin embargo, son parte del control interno:
• Tener un Consejo que consta de directores con la suficiente independencia de la
gerencia y que lleva a cabo su función de supervisión es parte del control interno. Sin
embargo, muchas de las decisiones adoptadas por el Consejo no son parte del control
interno, por ejemplo, la aprobación de una misión o visión particular. El Consejo
también cumple una variedad de responsabilidades de gobernabilidad, además de sus
responsabilidades de vigilancia del control interno.
• Tomar decisiones estratégicas impactando objetivos de la entidad no es parte del
control interno. Una organización puede aplicar enfoques de gerencia de riesgos
empresariales u otros enfoques para establecer los objetivos.
• Ajustar el nivel general de riesgo aceptable y el apetito de riesgo asociado 5 es parte de
la planificación estratégica y la gerencia del riesgo empresarial, que no forma parte del
control interno. Del mismo modo, el establecimiento de niveles de tolerancia al riesgo
en relación con los objetivos específicos tampoco es parte del control interno.
• La selección y desarrollo de controles diseñados para mitigar los riesgos con base en
el proceso de evaluación del riesgo de la organización es una parte del control interno.
Sin embargo, la elección de cual respuesta al riesgo se prefiere para hacer frente a
riesgos específicos no es parte del control interno.
Control Interno y Fijación de Objetivos
No es práctico diseñar ni implementar un sistema de control interno, a menos que se

establezcan, fijen y especifiquen objetivos de la entidad. Establecer y fijar objetivos y sub-
objetivos relacionados es parte, o fluye, del proceso de planificación estratégica, teniendo en
consideración las leyes, reglamentos y normas, así como las propias elecciones de la geren-
cia. Sin embargo, el control interno no puede dictar ni establecer cuáles deben ser los obje-
tivos de la entidad.
Como parte del control interno, una organización establece objetivos para:
• Articular y codificar los objetivos específicos, medibles u observables, alcanzables,
relevantes y basados en el tiempo
5 "Apetito de riesgo" se define como la cantidad de riesgo, en un nivel amplio, que la entidad está dispuesta a aceptar en la
búsqueda de su misión/visión.
18

• Evaluar la idoneidad de los objetivos y sub-objetivos de control interno sobre la base
de los hechos, las circunstancias y las leyes, reglamentos y normas establecidas
• Comunicar los objetivos y sub-objetivos en toda la entidad
El siguiente diagrama ilustra el establecimiento y fijación de objetivos como parte del proceso
de gerencia fuera de control interno, y la especificación de los objetivos y su uso como parte
del control interno en el contexto de un objetivo de informes financieros externos y un
objetivo de operaciones.
19

Limitaciones del Control Interno
El Marco reconoce que, si bien el control interno ofrece aseguramiento razonable del
logro de los objetivos de la entidad, existen limitaciones. Incluso un sistema de control
interno eficaz puede experimentar una falla. Las limitaciones pueden ser el resultado de:
• La adecuación de los objetivos establecidos como condición previa para el control

interno.
• La realidad de que el juicio humano en la toma de decisiones puede ser erróneo y
sujeto a desviaciones.
• Las averías que pueden ocurrir debido a errores humanos, tales como simples
errores.
• La capacidad de la gerencia para anular el control interno.
• La capacidad de la gerencia, otras personas y/o terceros para eludir los
controles a través de la colusión.
• Eventos externos que están más allá del control de la organización.
Estas limitaciones impiden que el Consejo y la gerencia obtengan aseguramiento absoluto del
logro de los objetivos de la entidad, es decir, el control interno proporciona un aseguramiento
razonable, pero no absoluto.
20

3. Control Interno Eficaz
Requisitos para un Control Interno Eficaz
Un sistema eficaz de control interno proporciona un aseguramiento razonable del logro de los
objetivos de la entidad. Dado que el control interno es relevante, tanto para la entidad como
para sus sub-unidades, un sistema eficaz de control interno puede estar relacionado con una
parte específica de la estructura organizativa. Un sistema eficaz de control interno reduce a
un nivel aceptable el riesgo de no alcanzar el objetivo relativo a una, dos o las tres categorías.
Este requiere que:
• Cada uno de los cinco componentes del control interno y los principios relevantes
estén presentes y en funcionamiento6
• Los cinco componentes actúan juntos de una manera integrada
Para determinar si un sistema de control interno es eficaz, la gerencia ejerce su juicio para
determinar si cada uno de los componentes y principios relevantes están presentes y en
funcionamiento, y que los componentes están operando en conjunto.
Cuando se determina que el control interno es eficaz, la alta gerencia y el Consejo tienen
aseguramiento razonable para las siguientes categorías de objetivos:
• Operaciones, la organización:
• alcanza operaciones eficaces cuando se considera poco probable que los
acontecimientos externos tengan un impacto significativo en el logro de los
objetivos, o cuando la organización puede predecir razonablemente la
naturaleza y el calendario de eventos externos, y mitigar el impacto a un nivel
aceptable
• entiende el grado en que las operaciones se gestionan con eficacia cuando los
acontecimientos externos pueden tener un impacto significativo en el logro de
los objetivos y el impacto no se puede mitigar a un nivel aceptable
• Informes, la organización elabora informes de conformidad con las leyes, reglamentos
y normas aplicables establecidas por los legisladores, reguladores y organismos de
normalización, o con objetivos específicos de la entidad y las políticas relacionadas
• Cumplimiento, la organización cumple con las leyes, normas y regulaciones aplicables
6 El capítulo 4, Consideraciones Adicionales, presenta puntos de enfoque como características importantes de los
principios. El Marco no exige que la gerencia evalúe por separado si los puntos de enfoque están colocados.
21

El Marco establece que los componentes y los principios pertinentes son requisitos para un
sistema eficaz de control interno. No prescribe el proceso mediante el cual la gerencia evalúa
su eficacia.
Adecuación y Relevancia de los Componentes y Principios
El Marco considera que todos los componentes de control interno son adecuados y
pertinentes para todas las entidades.
Los principios son conceptos fundamentales asociados con los componentes. Como tal, el
Marco considera que los diecisiete principios son adecuados para todas las entidades. El
Marco supone que los principios son relevantes debido a que tienen una incidencia
significativa en la presencia y funcionamiento de un componente asociado. En consecuencia,
si un principio pertinente no está presente y en funcionamiento, el componente asociado
puede no estar presente y en funcionamiento.
Puede haber una situación, poco frecuente, donde la gerencia ha determinado que un
principio no es relevante para un componente en una industria, operación o regulación. Las
consideraciones para aplicar tal juicio pueden incluir la estructura de la entidad que reconoce
disposiciones legales, regulatorias, industriales o requisitos contractuales de gobernabilidad
de la entidad, así como el nivel de uso y dependencia en tecnología utilizada por la entidad.
La gerencia debe soportar su determinación que un principio no es relevante con el
razonamiento de cómo, en ausencia de dicho principio, el componente asociado puede estar
presente y en funcionamiento.
Presente y En Funcionamiento
La frase "está presente y en funcionamiento" se aplica a los componentes y principios.

• "Presente" se refiere a la determinación de que existen componentes y principios
pertinentes en el diseño e implementación del sistema de control interno para lograr
los objetivos especificados.
• "En Funcionamiento" se refiere a la determinación de que los componentes y los
principios pertinentes siguen existiendo al conducir el sistema de control interno para
lograr los objetivos especificados.
Para determinar si un componente está presente y en funcionamiento, la alta gerencia, con
vigilancia del Consejo, debe determinar en qué medida los principios relevantes están pre-
sentes y en funcionamiento. Sin embargo, que un principio esté presente y en funcionamiento
no implica que la organización se esfuerza por lograr el más alto nivel de desempeño en la
aplicación de este principio en particular. Más bien, la gerencia ejerce su juicio en el equilibrio
22

de los costos y beneficios de diseñar, implementar y llevar a cabo el control interno.
Operando en Conjunto
El Marco requiere que todos los componentes estén operando en conjunto de una manera
integrada. "Operando en Conjunto" se refiere a la determinación de que todos los cinco com-
ponentes reducen colectivamente, a un nivel aceptable, el riesgo de no alcanzar un objetivo.
Los componentes son interdependientes con una multitud de interrelaciones y vínculos entre
ellos, en particular la manera en que los principios interactúan dentro, y a través, de los
componentes. Los componentes que están presentes y en funcionamiento capturan las inter-
dependencias inherentes y los vínculos entre ellos. Ejemplos de componentes operando en
conjunto incluyen los siguientes:
• La organización establece las normas de conducta esperadas y establece medidas de
desempeño e incentivos dentro del Ambiente de Control para reducir la posibilidad de
comportamiento fraudulento y puede afectar el nivel evaluado de riesgo de fraude
evaluado dentro de la Evaluación del Riesgo.
• El desarrollo y la implementación de políticas y procedimientos en el marco de las Ac-
tividades de Control contribuyen a la mitigación de los riesgos identificados y analiza-
dos en la Evaluación del Riesgo.
• El procesamiento de la información relevante y de calidad dentro de Información y Comu-
nicación admite la implementación de procesos de negocio y controles de las transac-
ciones dentro de las Actividades de Control y la realización de evaluaciones continuas
e independientes de dichos controles dentro de las Actividades de Supervisión.
• La comunicación de deficiencias de control interno a los responsables de tomar ac-
ciones correctas en el marco de las Actividades de Control requiere una comprensión
completa de las estructuras de la entidad, líneas de informes, autoridades y respon-
sabilidades, según se establece en el Ambiente de Control, y tal como se comuniquen
dentro de Información y Comunicación.
En consecuencia, la gerencia puede demostrar que los componentes están operando en

conjunto cuando:
• Los componentes están presentes y en funcionamiento
• Las deficiencias de control interno agregadas a través de componentes no resultan en
la determinación de que existe una o más deficiencias importantes
23

presente y en funcionamiento.
La gerencia ejerce su juicio para evaluar la severidad de una deficiencia de control interno, o
una combinación de deficiencias, para determinar si los componentes y principios relevantes
están presentes y en funcionamiento, y los componentes están operando en conjunto, y en
última instancia, en determinar la eficacia del sistema de control interno de la entidad.
Además, estos juicios pueden variar dependiendo de la categoría de objetivos.
Los reguladores, organismos de normalización y otras terceras partes relevantes pueden
establecer criterios para definir la severidad de evaluar y reportar las deficiencias de control
interno. El Marco reconoce y se adapta a su autoridad y responsabilidad según lo establecido
por las leyes, reglamentos y normas externas.
En los casos en que una entidad está aplicando una ley, norma, reglamento o norma externa,
la gerencia debe utilizar sólo los criterios pertinentes que figuran en esos documentos para
clasificar la severidad de las deficiencias de control interno, en lugar de depender de las
clasificaciones establecidas en el Marco. El Marco reconoce que cualquier deficiencia de
control interno que se traduce en que un sistema de control interno no es eficaz de
conformidad con tales criterios, también impedirían a la gerencia concluir que la entidad ha
cumplido con los requisitos de control interno eficaz de conformidad con el Marco (por
ejemplo, una importante falta de conformidad relativa a los objetivos de operaciones o
cumplimiento, o una debilidad material relativa a objetivos de cumplimiento o informes
externos).
Para los objetivos de operaciones o informes internos, la alta gerencia, con vigilancia del
Consejo, podrá establecer criterios objetivos para la evaluación de las deficiencias de control
interno y para reportar deficiencias a los responsables del logro de estos objetivos.
Otras Consideraciones
Aunque la organización puede confiar en un proveedor de servicio externo para llevar a cabo
los procesos de negocio, políticas y procedimientos en nombre de la entidad, la gerencia
tiene la responsabilidad final del cumplimiento de los requisitos para un sistema eficaz de
control interno.
La evaluación de la gerencia de la eficacia del control interno se produce dentro del sistema
de control interno de la entidad. Otras partes que interactúan con la entidad, tales como
auditores y reguladores externos, no son parte del sistema de control interno de la entidad, y
por lo tanto no pueden formar parte del proceso gerencial para la evaluación del control
interno eficaz.
25

26

4. Consideraciones Adicionales
Juicio
El Marco requiere juicio para el diseño, implementación y conducción del control interno, así
como para evaluar su eficacia. El uso de juicio aumenta la capacidad de la gerencia para
tomar mejores decisiones sobre el control interno, pero no puede garantizar resultados
perfectos.
Dentro de los límites establecidos por las leyes, reglamentos y normas, la gerencia ejercerá
juicio en áreas tan importantes como:
• La aplicación de los componentes de control interno relativa a las categorías de
objetivos
• La aplicación de los componentes de control interno y de los principios dentro de la
estructura de la entidad
• La especificación de objetivos y sub-objetivos adecuados, y la evaluación de los
riesgos para el logro de estos objetivos
• La selección, desarrollo e implementación de los controles necesarios para efectuar
los principios
• Evaluar si los componentes están presentes, en funcionamiento y operando en
conjunto
• Evaluar si los principios son relevantes para la entidad, y están presentes y en
funcionamiento
• Evaluar la severidad de una o más deficiencias de control interno, de conformidad con
las leyes, reglamentos y normas externas, o con el Marco
Por ejemplo, en la preparación de estados financieros, la gerencia ejercerá juicio en el

cumplimiento de los requisitos de informes financieros externos. La gerencia considera cómo
deben gestionarse los riesgos identificados para los objetivos y sub-objetivos de información
financiera especificados. Las alternativas que tiene la gerencia para responder a los riesgos
pueden ser más limitadas en comparación con otras categorías de objetivos. Es decir, es
menos probable que la gerencia acepte el riesgo en lugar de reducirlo. Para los objetivos de
información financiera externa en relación con los estados financieros preparados con fines
externos, la aceptación de riesgos debe ocurrir sólo cuando los riesgos identificados no
podrían, de forma individual o en conjunto, superar el umbral de riesgo y resultar en una
omisión o declaración errónea material.
27

La gerencia también ejerce su juicio en la especificación y el uso de los principios de
contabilidad adecuados, en particular los relativos a las mediciones subjetivas y
transacciones complejas. Por ejemplo, la gerencia ejercerá juicio en suposiciones y
utilización de datos en el desarrollo de estimaciones contables, en la aplicación de los
principios de contabilidad para transacciones complejas, y en la preparación de
presentaciones y revelaciones confiables y transparentes. El control interno sobre la
información financiera externa se refiere a la posibilidad de sesgo en el ejercicio del juicio
que podría llevar a una omisión o declaración errónea material en la información financiera
externa.
Puntos de Enfoque
El Marco describe los puntos de enfoque que son características importantes de los
principios. La gerencia podrá decidir que algunos de estos puntos de enfoque no son
adecuados o pertinentes, y puede identificar y considerar a los demás sobre la base de las
circunstancias específicas de la entidad. Los puntos de enfoque pueden ayudar a la gerencia
en el diseño, implementación y conducción de controles internos, y para evaluar si los
principios pertinentes están, de hecho, presentes y en funcionamiento. El Marco no requiere
que la gerencia evalúe por separado si los puntos de enfoque están colocados.
Controles para Efectuar los Principios
Integradas en el proceso de control interno están los controles, que consisten en las políticas
y procedimientos. Las políticas reflejan las declaraciones de la gerencia o el Consejo sobre lo
que debe hacerse para efectuar el control. Los procedimientos son las acciones que
implementan las políticas. Las organizaciones seleccionan y desarrollan controles dentro de
cada componente para efectuar los principios pertinentes. Los controles están relacionados
entre sí y pueden soportar múltiples objetivos y principios.
El Marco no establece los controles específicos que se deben seleccionar, desarrollar, e
implementar para un sistema eficaz de control interno. Esa determinación es una función del
juicio de la gerencia basado en los factores únicos para cada entidad, tales como:
• Leyes, reglamentos y normas aplicables a la entidad
• La naturaleza del negocio de la entidad y de los mercados en los que opera
• Alcance y naturaleza del modelo operativo de gerencia
• Competencia del personal encargado del control interno
• El uso de y la dependencia de la tecnología
28

• Las respuestas de la gerencia a los riesgos evaluados
Se espera que la gerencia obtenga evidencia convincente para apoyar su determinación de

que los componentes y principios relevantes están presentes y en funcionamiento. La
gerencia considera controles relativos a la evaluación de los componentes y principios
pertinentes. La comprensión de cómo los controles efectúan los principios a través de su
selección, desarrollo e implementación, puede proporcionar una evidencia convincente para
apoyar la evaluación de la gerencia de que el sistema de control interno de la entidad es
eficaz. La ausencia de controles necesarios para llevar a cabo los principios pertinentes
representaría una deficiencia de control interno. El Marco permite ejercer juicio para evaluar
el impacto potencial de una deficiencia de control sobre la presencia y funcionamiento de un
principio relevante. La gerencia podrá considerar otros controles (asociados o no con el
componente o principio en particular) que compensan la deficiencia de control interno.
Límites de la Organización
Muchas organizaciones optan por ceder algunos procesos y actividades a proveedores de

servicios externos. Este enfoque ha llegado a ser frecuente debido a los beneficios de
obtener acceso a los recursos humanos de bajo costo, reduciendo los costos en la gerencia
del día a día de algunas funciones, obteniendo acceso a mejores procesos y sistemas, y
permitiendo a la gerencia centrarse más en la misión de la entidad.
Los proveedores de servicios subcontratados pueden ayudar a las organizaciones a llevar a
cabo los procesos de negocio, tales como contratación, programas de compensación
basados en acciones, gerencia de cuentas por pagar, nóminas, pensiones y beneficios y
gerencia de inversiones. Los proveedores de servicios externos también pueden realizar
actividades de tecnología que soportan los procesos de negocio, proporcionando servicios
para adquirir, administrar y mantener sistemas de tecnología previamente gestionados
internamente. Los avances en la tecnología han creado oportunidades de ahorro de costos a
través del acceso a las arquitecturas integrales que ofrecen tecnología según la demanda,
compartida y escalable, que soporta las cambiantes y más complejas operaciones de
negocio, y que pueden tener un costo prohibitivo para la gerencia como una inversión
interna.
Esta dependencia en proveedores de servicios subcontratados cambia los riesgos de las
actividades de negocio, aumenta la importancia de la calidad de la información y las
comunicaciones externas de la organización, y crea mayores dificultades en la supervisión de
sus actividades y los controles relacionados. Si bien la gerencia puede usar a otros para
ejecutar los procesos de negocio, actividades y controles, ya sea para o en nombre de la
entidad, la gerencia conserva la responsabilidad del sistema de control interno. Por ejemplo,
la gerencia tiene la responsabilidad de especificar los objetivos, la gestión de los riesgos
asociados, así como la selección, desarrollo e implementación de controles para efectuar los
componentes y principios pertinentes.
29

El Marco se puede aplicar a toda la entidad, independientemente de las decisiones de la
gerencia acerca de cómo ejecutará las actividades empresariales de apoyo a sus objetivos,
ya sea directamente o por medio de relaciones externas.
Tecnología
La tecnología puede ser esencial para apoyar a la gerencia en el logro de los objetivos de la
entidad, y para controlar mejor las actividades de la organización. El número de entidades
que utilizan la tecnología continúa creciendo al igual que el alcance en que se utiliza la
tecnología.
La tecnología se refiere a menudo con otros términos, tales como "sistemas de gerencia de
la información" o "tecnología de la información". Estos términos comparten las ideas de la
utilización de una combinación de procesos automatizados y manuales, hardware y software,
metodologías y procesos. El Marco utiliza el término "tecnología" para referirse a todos los
sistemas informáticos, incluidas las aplicaciones de software que se ejecutan en una
computadora y los sistemas de control operacional.
Los entornos de tecnología varían significativamente en tamaño, complejidad y grado de
integración. Van desde grandes sistemas, centralizados e integrados, hasta sistemas
descentralizados que funcionan de forma independiente dentro de una unidad operativa
específica. Pueden implicar entornos de procesamiento en tiempo real que permiten el
acceso inmediato a la información, incluidas las aplicaciones móviles que pueden mover
información a través de muchos sistemas, organizaciones y geografías. La tecnología
permite a las organizaciones procesar grandes volúmenes de transacciones, transforma los
datos en información para apoyar la toma de decisiones sensatas, compartir la información
de manera eficiente a través de la entidad y con los socios comerciales, y proteger la
información confidencial contra uso inapropiado. Además, la tecnología puede permitir que
una entidad comparta con el público sus datos operativos y de desempeño.
La innovación tecnológica crea tanto oportunidades como riesgos. Esta puede permitir el
desarrollo de nuevos mercados y modelos de negocio, generar eficiencias a través de la
automatización, y permitir a las entidades hacer cosas que antes eran difíciles de
imaginar. Se puede aumentar la complejidad, lo que hace que la identificación y gestión del
riesgo sean más difíciles.
Los principios presentados en el Marco no cambian con la aplicación de la tecnología. Esto
no quiere decir que la tecnología no cambia el paisaje de control interno. Sin duda afecta la
forma como una organización diseña, implementa y lleva a cabo su control interno, teniendo
en cuenta la mayor disponibilidad de información y el uso de procedimientos automatizados,
pero los mismos principios siguen siendo adecuados y pertinentes. 8
8 Como se trata de un marco basado en principios y porque la tecnología está en constante evolución, el Marco no se
refiere a tecnologías específicas, como la computación en la nube o las redes sociales.
30

Entidades Más Grandes en comparación con Entidades Más
Pequeñas
Los principios subyacentes a los componentes del control interno son aplicables tanto para
las entidades más pequeñas como para las más grandes. Sin embargo, los métodos de
aplicación pueden variar para las entidades más pequeñas, independientemente de que la
entidad cotice en bolsa, sea de propiedad privada, gubernamental o sin fines de lucro. Por
ejemplo, todas las empresas públicas tienen Consejos u órganos de gobierno similares con
responsabilidades de vigilancia relacionadas con los informes. Una entidad pequeña puede
tener un modelo operativo de gerencia y estructura de la entidad menos compleja, así como
una comunicación más frecuente con los directores, lo que permite un enfoque diferente a la
vigilancia del Consejo. Del mismo modo, mientras que muchas empresas públicas a menudo
son obligadas a tener un programa de denuncias, puede haber una diferencia en los
procedimientos de información entre tipos de entidades más pequeñas y más grandes. En
una entidad grande, por ejemplo, el volumen de los eventos notificados puede requerir
informes iniciales a una función interna de personal, pero una entidad pequeña puede
permitir la notificación directa al presidente del comité de auditoría.
Las entidades más pequeñas suelen tener ventajas únicas, que pueden contribuir al control
interno eficaz. Estas pueden incluir un espectro más amplio de control por parte de la alta
gerencia y una mayor interacción directa con el personal. Por ejemplo, las empresas
pequeñas pueden encontrar que las reuniones informales de personal son altamente
eficaces para comunicar la información pertinente al desempeño operativo, mientras que las
grandes empresas pueden necesitar mecanismos más formales, como informes escritos,
portales de intranet, reuniones periódicas formales, o llamadas de conferencia para
comunicar asuntos similares.
Por el contrario, las entidades más grandes pueden disfrutar de ciertas economías de escala
que a menudo afectan a las funciones de apoyo. Por ejemplo, el establecimiento de una
función de auditoría interna dentro de una entidad doméstica más pequeña probablemente
requeriría un mayor porcentaje de los recursos económicos de la entidad de lo que sería el
caso para una entidad multinacional más grande. Una entidad más pequeña puede no tener
una función de auditoría interna, o puede depender de la subcontratación para obtener las
habilidades necesarias, mientras que la entidad más grande podría tener un rango mucho
más amplio de personal interno con experiencia. Sin embargo, con toda probabilidad, el
costo relativo para la entidad más pequeña sería mayor que para la más grande.
Beneficios y Costos de Control Interno
Beneficios
El control interno proporciona muchos beneficios para la entidad. Proporciona a la gerencia y
31

al Consejo mayor confianza con respecto al logro de los objetivos, información sobre cómo
está funcionando el negocio, y ayuda a reducir las sorpresas. Entre las ventajas más
significativas del control interno eficaz para muchas entidades está la capacidad de cumplir
con ciertos requisitos para acceder a los mercados de capital, proporcionando la innovación
impulsada por el capital y el crecimiento económico. Dicho acceso, por supuesto, viene con
responsabilidades para llevar a cabo la comunicación oportuna y confiable con los
accionistas, acreedores, proveedores de capital, reguladores y otros terceros con quienes la
entidad mantiene relaciones contractuales directas. Por ejemplo, un control interno eficaz
soporta la información financiera externa confiable, que a su vez mejora la confianza de los
inversionistas para proporcionar el capital necesario.
Otros beneficios de un control interno eficaz incluyen:
• Información confiable que apoye a la gerencia y al Consejo en la toma de decisiones
sobre asuntos tales como precios de productos, inversión de capital y asignación de
recursos
• Mecanismos coherentes para el procesamiento de transacciones, el apoyo a la calidad
de la información y las comunicaciones en toda la organización, la velocidad y la
fiabilidad en la que se inician y se establecen las transacciones, mejorando y
proporcionando registros íntegros, confiables y permanentes de los datos
• Aumento de la eficiencia en las funciones y procesos
• Una base para decisiones que requieren juicio altamente subjetivo y sustancial
• La capacidad y la confianza para comunicar con precisión el desempeño del negocio
con los socios comerciales y clientes, lo que apoya la continuidad de las relaciones
Además, el Marco permite a la gerencia mejorar la eficiencia en el diseño, implementación y

desarrollo de un sistema de control interno. Por ejemplo:
• Comprender la importancia de especificar los objetivos adecuados puede centrar la
atención de la gerencia sobre los riesgos y los controles más importantes para el logro
de estos objetivos.
• Centrarse en las áreas de riesgo que exceden los niveles de aceptación y deben ser
administradas a través de la entidad podrá reducir los esfuerzos gastados en mitigar
los riesgos en las áreas de menor importancia.
• Coordinar esfuerzos para identificar y evaluar los riesgos a través de múltiples
objetivos puede reducir el número de riesgos discretos evaluados y mitigados.
• Seleccionar, desarrollar e implementar controles para efectuar múltiples principios
también puede reducir el número de controles discretos, en capas.
• La aplicación de un lenguaje común, el Marco, que abarca los procesos y controles de
operaciones, informes y cumplimiento, puede disminuir el número de idiomas que se
32

utilizan para describir el control interno a través de la entidad.
Las entidades siempre tienen límites en los recursos humanos y financieros, y limitaciones
sobre cuánto pueden gastar, por lo tanto a menudo tendrán en cuenta los costos relativos a
los beneficios de los enfoques alternativos en el manejo de las opciones de control interno.
Costos
En general, es más fácil tratar con el aspecto de los costos en la ecuación costo-beneficio,
porque en la mayoría de los casos los costos financieros pueden ser cuantificados con
bastante precisión. Por lo general, se consideran todos los costos directos asociados con la
aplicación de las medidas de control interno y las respuestas, más los costos indirectos,
donde sea práctico medirlos. Algunas entidades también incluyen los costos de oportunidad
asociados con el uso de los recursos.
En general, la gerencia considera una serie de factores de costos en relación con los
beneficios esperados en la selección y el desarrollo de los controles internos. Estos pueden
incluir:
• Considerar el equilibrio entre la contratación y retención de personal con un alto nivel
de competencia y los mayores costos de compensación relacionados. Por ejemplo,
una empresa estable más pequeña, de propiedad privada, puede no querer o poder,
contratar a un director financiero con la experiencia de trabajar para una compañía
que cotiza en bolsa.
• Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo las
actividades de control, los posibles esfuerzos adicionales que la actividad suma a los
procesos de negocio, y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.
• Evaluar los impactos de la dependencia agregada en la tecnología. Mientras que el
esfuerzo en el proceso de negocio para llevar a cabo el control y el impacto de
controles de base tecnológica puede ser pequeño, el costo asociado con la selección,
desarrollo, mantenimiento y actualización de la tecnología podría ser sustancial.
• Comprender cómo los cambios en los requisitos de información pueden requerir una
mayor recopilación, procesamiento y almacenamiento de datos que podría
desencadenar el crecimiento exponencial del volumen de datos. Con más datos
disponibles, la organización se enfrenta al reto de evitar la sobrecarga de información,
para garantizar el flujo de la información correcta, en la forma adecuada, al nivel de
detalle correcto, a las personas adecuadas, en el momento adecuado. El
establecimiento de un sistema de información que equilibra los costos y los beneficios
depende de una consideración cuidadosa de los requisitos de información.
33

Otras Consideraciones en la Determinación de Beneficios y Costos
El lado de los beneficios de la ecuación costo-beneficio a menudo implica una evaluación

más subjetiva. Por ejemplo, los beneficios de los programas de adiestramiento eficaces por
lo general son evidentes, pero difíciles de cuantificar. Los programas de adiestramiento a
menudo no son diseñados para medir los beneficios o para capturar los datos necesarios
para evaluar el programa. Los programas de adiestramiento de ventas no pueden ser
estructurados para medir los resultados de ventas antes y después del empleado, por lo que
es difícil determinar si el adiestramiento es eficaz y cumple sus objetivos. Además, la
evaluación de los beneficios relativa a las expectativas de las partes interesadas puede ser
más difícil de evaluar. En muchos casos, sin embargo, el beneficio de desarrollar acciones
dentro de cualquiera de los cinco componentes del control interno se puede evaluar en el
contexto del beneficio asociado con el logro del objetivo relacionado.
La complejidad de las determinaciones de costo-beneficio se ve agravada por la interrelación
de los controles con las operaciones de negocio. Cuando los controles se integran con los
procesos de gerencia y de negocios, es difícil aislar cualquiera de sus costos y beneficios.
Corresponde a la gerencia decidir cómo una entidad evalúa los costos versus los beneficios
de enfoques alternativos para la implementación de un sistema de control interno, y qué
medidas toma en última instancia. Sin embargo, el costo por sí solo no es una razón
aceptable para evitar la implementación del control interno. Las consideraciones del costo en
comparación con los beneficios apoyan la capacidad de la gerencia para desarrollar y
mantener un sistema de control interno que equilibra la asignación de recursos humanos
relativa a las áreas de mayor riesgo, complejidad, o de otros factores relevantes para los
objetivos de la entidad.
Documentación
Las entidades desarrollan y mantienen documentación de su sistema de control interno por

una serie de razones. Una de ellas es proporcionar claridad sobre las funciones y
responsabilidades, lo que promueve la coherencia en la adhesión a las prácticas, las políticas
y procedimientos de la entidad en la gestión del negocio. La documentación eficaz ayuda en
la captura del diseño del control interno, así como comunicar quién, qué, cuándo, dónde y
por qué de la ejecución del control interno, creando estándares y expectativas de desempeño
y conducta. Otro propósito de la documentación es ayudar en el adiestramiento de nuevo
personal y ofrecer un repaso o referencia para los demás empleados. La documentación
también proporciona evidencia de la realización de los controles internos, permite un control
adecuado y compatible con los informes sobre la efectividad del control interno, sobre todo
cuando se evalúa por otras partes que interactúan con la entidad, tales como reguladores,
auditores y clientes. La documentación también proporciona un medio para retener el
34

conocimiento organizacional y mitigar el riesgo de tener el conocimiento dentro de la mente
de un número limitado de empleados.
La gerencia también debe determinar la cantidad de documentación necesaria para evaluar
la eficacia del control interno. Un cierto nivel de documentación siempre es necesario para
asegurar a la gerencia que cada uno de los componentes y principios relevantes están
presentes y en funcionamiento, y que los componentes están operando en conjunto. Esto
puede incluir, por ejemplo, documentos que demuestren que todos los envíos se facturan, o
que se realizan conciliaciones periódicas. Dos niveles específicos de requisitos de
documentación deben ser considerados, relativos a la información financiera y no financiera
externa:
• En los casos en que la gerencia afirma a reguladores, accionistas o terceros sobre el
diseño y la efectividad operativa de su sistema de control interno, la gerencia tiene un
mayor grado de responsabilidad. Por lo general, esto requiere de documentación para
apoyar la afirmación de que los componentes y principios relevantes están presentes y
en funcionamiento, y que los componentes están operando en conjunto. La naturaleza
y extensión de la documentación pueden ser influenciada por los requisitos
regulatorios de la entidad. Esto no significa necesariamente que toda la
documentación debería ser más formal, sino que la evidencia sea suficiente para
demostrar que los componentes y los principios pertinentes están presentes y en
funcionamiento, que los componentes están operando en conjunto, y que son
adecuados para satisfacer los objetivos de la entidad.
• En los casos en que un auditor externo certifica la eficacia del sistema de control
interno, es probable esperar que la gerencia proporcione al auditor los soportes de su
afirmación sobre la efectividad del control interno. Ese soporte incluye evidencia de
que el sistema de control interno está diseñado correctamente y funciona con eficacia
para proporcionar un aseguramiento razonable de lograr el objetivo de la entidad. Al
considerar la naturaleza y extensión de la documentación necesaria, la gerencia debe
recordar que la documentación que respalde la afirmación probablemente será
utilizada por el auditor externo como parte de sus pruebas de auditoría, incluyendo la
suficiencia de la documentación de esas afirmaciones. La gerencia también tendría
que documentar sus juicios importantes, cómo considera este tipo de decisiones, y
cómo llegó a la decisión final.
Todavía puede haber casos en que los controles son informales e implícitos a través de
acciones y decisiones de la gerencia. Esto puede ser apropiado cuando la gerencia es capaz
de obtener evidencia captada por el normal desarrollo de la actividad que indica que el
personal realizó periódicamente dichos controles. Sin embargo, es importante tener en
cuenta que los controles, como los incluidos dentro de las actividades de supervisión o
evaluaciones del riesgo, no se pueden realizar por completo en la mente de la alta gerencia
sin algún tipo de documentación del proceso de pensamiento y análisis de la gerencia.
El nivel y la naturaleza de la documentación también puede variar según el tamaño de la
organización y la complejidad del control. Las entidades más grandes suelen tener un
sistema más amplio de controles internos y una mayor complejidad en los procesos de
35

negocio, y por lo tanto, suelen verse en la necesidad de tener documentación más extensa,
como manuales de políticas y procedimientos, diagramas de flujo de procesos, organigramas
y descripciones de puestos. Las entidades pequeñas a menudo encuentran una menor
necesidad de documentación formal. En las empresas más pequeñas por lo general hay
menos gente y niveles gerenciales, por lo tanto las relaciones de trabajo son más estrechas y
la interacción más frecuente promueve la comunicación de lo que se espera y de lo que se
está haciendo. En consecuencia, la gerencia de una entidad pequeña puede a menudo
determinar que los controles están colocados a través de la observación directa.
La documentación de control interno debe cumplir con las necesidades del negocio y estar
acorde con las circunstancias. La extensión de la documentación que soporta la presencia y
funcionamiento de cada uno de los componentes y principios pertinentes de control interno y
que los componentes están operando en conjunto es una cuestión de criterio, y se debe
hacer con la eficacia en mente. Además, la organización puede beneficiarse de algún tipo de
documentación formal que permita a la gerencia reflexionar sobre los fundamentos de los
juicios que ejercen, y su alineación con los objetivos de la entidad.
36

5. Entormo o Ambiente de Control
Resumen del Capítulo
El ambiente de control es el conjunto de normas, procesos y estructuras que sirven de base

para llevar a cabo el control interno en la organización. El Consejo y la alta gerencia
establecen las pautas en la parte superior con respecto a la importancia del control interno,
incluidas las normas de conducta esperadas. La gerencia refuerza las expectativas de los
distintos niveles de la organización. El ambiente de control comprende la integridad y los
valores éticos de la organización, los parámetros que permiten al Consejo llevar a cabo sus
funciones de vigilancia, la estructura organizativa y la asignación de autoridad y
responsabilidad, el proceso para atraer, desarrollar y retener a personas competentes, y el
rigor en torno a las medidas de desempeño, incentivos y recompensas para impulsar la
responsabilidad por el desempeño. El ambiente de control resultante tiene un impacto
penetrante en el sistema general de control interno.
Principios relativos al componente Ambiente de Control
1. La organización demuestra compromiso con la integridad y los valores éticos.

2. El Consejo demuestra independencia de la gerencia y ejerce vigilancia sobre el
desarrollo y el desempeño de los controles internos.
3. La gerencia establece, con la vigilancia del Consejo, las estructuras, las líneas de
subordinación, así como las autoridades y responsabilidades apropiadas para el logro
de los objetivos.
4. La organización demuestra el compromiso de atraer, desarrollar y retener a individuos
competentes en alineación con los objetivos.
5. La organización hace a los individuos responsables por sus funciones de control
interno en la búsqueda de los objetivos.
37

Demuestra Compromiso con la Integridad y los Valores Éticos.
Principio 1: La Organización Demuestra Compromiso con la Integridad y los
Valores Éticos.
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Establece las Pautas en la Parte Superior: El Consejo y la gerencia en todos los
niveles de la entidad demuestran a través de sus directivas, acciones y
comportamiento, la importancia de la integridad y los valores éticos para apoyar el
funcionamiento del sistema de control interno.
• Establece Normas de Conducta: Las expectativas del Consejo y la alta gerencia sobre
la integridad y los valores éticos están definidas en las normas de conducta de la
entidad, y son entendidas en todos los niveles de la organización, por los proveedores
de servicios externos y por los socios de negocios.
• Evalúa el Cumplimiento de las Normas de Conducta: Se han establecido
procedimientos para evaluar el desempeño de los individuos y los equipos contra las
normas de conducta de la entidad.
• Aborda las Desviaciones de Forma Oportuna: Las desviaciones a las normas de
conducta de la entidad se identifican y reparan de manera oportuna y consistente.
Pautas desde Arriba y en toda la Organización
Se espera que la gerencia y el Consejo 9 prediquen con el ejemplo en el desarrollo de valores,

una filosofía y un estilo de funcionamiento de la organización. Ellos toman en cuenta las
expectativas de las diferentes partes interesadas de la entidad, como los empleados,
proveedores, clientes, inversionistas y la comunidad en general. Además, se ven
influenciados por las normas sociales y éticas en los mercados en los que opera la
entidad. Además de fomentar la comprensión y el cumplimiento de los requisitos legales y
regulatorios, la gerencia y el Consejo toman medidas concretas para establecer las pautas
en términos de conducta moral, social, ambiental, o de otro tipo de conducta responsable,
como los informes sobre emisión de gases de efecto invernadero, los procesos de
producción sostenible o el apoyo a la comunidad después de desastres naturales. Las
expectativas resultantes se expresan en diferentes grados de formalidad en la forma de:
9 El Marco utiliza el término "Consejo", que abarca el órgano de gobernabilidad, incluyendo el Consejo, Consejo de
fiduciarios, socios generales, propietario o Consejo de vigilancia.
39

• Las declaraciones de misión y valores
• Normas o códigos de conducta
• Las políticas y prácticas
• Principios de funcionamiento
• Directivas, directrices y otras comunicaciones de apoyo
• Las acciones y decisiones en los diversos niveles de gerencia y del Consejo
• Las actitudes y las respuestas a las desviaciones de las normas de conducta
• Acciones y comunicaciones de rutina informales de los líderes en todos los niveles de la entidad
Estos elementos reflejan las expectativas de integridad y de valores éticos, así como el grado
en que estos se aplican en las decisiones tomadas en todos los niveles de la organización,
por los proveedores de servicios subcontratados, y por los socios de negocios (por ejemplo,
socios de empresas conjuntas, alianzas estratégicas). Estos articulan y refuerzan el
compromiso de hacer lo que es correcto, no sólo cumpliendo con las leyes y reglamentos, a
fin de que estas prioridades se entiendan y se practiquen en toda la organización. El grado
en que estas expectativas se comunican y se aplican por la alta gerencia y el Consejo, así
como el resto de los niveles de liderazgo dentro de la organización, caracteriza las pautas en
la parte superior y en toda la organización.
La pauta es afectada por el estilo de funcionamiento y la conducta personal de la gerencia y
el Consejo, las actitudes hacia el riesgo, y las posiciones, que pueden ser conservadoras o
agresivas (por ejemplo, la posición sobre estimaciones, las políticas), y el grado de
formalidad (por ejemplo, en una empresa familiar pequeña los controles pueden ser más
informales), todo lo cual envía un mensaje a la organización. Las indiscreciones personales,
la falta de receptividad a las malas noticias, o las prácticas de compensación desequilibradas
podrían impactar la cultura y en última instancia, proporcionar un incentivo para la conducta
inapropiada. Por el contrario, un historial de comportamiento ético y responsable de la
gerencia y el Consejo, y un demostrado compromiso para abordar la mala conducta, envía
mensajes fuertes a favor de la integridad. Los empleados son propensos a desarrollar las
mismas actitudes acerca de lo correcto y lo incorrecto, y sobre los riesgos y controles, tales
como los mostrados por la gerencia. El comportamiento individual es a menudo influenciado
por el conocimiento de que el director general se ha comportado éticamente cuando se
enfrenta a una decisión empresarial o personal difícil, y que todos en la gerencia han tomado
medidas oportunas para hacer frente a la mala conducta.
Una pauta consistente del Consejo y de la alta gerencia hasta los niveles gerenciales en la
unidad de operación, ayuda a establecer un entendimiento común de los valores, los
conductores de negocios y el comportamiento esperado de los empleados y socios de la
organización. Esto incluye las distintas capas y divisiones a veces referidas como "las pautas
en el medio" en las organizaciones más grandes. Esta coherencia ayuda a agrupar a la
organización como un conjunto en la búsqueda de objetivos de la entidad. Los desafíos para
esta coherencia pueden producirse en diferentes formas. Por ejemplo, los diferentes
40

mercados pueden requerir diferentes enfoques motivacionales, diferentes grados de
evaluación de los proveedores, y diferentes niveles de servicio al cliente. La forma como la
gerencia responde a estas presiones pueden crear diferentes pautas en diferentes niveles de
la organización. Los mensajes de la gerencia sobre lo que es o no es aceptable puede variar
para hacer frente a desafíos particulares a diferentes niveles, pero cuanto más coherente
sean las pautas en la parte superior, más homogéneo será el desempeño de las
responsabilidades de control interno en la búsqueda de objetivos de la entidad.
En algunos casos, la pauta establecida por el presidente puede dar lugar a consecuencias
inesperadas. Consideremos, por ejemplo, un equipo de gerencia que modifique fácilmente
las condiciones contractuales estándar de la entidad para competir en el entorno empresarial
local. Mientras que tal modificación puede ser vista como positiva para propósitos de
satisfacer las necesidades del cliente y la generación de ingresos, por ejemplo, llevar los
productos a los clientes más rápido, puede ser perjudicial para el logro de otros objetivos
tales como el cumplimiento de las normas de seguridad de productos, cuotas, prácticas
comerciales justas u otros requisitos. Una clara orientación y dirección desde la parte
superior, así como la congruencia entre los distintos niveles de gerencia, facilita el logro de
los objetivos de la entidad.
La pauta en la parte superior y en toda la organización es fundamental para el
funcionamiento de un sistema de control interno. Sin un fuerte pauta en la parte superior para
soportar una fuerte cultura de control interno, la conciencia de riesgo puede ser socavada,
las respuestas a los riesgos pueden ser inapropiadas, las actividades de control pueden estar
mal definidas o no practicarse, la información y la comunicación puede fallar, y los
comentarios de actividades de supervisión pueden no ser oídas o generar las acciones
deseadas. Por lo tanto, las pautas pueden ser un impulsor o una barrera para el control
interno.
Normas de Conducta
Las normas de conducta guían a la organización en el comportamiento, las actividades y las

decisiones en el logro de los objetivos al:
• Establecer lo que es correcto e incorrecto
• Proporcionar una guía para navegar por lo que se encuentra en el medio, teniendo en
cuenta los riesgos asociados
• Reflejar las leyes, reglamentos, normas y otras expectativas que las partes
interesadas de la organización puedan tener, tales como la responsabilidad social
empresarial
Las expectativas, normas y costumbres éticas pueden variar a través de las fronteras. La
41

gerencia y el Consejo u órgano de control equivalente, establecen las normas y los
mecanismos para que la organización entienda y cumpla con lo correcto, y definen los
procesos y los recursos para interpretar y abordar las posibles desviaciones. Estas
expectativas se traducen en una declaración de la organización sobre las creencias, valores
y normas de conducta.
La organización demuestra su compromiso con la integridad y los valores éticos mediante la
aplicación de las normas de conducta y continuamente haciendo preguntas difíciles, sobre
todo cuando se enfrentan a decisiones difíciles. Por ejemplo, se puede preguntar: ¿Infringe
las normas de conducta de la organización? ¿Es legal? ¿Querríamos que nuestros
accionistas, clientes, reguladores, proveedores y otras partes interesadas, se enteren? ¿Se
reflejaría negativamente en el individuo o en la organización?
Los valores de integridad y ética son mensajes principales en las comunicaciones y
adiestramiento de la organización. Por ejemplo, una empresa que recibe regularmente
premios de "mejores lugares para trabajar" y logra altas tasas de retención de empleados
suele proporcionar adiestramiento en valores éticos corporativos y cultura organizacional,
con el apoyo de la alta gerencia y el Consejo. Las sesiones de adiestramiento se realizan
trimestralmente o semestralmente en función del número de nuevos empleados contratados.
Durante el adiestramiento los empleados aprenden cómo el clima ético se ha desarrollado en
la organización. Además, los empleados disponen de ejemplos de cómo los valores de
integridad y ética han ayudado en la identificación de problemas y la solución de problemas,
así como la importancia de hablar y transmitir las preocupaciones.
Las normas de conducta se comunican y refuerzan regularmente, no sólo en todos los
niveles de la organización, sino también para los proveedores de servicios subcontratados.
Por ejemplo, la aplicación de control interno para el cumplimiento de las normas de seguridad
del producto se extiende más allá de la entidad para incluir a socios de empresas conjuntas,
proveedores, distribuidores y otros proveedores de servicios subcontratados en todas las
ubicaciones.
La gerencia conserva la última responsabilidad por las actividades que delega a través de
acuerdos contractuales o legales a los proveedores de servicios subcontratados. Las
variables que pueden afectar el alcance de las comunicaciones, la vigilancia, y otras
actividades necesarias para que los proveedores de servicios externos y socios comerciales
se adhieran a las normas de la entidad de conducta incluyen:
• La naturaleza de los servicios subcontratados
• Grado de alineación de las normas de conducta del proveedor de servicios con las
normas de la entidad
• La calidad y frecuencia del refuerzo y vigilancia del cumplimiento de las normas de
conducta por parte del personal de los proveedores de servicios
• La magnitud y el grado de complejidad de la cadena de suministro de la entidad y el
modelo de negocio
42

La conducta inapropiada de los proveedores de servicios externos o socios comerciales
puede afectar negativamente a la alta gerencia e impactar a la propia entidad, causando
daños a los clientes y otras partes interesadas, o a la reputación de la organización, lo que
requiere medidas correctivas costosas. Por lo tanto, la gerencia tiene la responsabilidad por
la ejecución de los procesos que ha delegado a los proveedores de servicios externos o
socios de negocios.
Adherencia y Desviaciones
Las normas de conducta establecidas constituyen la base para la evaluación de la adhesión

a la integridad y los valores éticos de la organización y sus proveedores de servicios
subcontratados. Ellas se comunican a través de las políticas y prácticas de las
organizaciones y los contratos de trabajo o servicio. Algunas organizaciones requieren el
reconocimiento formal de la recepción y el cumplimiento de dichas normas. Para asegurarse
de que se están cumpliendo las normas en la práctica, las acciones, decisiones y actitudes
de los individuos son evaluadas por la gerencia o un tercero independiente.
La falta de cumplimiento de las normas de conducta a menudo se debe a situaciones como:
• La pauta en la parte superior no transmite eficazmente las expectativas con respecto a
la adhesión a las normas
• Un Consejo no proporciona vigilancia imparcial de la adhesión a las normas por parte
de la alta gerencia
• Alta descentralización sin una vigilancia adecuada, dejando a la alta gerencia sin
información de las medidas que se adoptan en niveles inferiores
• La coacción de los superiores, compañeros, o partes externas para cortar esquinas o
incurrir en fraude u otra conducta ilícita
• Metas de desempeño que crean incentivos o presiones que comprometen el
comportamiento ético
• Canales inadecuados para que los empleados expresen con seguridad sus preguntas
e inquietudes
• Fallas para abordar controles inexistentes o ineficaces, lo que permite oportunidades
para ocultar malos resultados
• Proceso inadecuado para la investigación y resolución de supuesta mala conducta
• Una débil función de auditoría interna que no tiene la capacidad de detectar y reportar
conductas indebidas
• Sanciones por conducta abusiva que no se aplican de manera uniforme, son
43

insignificantes o sin publicidad, y por lo tanto pierden su valor disuasivo
Por ejemplo, las normas de conducta pueden prohibir prácticas que podrían ser percibidas
como colusión para fijar precios, pero la organización debe establecer mecanismos para
hacer cumplir las normas, tales como comunicaciones de sensibilización y adiestramiento, la
exploración de precios de mercado para identificar posibles problemas, y otras medidas para
prevenir o detectar una desviación de las normas de conducta de la organización. La
organización comunica los niveles de tolerancia establecidos para las desviaciones. En
función de la importancia del impacto de la organización, el nivel de las medidas correctivas
puede variar, pero se aplicarán en toda la organización. Las evaluaciones de adhesión a las
normas de conducta de individuos y equipos de trabajo son parte de un proceso sistemático
para la escalada y la resolución de excepciones. El proceso requiere que la gerencia:
• Defina un conjunto de indicadores (por ejemplo, tasas de finalización de
adiestramiento, resultados de las actividades de supervisión, infracciones a la
confidencialidad, colusión con otros participantes del mercado, casos de acoso) para
identificar los problemas y las tendencias relativas a las normas de conducta de la
organización, incluyendo sus proveedores de servicios subcontratados. Estos
indicadores se revisan periódicamente y se refinan hasta donde sea necesario para
ayudar a recabar los posibles problemas temprano o antes de que se repitan.
• Establezca procedimientos de cumplimiento continuos y periódicas para confirmar que
las expectativas y los requisitos se están cumpliendo, tanto internamente como por
proveedores externos de servicios.
• Identifique, analice y reporte los problemas de conducta empresarial y las tendencias
a la alta gerencia y al Consejo. Los mecanismos para la identificación de problemas
incluyen líneas directas de información, las funciones de recursos humanos, y las
líneas directas. El análisis a menudo requiere equipos multi-funcionales para
determinar la causa raíz y las medidas correctivas requeridas.
• Considere la fuerza del liderazgo en la demostración de la integridad y los valores
éticos como un comportamiento evaluados en las evaluaciones de desempeño,
compensaciones y decisiones de promoción.
• Centralice las denuncias y evaluarlas por personas independientes de quienes
denuncian.
• Lleve a cabo y documente investigaciones basado en protocolos de investigación
definidos.
• Haga seguimiento a la implementación de acciones correctivas para que se
solucionen los problemas de manera oportuna y consistente.
• Analice periódicamente los problemas para identificar las tendencias y las causas raíz,
a veces pidiendo la modificación de la política, las comunicaciones, el adiestramiento,
o los controles.
44

Las evaluaciones pueden ser realizadas por un proceso continuo de la gerencia y / o por un
tercero independiente. Las personas también pueden evaluar y comunicar las irregularidades
a través de canales formales e informales de comunicación, tales como un programa de
denuncias, una línea directa de ética, procesos de retroalimentación y reuniones regulares
del personal.
Las desviaciones de las normas de conducta se abordan de manera oportuna y consistente.

Dependiendo de la severidad de la desviación determinada por el proceso de evaluación, la
gerencia puede tomar acciones diferentes y también puede tener en cuenta las leyes locales,
pero las normas que deben practicar los empleados se mantiene consistente. Dependiendo
de la severidad de la desviación, el empleado puede recibir una advertencia y recibir
entrenamiento, ser puesto a prueba condicional, o despedido.
45

46

Ejerce Responsabilidad de Vigilancia
Principio 2: El Consejo demuestra independencia de la gerencia y ejerce
vigilancia sobre el desarrollo y el desempeño de los controles internos.
Puntos de Enfoque
este principio:
• Establece las Responsabilidades de Vigilancia: El Consejo identifica y acepta sus
responsabilidades de vigilancia relativas a las necesidades y expectativas
establecidas.
• Aplica Experiencia Relevante: El Consejo define, mantiene y evalúa periódicamente
las habilidades y conocimientos necesarios entre sus miembros para que puedan
hacer preguntas de sondeo a la alta gerencia y tomar las medidas acordes.
• Opera de Manera Independiente: El Consejo tiene suficientes miembros que son
independientes de la gerencia y objetivos en sus evaluaciones y toma de decisiones.
• Proporciona Vigilancia del Sistema de Control Interno: El Consejo tiene la
responsabilidad de vigilar el diseño, implementación y desarrollo del control interno por
la gerencia,
• Ambiente de Control: Establecer la integridad y los valores éticos, las
estructuras de vigilancia, autoridad y responsabilidad, las expectativas de
competencia, y las responsabilidades ante el Consejo.
• Evaluación del Riesgo: Supervisar la evaluación por parte de la gerencia de los
riesgos para el logro de objetivos, incluyendo el impacto potencial de los
cambios significativos, el fraude y que la gerencia anule los controles internos.
• Actividades de Control: Vigilar a la alta gerencia en su desarrollo y ejecución de
actividades de control.
• Información y Comunicación: Analizar y discutir la información relativa a los
logros de los objetivos de la entidad.
• Actividades de Supervisión: Evaluar y supervisar la naturaleza y alcance de las
actividades de supervisión, así como la evaluación y reparación de deficiencias
por parte de la gerencia.
47

Autoridades y Responsabilidades
El Consejo u órgano de control equivalente (el "Consejo") entiende el negocio y las

expectativas de las partes interesadas, incluyendo clientes, empleados, inversionistas y el
público en general, así como los requisitos legales y regulatorios, y los riesgos relacionados.
Estas expectativas y requisitos ayudan a dar forma a los objetivos de la organización, las
funciones de vigilancia del Consejo y los recursos necesarios.
El Consejo tiene la autoridad para contratar o terminar los servicios del director ejecutivo o su
equivalente, según sea necesario, así como establecer los planes de sucesión para dicha
persona, quién luego se ocupa de la ejecución general de la estrategia de la entidad, el logro
de sus objetivos y la eficacia del sistema de control interno. El Consejo es responsable de
proporcionar vigilancia y desafíos constructivos a la gerencia.
Dependiendo de la jurisdicción, las estructuras de vigilancia se desarrollan voluntariamente o
como manda la ley, reglamento o normas, tales como las normas para la cotización de
valores. Aunque los requisitos para las entidades de propiedad privada, sin fines de lucro u
otras entidades pueden variar, las empresas que cotizan en bolsa en muchas jurisdicciones
requieren que los comités a nivel del Consejo se enfoquen en temas especializados, tales
como:
• Comités de nominación / gobernabilidad para dirigir la selección de consejeros o
directores, y vigilar la evaluación de la alta gerencia y el Consejo
• Comités de compensación para supervisar las políticas y prácticas de remuneración
de la alta gerencia, motivar los comportamientos esperados, equilibrar los incentivos
para el desempeño a corto y largo plazo, vincular el desempeño con los objetivos
estratégicos y la compensación en relación al riesgo
• Comités de auditoría para supervisar el control interno sobre la información financiera,
así como la integridad y transparencia de los informes externos, incluidos los informes
financieros
• Otros comités del Consejo dedicados a abordar temas específicos que son
fundamentales para los objetivos de la entidad (por ejemplo, los comités de riesgo de
las instituciones de servicios financieros o los comités de cumplimiento para las
empresas farmacéuticas)
La vigilancia del Consejo se apoya en las estructuras y procesos que establece la gerencia a
nivel de ejecución empresarial. Por ejemplo, los comités de gerencia pueden centrarse en
temas como la tecnología de la información, productos / servicios, procesos, u otros aspectos
de la empresa que requieren atención especializada. La gerencia evalúa continuamente los
riesgos planteados por los cambios en el entorno operativo (por ejemplo, la aparición de
nuevas tecnologías, nuevos requisitos legales y la evolución del modelo de negocio), y se
ocupa de las consecuencias para el sistema de control interno.
48

Aunque el Consejo tiene la responsabilidad de vigilancia, el director ejecutivo y la alta
gerencia asumen una responsabilidad directa para el desarrollo e implementación del
sistema de control interno. Dependiendo del tipo de organización y su estrategia, estructura y
objetivos, sus unidades operativas pueden tener más o menos autonomía en el diseño de los
procesos y estructuras para permitir el control interno. Por ejemplo, mientras que una
organización puede implementar un sistema de planificación de recursos empresariales que
estandariza todos los procesos y controles, otra organización puede dejar en manos de cada
división el determinar y aplicar los sistemas más adecuados para su actividad.
Independencia y Experticia Relevante
El Consejo es independiente de la gerencia y demuestra las habilidades y experticia

relevantes en el desempeño de sus funciones de vigilancia. La independencia se demuestra
en la objetividad mental, de acción, de apariencia y de hecho, de cada miembro del Consejo.
Una empresa que cotiza en bolsa por lo general requiere que la mayoría de sus directores
sean independientes y sin relación personal o profesional actual o reciente con la entidad.
(En algunas jurisdicciones, esto también es un requisito para todos los miembros de algunos
comités del Consejo, tales como los comités de auditoría.) El factor de independencia y
experticia relevante también considera los diversos puestos de gerencia en manos de cada
uno de los miembros del Consejo, para limitar cualquier parcialidad o conflicto de intereses
que pudiera resultar si algunos miembros del Consejo también se desempeñan en los
Consejos de otras empresas.
Debido a que un Consejo debe participar activamente en todo momento y estar preparado
para cuestionar y examinar las actividades de la gerencia, presentar puntos de vista
alternativos y tener el valor de actuar frente a mala conducta evidente o sospechosa, es
necesario que el Consejo incluya consejeros independientes. Ciertamente, los funcionarios y
empleados traen un profundo conocimiento de la entidad a la sala, pero los consejeros
independientes que tengan experticia relevante ofrecen valor a través de su imparcialidad,
sano escepticismo y evaluación imparcial.
Para las entidades de propiedad privada, sin fines de lucro u otras entidades, puede ser
costoso o difícil atraer a directores independientes competentes. Dependiendo de los
requisitos aplicables (algunas pueden no estar obligadas a tener un Consejo), puede ser
apropiado para estas organizaciones identificar las cualidades profesionales y personales del
candidato importante para la entidad (por ejemplo, su comprensión de las perspectivas de las
partes interesadas, la mentalidad de control interno) y establecer un Consejo con los
miembros que demuestren estas cualidades. En esos casos raros en los que las entidades
no pueden tener un Consejo independiente, estas reconocen tal factor y manifiestan probar
diferentes procesos y controles que resultan en una vigilancia adecuada.
La composición del Consejo se determina teniendo en cuenta la misión, los valores y los
diversos objetivos de la entidad, así como las habilidades y conocimientos necesarios para
vigilar, sondear y evaluar al equipo gerencial de la manera más apropiada. El tamaño del
Consejo se determina considerando el número adecuado de miembros para facilitar
49

adecuadas críticas constructivas, discusiones y toma de decisiones. Las capacidades que se
esperan de todos los miembros del Consejo incluyen la integridad y ética, liderazgo,
pensamiento crítico y resolución de problemas. Además, se espera que el Consejo incluya
más habilidades y experticia con la superposición suficiente para permitir la discusión y
deliberación, por ejemplo:
• Mentalidad de control interno (por ejemplo, escepticismo profesional, perspectivas
sobre los enfoques para identificar y responder a los riesgos, evaluación de la eficacia
del sistema de control interno)
• Conocimiento del mercado y la entidad (por ejemplo, conocimiento de los productos /
servicios, cadena de valor, base de clientes, competidores)
• Experiencia financiera, incluidos los informes financieros (por ejemplo, normas
contables, obligaciones de información financiera)
• Experiencia jurídica y regulatoria (por ejemplo, la comprensión de las leyes,
reglamentos y normas que rigen la actividad)
• Experiencia social y ambiental (por ejemplo, la comprensión de las expectativas y las
actividades sociales y ambientales)
• Incentivos y compensaciones (por ejemplo, el conocimiento de los paquetes de
beneficios y prácticas de compensación del mercado)
• Sistemas y tecnologías relevantes (por ejemplo, la comprensión de los sistemas
críticos, así como los desafíos y oportunidades tecnológicas)
La experticia y la independencia del Consejo son evaluadas periódicamente en función de las

necesidades cambiantes de la entidad. Los miembros del Consejo participan en el
adiestramiento adecuado para mantener sus habilidades y experiencia actual y relevante.
Vigilancia del Consejo
El Consejo está involucrado en ejercer la vigilancia del desarrollo y desempeño del control
interno a través de cada uno de los cinco componentes del Marco, como se ilustra en la
siguiente tabla:
50

51

Las obligaciones de transparencia refuerzan la responsabilidad, tanto de la alta gerencia
como del Consejo. Mientras que los requisitos y expectativas de divulgación pueden ser
diferentes según la jurisdicción, la industria, o de otra manera, el Consejo vigila que tales
necesidades se entiendan y se cumplan en el tiempo. Los informes al Consejo se producen
de forma periódica o puntual, según sea necesario, para ayudar al Consejo a vigilar los
asuntos relacionados con el sistema de control interno.
52

Establece la Estructura, la Autoridad y la Responsabilidad
Principio 3: La gerencia establece, con la vigilancia del Consejo, las estructuras,
las líneas de subordinación, así como las autoridades y responsabilidades
apropiadas para el logro de los objetivos.
Puntos de Enfoque
este principio:
• Considera Todas las Estructuras de la Entidad: La gerencia y el Consejo tienen en
cuenta las múltiples estructuras utilizadas (incluyendo unidades operativas, jurídicas,
la distribución geográfica y los proveedores de servicios externos) para apoyar el logro
de los objetivos.
• Establece Líneas de Subordinación: La gerencia diseña y evalúa las líneas de
subordinación para cada estructura de la entidad para permitir la ejecución de las
autoridades y responsabilidades, así como el flujo de información para gestionar las
actividades de la entidad.
• Define, Asigna y Limita las Autoridades y Responsabilidades: La gerencia y el Consejo
delegan autoridad, definen responsabilidades y utilizan procesos y tecnologías
apropiadas para asignar responsabilidades y segregar funciones que sean necesarias
en los diferentes niveles de la organización:
• Consejo: Retiene autoridad sobre las decisiones importantes, y revisa las
asignaciones y limitaciones por parte de la gerencia de las autoridades y
responsabilidades
• Alta Gerencia: Establece directrices, orientación y control para permitir que el
personal de gerencia y otros comprendan y ejecuten sus responsabilidades de
control interno
• Gerencia: Guía y facilita la ejecución de las directivas de la alta gerencia de la
entidad y sus sub-unidades
• Personal: Comprende la norma de conducta de la entidad, los riesgos para los
objetivos que han sido evaluados y las actividades de control en sus respectivos
niveles de la entidad, la información y el flujo de la comunicación esperada, y
las actividades relevantes para el logro de los objetivos
• Proveedores de Servicios Subcontratados: Se adhieren a la definición de la
gerencia del alcance de autoridad y responsabilidad de todos los que no son
empleados
53

Estructuras Organizacionales y Líneas de Subordinación
La alta gerencia y el Consejo establecen la estructura organizacional y las líneas de

subordinación necesarias para planificar, ejecutar, controlar y evaluar periódicamente las
actividades de la entidad, es decir, llevar a cabo sus responsabilidades de vigilancia. Ellos
son apoyados por procesos y tecnología para proporcionar responsabilidades y flujos de
información claros dentro y fuera de la entidad en general y sus sub-unidades.
Las entidades se estructuran a menudo a lo largo de varias dimensiones. En particular:
• El modelo operativo de gerencia puede seguir líneas de productos o servicios para
facilitar el desarrollo de nuevos productos y servicios, optimizar las actividades de
mercadeo, racionalizar la producción y mejorar el servicio al cliente y otros aspectos
operativos.
• Las estructuras jurídicas de entidades son a menudo diseñadas para administrar los
riesgos del negocio, crear estructuras fiscales favorables, y promover la autonomía de
la gerencia de operaciones en el extranjero.
• Los mercados geográficos pueden prever otras subdivisiones o agregaciones de
desempeño.
• Las entidades también entran en una variedad de relaciones con proveedores de
servicios externos para apoyar el logro de los objetivos, lo que crea nuevas
estructuras y líneas de subordinación.
Cada una de dichas lentes pueden proporcionar una evaluación diferente del sistema de
control interno. Mientras que la agregación de los riesgos a lo largo de una dimensión puede
indicar que no hay problemas, la vista a lo largo de una dimensión diferente puede presentar
riesgo de concentración en torno a ciertos tipos de clientes, la excesiva dependencia en un
único proveedor u otras vulnerabilidades. La propiedad y la responsabilidad en cada nivel de
agregación permite tal revisión y análisis multidimensional.
Las estructuras organizacionales evolucionan a medida que la naturaleza del negocio
evoluciona. Por lo tanto, la gerencia revisa y evalúa las estructuras para su relevancia
continua y su eficacia en apoyo del sistema de control interno. Considere, por ejemplo, un
banco que informa de los resultados de desempeño y la eficacia del control interno de la
entidad jurídica, unidad de negocio o la geografía. Si no revisa regularmente sus informes
para verificar que reflejan adecuadamente su actual modelo de negocio, puede dejar de
reconocer la aparición de ciertos riesgos, la ausencia de controles apropiados y lo
inadecuado de los informes.
Para cada tipo de estructura que opera (por ejemplo, la estructura del mercado geográfico, la
estructura del segmento de negocio, estructura de la entidad legal), la gerencia diseña y
evalúa las líneas de subordinación para que las responsabilidades se ejecuten y la
54

información fluya, según sea necesario. También verifica que no hay conflicto de intereses
inherentes a la ejecución de las responsabilidades de la organización y sus proveedores de
servicios subcontratados. Algunas variables a tener en cuenta al establecer y evaluar las
estructuras de organización son las siguientes:
• La naturaleza, el tamaño y la distribución geográfica de los negocios de la entidad
• Los riesgos relacionados con los objetivos de la entidad y los procesos de negocio,
que se pueden retener de forma interna o subcontratada, y las interconexiones con
proveedores de servicios externos y los socios de negocios
• La naturaleza de la asignación de autoridad y responsabilidad a la parte superior,
unidad operativa, funcional y gerencia geográfica
• La definición de líneas de subordinación (por ejemplo, subordinación directa / "línea
continua" contra subordinación secundaria / "línea punteada") y los canales de
comunicación
• Las necesidades de informes financieros, fiscales, regulatorios y de otros tipos en las
jurisdicciones relevantes
Independientemente de la estructura organizacional, las definiciones y las asignaciones de
autoridad y responsabilidad, las líneas de subordinación y los canales de comunicación
deben ser claras para permitir que los equipos operativos y las áreas funcionales tengan
responsabilidad. Por ejemplo, el Consejo determina qué funciones de alta gerencia tienen por
lo menos una "línea punteada" hacia el Consejo para permitir la comunicación abierta con el
Consejo de todos los asuntos de importancia. Del mismo modo, las líneas directas de
subordinación y las líneas de informes se definen en todos los niveles de la organización.
En general, las responsabilidades se pueden ver como pertenecientes a tres líneas de
defensa contra la falla de lograr los objetivos de la entidad, con la vigilancia del Consejo:
• La gerencia y otro personal en la línea del frente proporcionan la primera línea de
defensa en las actividades del día a día. Ellos son responsables de mantener un
control interno eficaz día a día. Ellos son compensados en función del desempeño en
relación con todos los objetivos aplicables.
• Las funciones de apoyo de negocios (también conocidas como funciones de apoyo)
proporcionan orientación sobre los requisitos de control interno y evalúan el
cumplimiento de las normas definidas. Mientras que están funcionalmente alineadas
con el negocio, su remuneración no está directamente relacionada con el desempeño
del área a la que prestan asesoría como expertos.
• Los auditores internos proporcionan la tercera línea de defensa en la evaluación e
informes sobre control interno, y recomiendan acciones correctivas o mejoras para
consideración y aplicación por la gerencia. Su posición y compensación son
separadas y distintas de las áreas de negocio que revisan.
La evaluación periódica de las estructuras existentes relativas al logro de los objetivos de la
55

entidad permite re-alinearlas con las prioridades emergentes (por ejemplo, nuevas
regulaciones), así como su racionalización (por ejemplo, recortar el camino a través de silos
de diferentes funciones o unidades operativas), proporcionando una visión global e integrada
de control interno.
Autoridades y Responsabilidades
El Consejo delega autoridad, y define y asigna responsabilidades a la alta gerencia. A su vez,

la alta gerencia delega autoridad, define y asigna responsabilidades para la entidad en
general y sus sub-unidades. La autoridad y responsabilidad se delegan en base a
competencias demostradas, y los roles se definen en función de quién es responsable o
debe mantenerse informado de las decisiones. El Consejo y / o la alta gerencia definen el
grado en que los individuos y los equipos son autorizados y alentados, o limitados, para
buscar el logro de los objetivos o abordar los problemas que puedan surgir.
Las principales funciones y responsabilidades asignadas a través de la organización por lo
general son las siguientes:
• El Consejo queda informado y desafía la alta gerencia, según sea necesario, para
proporcionar orientación sobre las decisiones importantes.
• La alta gerencia, que incluye al director ejecutivo o al líder equivalente de la
organización, es el último responsable ante el Consejo y otras partes interesadas para
el establecimiento de directrices, orientación y control que permita a la gerencia y otro
personal comprender y llevar a cabo sus responsabilidades.
• La gerencia, que incluye supervisores y encargados de tomar decisiones, ejecuta las
directivas de la alta gerencia de la entidad y de sus sub-unidades.
• El personal, que incluye a todos los empleados de la entidad, se espera que entiende
las normas de conducta de la entidad, los objetivos definidos en relación a su área de
responsabilidad, los riesgos evaluados para los objetivos, las actividades de control
relacionadas en sus respectivos niveles de la entidad, la información, y el flujo de la
comunicación, así como las actividades de supervisión relevantes para lograr los
objetivos.
• La gerencia y personal con responsabilidad directa sobre los procesos subcontratados
realizados por proveedores de servicios externos. Los proveedores de servicios
subcontratados reciben condiciones contractuales claras y concisas relacionadas con
los objetivos y las expectativas de conducta y desempeño, los niveles de competencia,
la información esperada y el flujo de comunicación de la entidad. Pueden ejecutar los
procesos de negocio en nombre de, o junto con, la gerencia, que mantiene su
responsabilidad por el control interno.
56

Las organizaciones delegan autoridad y responsabilidad para que la gerencia y otro personal
tome decisiones de acuerdo a las directivas de la gerencia hacia el logro de los objetivos de
la entidad. Una organización puede definir o revisar sus estructuras mediante la reducción de
niveles gerenciales, delegando más autoridad y responsabilidad a los niveles inferiores, o
asociarse con otras organizaciones. Por ejemplo, una organización de ventas puede facultar
a sus gerentes a vender con un descuento mayor para ganar cuota de mercado. Sin
embargo, la autoridad se delega y la responsabilidad se asigna sólo a aquellos que
demuestran la competencia para tomar decisiones adecuadas, se adhieren constantemente
a las normas de conducta, políticas y procedimientos de la entidad, y entienden las
consecuencias de los riesgos que asumen.
La delegación de autoridad proporciona mayor agilidad, pero también aumenta la
complejidad de los riesgos a ser gestionados. La alta gerencia, con la orientación del
Consejo, constituye la base para determinar lo que es o no es aceptable, tal como el
incumplimiento de obligaciones regulatorias o contractuales de la organización.
Limitación de la Autoridad
La autoridad faculta a las personas para que actúen como sea necesario en una función
dada, pero también es necesario definir las limitaciones de autoridad, de modo que:
• La delegación se produce sólo en la medida necesaria para alcanzar los objetivos de
la entidad (por ejemplo, la revisión y aprobación de nuevos productos implica las
funciones de apoyo y de negocios necesarias, separadas del equipo de ejecución de
ventas).
• Los riesgos inapropiados no son aceptados (por ejemplo, un nuevo proveedor no se
contrata sin la revisión de debida diligencia requerida).
• Las funciones se mantendrán separadas para reducir el riesgo de conductas
inapropiadas en el logro de los objetivos, y las verificaciones y controles necesarios se
producen desde los niveles más altos hasta los más bajos de la organización (por
ejemplo, la definición de las funciones, responsabilidades y medidas de desempeño
de manera tal que se reduce cualquier potencial conflicto de interés).
• La tecnología se aprovecha como sea apropiado para facilitar la definición y limitación
de roles y responsabilidades dentro del flujo de trabajo de procesos de negocio (por
ejemplo, diferentes niveles de acceso a los sistemas de planificación de recursos
empresariales a nivel de empresa y filial, privilegios de acceso concedidos a los
clientes en línea, las empresas socios y otros).
• Los proveedores de servicios de terceros que tienen la tarea de llevar a cabo
actividades en favor de una entidad entienden el alcance de sus derechos para la
toma de decisiones.
57

58

Demuestra Compromiso hacia las Competencias
Principio 4: La organización demuestra el compromiso de atraer, desarrollar y
retener a individuos competentes en alineación con los objetivos.
Puntos de Enfoque
este principio:
• Establece políticas y prácticas: Las políticas y prácticas reflejan las expectativas de
competencias necesarias para apoyar el logro de los objetivos.
• Evalúa las Competencias y Aborda Deficiencias: El Consejo y la gerencia evalúan las
competencias en toda la organización y en los proveedores de servicios
subcontratados, relativas a las políticas y prácticas establecidas, y actúan como sea
necesario para corregir las deficiencias.
• Atrae, Desarrolla y Retiene Personas: La organización ofrece la tutoría y el
adiestramiento necesario para atraer, desarrollar y retener al personal y proveedores
de servicios subcontratados suficientes y competentes para apoyar el logro de los
objetivos.
• Planifica y Se Prepara para la Sucesión: La alta gerencia y el Consejo desarrollan
planes de contingencia para asignar las asignaciones de responsabilidades que son
importantes para el control interno.
Políticas y Prácticas
Las políticas y prácticas son la orientación y el comportamiento a nivel de entidad que

reflejan las expectativas y requerimientos de los inversionistas, reguladores y otras partes
interesadas. Sientan las bases para la definición de las competencias necesarias en la
organización y sirven de base para procedimientos más detallados para la ejecución y la
evaluación de desempeño, así como la determinación de las medidas correctivas, según sea
necesario. Estas políticas y prácticas ofrecen:
• Requisitos y razones (por ejemplo, las consecuencias de las leyes, reglamentos y
normas sobre seguridad de productos de la entidad)
• Habilidades y conductas necesarias para apoyar el control interno en el logro de los
objetivos de la entidad (por ejemplo, el conocimiento de la operación de las
plataformas tecnológicas que sustentan los procesos de negocio)
59

• Responsabilidades definidas para el desempeño de las funciones clave de negocio
(por ejemplo, los propietarios definidos de la seguridad de los productos y las áreas de
aplicación dentro de la organización)
• Bases para la evaluación de deficiencias y la definición de medidas correctivas, según
sea necesario (por ejemplo, la corrección de un proceso, o el fortalecimiento de las
capacidades de la gerencia y otro personal)
• Medios para reaccionar dinámicamente ante los cambios (por ejemplo, la vinculación
con los procedimientos de operación aplicables para reflejar los nuevos requisitos
normativos, nuevos riesgos identificados, o la decisión interna de modificar los
procesos de negocio)
Las políticas y prácticas permiten concentrarse en las competencias para penetrar en la

organización, empezando por el Consejo relativo al director ejecutivo, el director ejecutivo
con respecto a la alta gerencia, y así, en cascada a los diferentes niveles gerenciales. El
compromiso resultante hacia las competencias facilita medir el logro de los objetivos en todos
los niveles de la organización y por los proveedores de servicios externos, estableciendo
cómo deben llevarse a cabo los procesos y qué habilidades y comportamientos se deben
aplicar.
Evaluar las Competencias
Las competencias son las calificaciones para llevar a cabo las responsabilidades asignadas.
Estas requieren habilidades y conocimientos relevantes, que se obtienen generalmente de la
experiencia profesional, el adiestramiento y las certificaciones. Se expresan en la actitud, el
conocimiento y el comportamiento de los individuos que realizan sus responsabilidades.
La función de recursos humanos de una organización a menudo puede ayudar a definir los
niveles de competencia y la cantidad de personal por puesto de trabajo, facilitando el
adiestramiento y el mantenimiento de registros, así como la evaluación de la pertinencia y
adecuación del desarrollo profesional individual relativo a las necesidades de la entidad.
La organización define los requisitos de competencias, según sea necesario para apoyar el
logro de los objetivos, teniendo en cuenta, por ejemplo:
• El conocimiento, las habilidades y experiencia necesarias
• La naturaleza, grado de juicio y limitaciones de autoridad para aplicar a una posición
específica
• El análisis costo-beneficio de los diferentes niveles de habilidades y experiencia
60

El Consejo evalúa la competencia del director ejecutivo, y la gerencia, a su vez, evalúa las
competencias en toda la organización y de los proveedores de servicios externos relativas a
las políticas y prácticas establecidas, y entonces actúa como sea necesario para hacer frente
a las posibles deficiencias o excesos. En particular, un cambio de perfil de riesgo puede
hacer que la organización transfiera recursos hacia las áreas del negocio que requieren una
mayor atención. Por ejemplo, cuando una empresa ofrece un nuevo producto al mercado,
puede optar por aumentar la dotación de personal en sus equipos de ventas y mercadeo, o si
surge una nueva regulación aplicable, puede enfocarse en personas responsables de su
implementación. Pueden surgir deficiencias relativas a la dotación de personal, experticia, o
una combinación de factores. La gerencia es responsable de actuar ante este tipo de
deficiencias de manera oportuna.
Atraer, Desarrollar y Retener Personas
El compromiso con las competencias se apoya y se incrusta en los procesos gerenciales de

recursos humanos para atraer, desarrollar, evaluar y mantener el ajuste correcto de gerencia,
otro personal y proveedores de servicios externos. Se determina el número adecuado de
recursos y se reajusta periódicamente teniendo en cuenta la importancia relativa de los
riesgos que se mitigan para apoyar el logro de los objetivos de la entidad. La gerencia
establece las estructuras y procesos en los diferentes niveles para:
• Atraer: Buscar candidatos que demuestren un ajuste con la cultura, el estilo de
funcionamiento y necesidades de la entidad, y que tienen la capacidad para realizar
las funciones propuestas.
• Adiestrar: Permitir que los individuos desarrollen las competencias adecuadas para las
funciones y responsabilidades asignadas, reforzar las normas de conducta y los
niveles esperados de competencia para las tareas particulares, diseñar el
adiestramiento según las funciones y necesidades, y considerar una mezcla de
técnicas de adiestramiento, incluyendo instrucción en el aula, auto-estudio y en el
puesto de trabajo.
• Mentor: Proporcionar orientación sobre el desempeño del individuo hacia las normas
de conducta y competencia, alinear las habilidades y conocimientos de la persona con
los objetivos de la entidad, y ayudar al personal a adaptarse a un entorno en
evolución.
• Evaluar: Medir el desempeño de las personas relativo al logro de los objetivos y la
demostración de la conducta esperada, y comparar los acuerdos de nivel de servicio u
otros estándares acordados para el reclutamiento y compensación de los proveedores
de servicios subcontratados.
• Retener: Proporcionar incentivos para motivar y reforzar los niveles esperados de
desempeño y la conducta deseada, incluyendo el adiestramiento y la acreditación,
61

según corresponda.
A través de este proceso, cualquier comportamiento que no sea coherente con las normas de
conducta, políticas y prácticas, y las responsabilidades de control interno, se identifica,
evalúa y corrige a tiempo, o se aborda a todos los niveles de la organización. Esto permite a
la organización atender activamente las competencias necesarias para apoyar el logro de los
objetivos, y al mismo tiempo, equilibrar los costos y beneficios de la entidad.
Planifica y Se Prepara para la Sucesión
La gerencia identifica y evalúa continuamente a quienes desempeñan las funciones que se

consideran esenciales para el logro de los objetivos de la entidad. La importancia de cada
función se determina evaluando cuál será el impacto si esa función estuviese vacante por un
tiempo o permanentemente. Por ejemplo, el director ejecutivo y los otros miembros de la alta
gerencia, los proveedores y socios estratégicos clave son funciones que normalmente
requieren planes que se pondrán en marcha para asegurarse de que los objetivos todavía se
pueden lograr, incluso en ausencia de la persona que ejecuta la función.
La alta gerencia y el Consejo desarrollan planes de contingencia para la asignación de las
responsabilidades importantes de control interno. En particular, se definen los planes de
sucesión para los principales ejecutivos y los candidatos para sucesión son capacitados y
entrenados para asumir la función correspondiente.
También se lleva a cabo la planificación de la sucesión cuando las funciones importantes son
delegadas a través de acuerdos contractuales con proveedores de servicios externos. Algún
tipo de plan de sucesión puede ser necesario cuando una organización depende
considerablemente de una parte externa y la organización ha evaluado que la interrupción de
los procesos o sistemas de ese proveedor es un riesgo que tiene un impacto directo en la
capacidad de la entidad para lograr sus objetivos. Las medidas que hacen posible el
intercambio de conocimientos y la documentación continua, generalmente facilitan la
sucesión hacia un nuevo proveedor cuando sea necesario.
62

Hace Cumplir las Responsabilidades
Principio 5: La Organización hace a los individuos responsables por sus
funciones de control interno en la búsqueda de los objetivos.
Puntos de Enfoque
este principio:
• Aplica Responsabilidad a través de Estructuras, Autoridades y Responsabilidades: La
gerencia y el Consejo establecen los mecanismos para comunicar y hacer que las
personas sean responsables por el desempeño de las responsabilidades de control
interno de la organización y aplican las medidas correctivas necesarias.
• Establece Medidas de Desempeño, Incentivos y Recompensas: La gerencia y el
Consejo establecen medidas de desempeño, incentivos y otras recompensas
apropiadas para las responsabilidades a todos los niveles de la entidad, lo que refleja
las dimensiones apropiadas de desempeño y las normas de conducta esperadas,
teniendo en cuenta el logro de los objetivos, tanto a corto plazo como a largo plazo.
• Evalúa las Medidas de Desempeño, Incentivos y Recompensas para la Relevancia
Continua: La gerencia y el Consejo alinean los incentivos y las recompensas con el
cumplimiento de las responsabilidades de control interno en el logro de los objetivos.
• Considera Presiones Excesivas: La gerencia y el Consejo evalúan y ajustan las
presiones asociadas con el logro de los objetivos, en la medida que asignan
responsabilidades, desarrollan medidas de desempeño y evalúan el desempeño.
• Evalúa el Desempeño, y Recompensa o Disciplina a las Personas: La gerencia y el
Consejo evalúan el desempeño de las responsabilidades de control interno, incluido el
cumplimiento de las normas de conducta y los niveles esperados de competencias, y
ofrecen recompensas o ejercen acciones disciplinarias apropiadas.
Responsabilidad por el Control Interno
El Consejo en última instancia, hace que el director ejecutivo sea responsable de la

comprensión de los riesgos que enfrenta la entidad y del establecimiento del sistema de
control interno necesario para apoyar el logro de los objetivos de la entidad. El director
ejecutivo y la alta gerencia, a su vez, son responsables del diseño, la ejecución, la realización
y la evaluación periódica de las estructuras, autoridades y responsabilidades necesarias para
establecer la responsabilidad por el control interno en todos los niveles de la organización.
63

La responsabilidad se refiere a la propiedad delegada para la realización del control interno
en el logro de los objetivos teniendo en cuenta los riesgos que enfrenta la entidad. Los
proveedores de servicios subcontratados se pueden utilizar para llevar a cabo
responsabilidades junto con, o en nombre de, la gerencia, en cuyo caso la gerencia
establece los niveles requeridos de desempeño y los mecanismos de supervisión, y conserva
la última responsabilidad por el control interno. La gerencia proporciona orientación para
facilitar el conocimiento de los riesgos que enfrenta la entidad, para comunicar las
expectativas de conducta de las responsabilidades de control interno en apoyo al logro de los
objetivos de la entidad, y para mantener al personal responsable.
La responsabilidad para el control interno se demuestra en cada tipo de estructura
organizacional utilizada por la entidad. Por ejemplo, un gerente cuyas responsabilidades
incluyen la defensa de las prácticas de comercio justo debe rendir cuentas ante la persona
jurídica, la unidad operativa, geográfica, u otra entidad estructural existente para demostrar
un ambiente de control adecuado y eficaz, evaluación del riesgo, actividades de control,
información y comunicación, y supervisión, para cumplir la política de la entidad y apoyar el
cumplimiento de las leyes y reglamentos.
La responsabilidad está interconectada con el liderazgo, ya que una fuerte pauta en la parte
superior contribuye a que las responsabilidades de control interno sean comprendidas,
realizadas y continuamente reforzadas a través de la entidad. La pauta ayuda a establecer y
hacer cumplir la responsabilidad, la moral y un propósito común a través de:
• La claridad de las expectativas de la alta gerencia y el Consejo, abordando cuestiones
tales como la integridad y la ética, conflicto de intereses, actividades ilegales o no
apropiadas, y los acuerdos anti-monopolio (por ejemplo, se desarrolla y se comunica
un código de conducta a todos los empleados y personal de los proveedores de
servicios subcontratados, y se aplica)
• La orientación proporcionada por la gerencia a través de su filosofía y estilo de
funcionamiento, tal como se expresa en la forma del estado de ánimo, la formalidad, la
persistencia y otras actitudes de la gerencia hacia el control interno (por ejemplo, una
entidad que ha sido exitosa asumiendo riesgos significativos puede tener una
perspectiva diferente del control interno que otra que ha enfrentado duras
consecuencias económicas o regulatorias como consecuencia de aventurarse en
áreas de alto riesgo)
• Control y flujo de información (por ejemplo, la comunicación de cómo se toman las
decisiones, y solicitando y actuando en la retroalimentación de 360 grados sobre el
desempeño)
• Los canales de comunicación hacia arriba y otros, para que los empleados y
proveedores de servicios externos se sientan cómodos reportando violaciones de
normas éticas (por ejemplo, se colocan a disposición canales de comunicación
anónimos o confidenciales)
• Compromiso de los empleados hacia objetivos colectivos (por ejemplo, la alineación
de los objetivos y del desempeño individual con los objetivos de la entidad)
64

• Respuesta de la gerencia a las desviaciones de las normas y los comportamientos
esperados (por ejemplo, los avisos, despidos y / u otras acciones correctivas que se
derivan de no adherirse a las normas de organización, evaluación del desempeño, y
las estructuras de recompensas son proporcionales al logro de los objetivos de la
organización)
La responsabilidad es impulsada por las pautas en la parte superior y apoyada por el
compromiso con la integridad y los valores éticos, la competencia, la estructura, los procesos
y la tecnología, que influyen en la cultura colectiva de control de la organización. La acción
correctiva se toma según sea necesario para restablecer la necesaria responsabilidad hacia
el control interno.
Medidas de Desempeño, Incentivos y Recompensas
El desempeño está fuertemente influenciado por el grado en que las personas son
responsables y cómo se recompensan.
La gerencia y el Consejo establecen medidas de desempeño, incentivos y otras
recompensas apropiadas para las responsabilidades a todos los niveles de la entidad,
teniendo en cuenta el logro de objetivos, tanto a corto plazo como a largo
plazo. Reconociendo que recompensar resultados futuros en el presente puede producir
consecuencias no deseadas, la organización establece una combinación de desempeño
cuantitativo y cualitativo que se mide equilibradamente para recompensar los éxitos y
disciplinar los comportamientos cuando sea necesario de acuerdo con la gama de
objetivos. Consideremos, por ejemplo, una empresa que busca ganar la lealtad del cliente
con productos de calidad. Compromete a su fuerza de trabajo en un esfuerzo para reducir las
tasas de defectos de producción y alinea sus medidas de desempeño, incentivos y
recompensas, tanto con los objetivos de producción de la unidad de operación como con las
expectativas para cumplir con la seguridad del producto y normas de calidad, las leyes de
seguridad laboral, los programas de fidelización de clientes, y los informes precisos sobre
retirada de productos.
Las medidas de desempeño, incentivos y recompensas apoyan un sistema eficaz de control
interno en la medida que se adaptan a los objetivos de la entidad y se desarrollan de forma
dinámica con sus necesidades. La siguiente tabla muestra las medidas clave de éxito y las
consideraciones para motivar, medir y recompensar el alto desempeño.
65

Los incentivos proporcionan motivación para que la gerencia y otro personal se
desempeñe. Los aumentos salariales y las bonificaciones son de uso común, pero una mayor
responsabilidad, visibilidad, reconocimiento y otras formas de recompensa no monetaria son
otros incentivos eficaces. Las gerencia aplica sistemáticamente y revisa periódicamente la
medición y las estructuras de recompensa de la organización para asegurarse de que no
fomenta una conducta inapropiada (por ejemplo, la falta de equilibrio entre los objetivos de
ingresos y otros objetivos clave para la viabilidad de la empresa puede crear una conducta
que no está en consonancia con las normas esperadas). Del mismo modo, las estructuras de
compensación y recompensa, incluidas las estructuras de contratación y promoción,
incorporan la revisión de la conducta histórica frente a las expectativas de comportamiento
ético. Las personas que no se adhieren a las normas de conducta de la entidad son
sancionadas y no son promovidas, pero son recompensadas si lo hacen.
Independientemente de la forma que adopten, los incentivos inducen el comportamiento. Una
entidad que limita su enfoque a sólo aumentar la utilidad puede ser más propensa a
experimentar un comportamiento no deseado, tal como la manipulación de los estados
financieros o los documentos contables, las tácticas de venta de alta presión, las
negociaciones dirigidas a aumentar las ventas trimestrales o beneficios a cualquier precio, o
las ofertas implícitas de sobornos.
66

La gerencia y el Consejo evaluará periódicamente los resultados de las personas y los
equipos relativos a las medidas de desempeño definidas, que incluyen factores de
desempeño empresarial, así como la adhesión y el apoyo a las normas de conducta y las
competencias demostradas.
Las medidas de desempeño son revisadas periódicamente para determinar su relevancia y
adecuación permanente en relación con los incentivos y recompensas. Si es necesario, los
factores internos o externos se re-alinean con los objetivos y otras expectativas de la
gerencia, el personal y los proveedores externos.
Presiones
La gerencia y el Consejo establecen objetivos y metas hacia el logro de los objetivos que por
su naturaleza crean presiones dentro de la organización. Las presiones también pueden
deberse a variaciones cíclicas de ciertas actividades, que las organizaciones tienen la
capacidad de influir reajustando las cargas de trabajo o aumentando los niveles de recursos,
según proceda, para reducir el riesgo de que los empleados tomen "atajos", que de tomarlos,
podrían ser perjudiciales para el logro de los objetivos.
Estas presiones, que se ven afectadas además por el entorno interno o externo, pueden
motivar positivamente los individuos para satisfacer las expectativas de conducta y
desempeño, tanto a corto plazo como a largo plazo. Sin embargo, las presiones indebidas
pueden causar que los empleados teman las consecuencias de no alcanzar los objetivos y
entonces eludan procesos o participen en actividades fraudulentas o de corrupción.
Las presiones excesivas son más comúnmente asociadas con:
• Objetivos de desempeño poco realistas, en particular para los resultados a corto plazo
• Objetivos contradictorios de las diferentes partes interesadas
• Desequilibrio entre la recompensa por el desempeño financiero a corto plazo, y
aquellas de partes interesadas enfocadas a largo plazo, tales como los objetivos de
sostenibilidad corporativa
Por ejemplo, la presión para generar niveles de ventas que no están acordes con las
oportunidades de mercado puede conducir a los gerentes de ventas a falsificar las cifras o
participar en sobornos u otros actos ilícitos. Las presiones para demostrar la rentabilidad de
las inversiones pueden causar que los operadores tomen riesgos fuera de la estrategia para
cubrir las pérdidas sufridas. Del mismo modo, las presiones para colocar un producto en el
mercado y generar ingresos rápidamente pueden causar que el personal tome atajos en el
desarrollo de productos o sus pruebas de seguridad, lo que puede ser perjudicial para los
consumidores, o puede dar lugar a mala aceptación o a reputación deteriorada.
Para alinear los objetivos individuales de cada unidad de negocio con los objetivos de la
67

entidad, la organización considera cómo se toman y se gestionan los riesgos como base para
la compensación y otras recompensas. Por ejemplo, a medida que los operadores toman
riesgos en nombre de sus clientes y de la organización, están conscientes de que su
remuneración, avance y posición pueden ser aumentadas, reducidas o perdidas en función
de su desempeño. Las estructuras de incentivos que no tienen en cuenta adecuadamente los
riesgos asociados con el modelo de negocio pueden causar un comportamiento inapropiado.
Otros cambios en el negocio, tales como cambios en la estrategia, el diseño organizacional y
las adquisiciones / cesiones, también crean presiones. La gerencia y el Consejo deben
entender esas presiones y equilibrarlas con la comunicación, los incentivos y las
recompensas apropiadas. La gerencia y el Consejo fijan y ajustan según proceda, las
presiones sobre los incentivos y recompensas en la asignación de responsabilidades, el
diseño de las medidas de desempeño y la evaluación de desempeño. Es responsabilidad de
la gerencia guiar a quienes se haya delegado la autoridad para tomar decisiones apropiadas
en el curso de los negocios. Por ejemplo, las organizaciones suelen considerar que los
resultados financieros, el desarrollo de las competencias y la información oportuna y precisa
a las partes interesadas, son sus objetivos más importantes para la viabilidad de la empresa.
También esperan que la gerencia, otro personal, así como los proveedores de servicios
externos y socios comerciales preserven en todo momento la calidad de los productos o
servicios prestados, la seguridad del personal que desempeña sus funciones y otros factores
que podrían crear un riesgo moral o dañar la reputación de la entidad.
Evaluación del Desempeño y Recompensa
Al igual que los objetivos de desempeño se conectan en cascada desde el Consejo hasta el
director ejecutivo, la alta gerencia y otro personal, la evaluación del desempeño se lleva a
cabo en cada uno de estos niveles. El Consejo evalúa el desempeño del director ejecutivo,
quien a su vez evalúa el desempeño de la alta gerencia, y así sucesivamente. En cada nivel
son evaluadas la adhesión a las normas de conducta y los niveles esperados de
competencia, y se asignan las recompensas o se ejercen las acciones disciplinarias, según
corresponda. Los beneficios pueden ser en forma de dinero, patrimonio, reconocimiento o
avance profesional. Los resultados de estas evaluaciones se comunican y se actúa en
consecuencia con recompensas o sanciones, según corresponda, para influir en el
comportamiento deseado.
Las políticas y prácticas de remuneración se basan en la filosofía de compensación de la
organización, que considera el posicionamiento competitivo que pretende lograr (métodos y
niveles de incentivos, y compensaciones para atraer el mayor calibre de talento necesario
para superar las ofertas de otras empresas del sector). La compensación y otros premios se
otorgan sobre la base de la evaluación del desempeño, las competencias y la adquisición de
habilidades, así como la información de precios de mercado disponibles, con el objetivo de
retener al personal de alto desempeño y fomentar el desgaste del personal de bajo
desempeño. Recursos humanos gestiona el proceso de obtener, procesar y comunicar la
68

información pertinente a los niveles adecuados de gerencia y otro personal.
El desempeño se mide en relación con el logro de los objetivos y la capacidad de gestionar
dentro de los niveles de tolerancia al riesgo, considerando tanto el corto plazo como el largo
plazo. Como tal, se consideran tanto los riesgos históricos (retrospectivos) como los riesgos
a futuro (prospectivos).
69

70

6. Evaluación del Riesgo
Todas las entidades se enfrentan a una variedad de riesgos de fuentes externas e internas.
El riesgo se define como la posibilidad de que ocurra un evento, y afectan negativamente el
logro de los objetivos. La evaluación del riesgo consiste en un proceso dinámico e iterativo
para identificar y evaluar los riesgos para el logro de los objetivos. Los riesgos para el logro
de los objetivos de toda la entidad se consideran en relación con la tolerancia al riesgo
establecida. Por lo tanto, la evaluación del riesgo es la base para determinar cómo se
gestionarán los riesgos.
Una condición previa para la evaluación del riesgo es el establecimiento de objetivos,
vinculados a diferentes niveles de la entidad. La gerencia establece objetivos dentro de las
categorías relacionadas con operaciones, informes y cumplimiento con la suficiente claridad
para identificar y analizar los riesgos para esos objetivos. La gerencia también considera la
idoneidad de los objetivos de la entidad. La evaluación del riesgo también requiere que la
gerencia considere el impacto de los posibles cambios, tanto en el entorno externo como en
su propio modelo de negocios, que podrían hacer que el control interno se torne ineficaz.
Principios relativos al componente Evaluación del Riesgo
6. La organización especifica objetivos con suficiente claridad para permitir la

identificación y evaluación del riesgo relacionado con los objetivos.
7. La organización identifica los riesgos para el logro de sus objetivos a través de la
entidad y analiza los riesgos como base para determinar cómo se deben manejar los
riesgos.
8. La organización considera el potencial de fraude en la evaluación de los riesgos para
el logro de los objetivos.
9. La organización identifica y evalúa los cambios que podrían afectar significativamente
el sistema de control interno.
71

parte del proceso de evaluación del riesgo, la organización si necesita tener una
comprensión común de los objetivos a nivel de entidad relevantes para sus operaciones,
informes y cumplimiento, así como la manera en que los objetivos caen en cascada en la
organización.
Tolerancia al Riesgo
Tolerancia al riesgo es el nivel aceptable de variación en el desempeño en relación con el

logro de los objetivos. Operar dentro de la tolerancia al riesgo proporciona a la gerencia
mayor confianza de que la entidad logrará sus objetivos. La tolerancia al riesgo se puede
expresar de diferentes maneras para adaptarse a cada categoría de objetivos. Por ejemplo,
al examinar los informes financieros, la tolerancia al riesgo se expresa normalmente en
términos de materialidad10 mientras que para cumplimiento y operaciones, la tolerancia al
riesgo se expresa a menudo en términos del nivel aceptable de variación en el desempeño.
La tolerancia al riesgo se determina normalmente como parte del proceso de fijación de
objetivos, y como con el establecimiento de objetivos, el establecimiento de niveles de
tolerancia es una condición previa para la determinación de las respuestas a los riesgos y las
actividades de control relacionadas. La gerencia podrá ejercer una considerable discreción
en el establecimiento de la tolerancia al riesgo y la gestión del riesgo cuando no hay
requisitos externos. Sin embargo, cuando existen requisitos externos, tales como los relativos
a los objetivos de cumplimiento e informes externos, la gerencia considera la tolerancia al
riesgo dentro del contexto de las leyes, reglamentos y normas externas establecidas.
Además, la alta gerencia considera la importancia relativa de los objetivos buscados y las
diferentes prioridades para el logro de estos objetivos. Por ejemplo, un director de
operaciones puede ver que los objetivos de operaciones requieren un mayor nivel de
precisión que la importancia relativa de los objetivos de informes, y viceversa para el director
financiero. Sin embargo, sería un problema para las empresas que cotizan en bolsa exagerar
sus objetivos de operaciones en una medida que afecte negativamente la fiabilidad de la
información financiera. Estos puntos de vista son considerados como parte del proceso de
planificación estratégica, y en consecuencia, del establecimiento de objetivos con las
tolerancias establecidas. Este tipo de decisión también puede afectar el nivel de recursos
asignados a la búsqueda del logro de los respectivos objetivos.
Las medidas de desempeño se utilizan para ayudar a que una entidad opere dentro de la
tolerancia al riesgo establecida. La tolerancia al riesgo a menudo se mide mejor en la misma
unidad que los objetivos relacionados. Por ejemplo, la entidad:
10 Los reguladores y organismos emisores de normas definen el término "materialidad". La gerencia desarrolla una
comprensión de la materialidad como se define en las leyes, reglamentos y normas para la aplicación del Marco dentro
del contexto de las leyes, reglamentos y normas.
73

• Fija el objetivo de entregar a tiempo un 98%, con una variación aceptable en el
intervalo de 97% a 100%
• Fija el objetivo de adiestramiento de que 90% de los que recibieron el adiestramiento
lo aprueben, pero acepta que sólo el 75% lo apruebe
• Espera que el personal responda a todas las quejas de los clientes dentro de las 24
horas, pero acepta que hasta un 10% de las quejas puede recibir respuesta dentro de
36 horas
74

Especifica Objetivos Adecuados
Principio 6: La organización especifica objetivos con suficiente claridad
para permitir la identificación y evaluación del riesgo relacionado con los
objetivos.
Puntos de Enfoque
los objetivos de operaciones, informes y cumplimiento:
• Refleja las Opciones de la Gerencia: Los objetivos de operaciones responden a
decisiones de la gerencia acerca de la estructura, las consideraciones de la industria y
el desempeño de la entidad.
• Considera Tolerancias para la Gestión del Riesgo: Considera los niveles aceptables
de variación en relación con el logro de los objetivos de operaciones.
• Incluye Objetivos de Operaciones y Desempeño Financiero: La organización refleja el
nivel deseado de las operaciones y el desempeño financiero de la entidad dentro de
los objetivos de operaciones.
• Constituye una Base para la Asignación de Recursos: La gerencia utiliza objetivos de
operaciones como base para la asignación de los recursos necesarios para alcanzar
las operaciones deseadas y el desempeño financiero.
Objetivos de Información Financiera Externa

• Cumple con las Normas de Contabilidad Aplicables: Los objetivos de la información
financiera son consistentes con los principios de contabilidad adecuados y disponibles
para esa entidad. Los principios contables seleccionados son apropiados en las
circunstancias.
• Considera Materialidad: La gerencia considera la materialidad en la presentación de
los estados financieros.
• Refleja Actividades de la Entidad: La información externa refleja las transacciones y
sucesos correspondientes para mostrar las características cualitativas y las
afirmaciones.
75

Objetivos de Información No Financiera Externa
• Cumple con las Normas y Pautas Establecidas Externamente: La gerencia establece
objetivos coherentes con las leyes y reglamentos, o normas y marcos, de las
organizaciones externas reconocidas.
• Considera el Nivel de Precisión Requerido: La gerencia refleja el nivel requerido de
precisión y exactitud adecuada para las necesidades del usuario, y lo hace en base a
los criterios establecidos por terceros para la información no financiera.
• Refleja Actividades de la Entidad: La información externa refleja las transacciones y
sucesos dentro de un rango de límites aceptables.
Objetivos de Información Interna

• Refleja las Opciones de la Gerencia: Los informes internos de gerencia proporcionan
información precisa y completa sobre las opciones y la información necesaria para la
gestión de la entidad.
• Considera el Nivel de Precisión Requerido: La gerencia refleja el nivel requerido de
precisión y exactitud adecuada para las necesidades del usuario en los objetivos de
información no financiera, y la materialidad relativa dentro de los objetivos de
información financiera.
• Refleja Actividades de la Entidad: Los informes internos reflejan las transacciones y
sucesos correspondientes dentro de un rango de límites aceptables.
• Refleja Leyes y Reglamentos Externos: Las leyes y reglamentos establecen las
normas mínimas de conducta que la entidad integra en sus objetivos de cumplimiento.
• Considera Tolerancias al Riesgo: Considera los niveles aceptables de variación en
relación con el logro de los objetivos de cumplimiento.
Especificación de Objetivos
Una condición previa para la evaluación del riesgo es el establecimiento de objetivos,
vinculados a diversos niveles de la entidad. Estos objetivos se alinean con, y apoyan a la
entidad en, el cumplimiento de su dirección estratégica. Si bien establecer las estrategias y
objetivos no es parte del proceso de control interno, los objetivos son la base sobre la que se
aplican y realizan los enfoques de evaluación del riesgo y las actividades de control. Como
parte del control interno, la gerencia especifica los objetivos y los agrupa en categorías
generales a todos los niveles de la entidad, en relación con los objetivos de operaciones,
76

informes y cumplimiento. La agrupación dentro de estas categorías permite identificar y
evaluar los riesgos para el logro de los objetivos.
Al afirmar la idoneidad de los objetivos, la gerencia puede considerar asuntos tales como:
• Alineación de los objetivos establecidos con las prioridades estratégicas
• Articulación de la tolerancia al riesgo para los objetivos
• Alineación entre los objetivos establecidos y las leyes, reglamentos y normas
aplicables a la entidad
• Articulación de los objetivos utilizando términos que sean específicos, medibles u
observables, alcanzables, relevantes y sujetos a plazos
• Transmisión en cascada de los objetivos a través de la entidad y de sus sub-unidades
• Alineación de los objetivos con otras circunstancias que requieren atención específica
por parte de la entidad
• Afirmación de que los objetivos son adecuados dentro del proceso de establecimiento
de objetivos, antes de que estos objetivos se utilicen como base para la evaluación del
riesgo
Cuando los objetivos dentro de estas categorías no son claros, cuando no está claro cómo
los objetivos apoyan a la dirección estratégica, cuando existe preocupación de que los
objetivos no son adecuados en base a los hechos, las circunstancias y las leyes,
reglamentos y normas aplicables a la entidad, o cuando la organización basaría su
evaluación del riesgo en objetivos entendidos pero no aprobados, la gerencia comunica esta
preocupación como insumo para el establecimiento de la estrategia y el proceso de fijación
de objetivos.
Los objetivos de operaciones reflejan opciones de la gerencia dentro de la empresa en

particular, de la industria y los entornos económicos en los que funciona la entidad. Por
ejemplo, un gobierno municipal establece varios objetivos de operaciones, cada uno apoyado
por iniciativas y criterios. Entre sus objetivos están, por ejemplo:
• Poner en práctica cinco actividades de participación pública para la reducción de
gases de efecto invernadero en los próximos doce meses
• Aumentar el uso del cinturón de seguridad en un 30%, reducir el exceso de velocidad
en un 10% en general y 20% en las zonas escolares, y reducir los embudos en
intersecciones en un 25%
77

• Poner en práctica tarifas del agua en relación con patrones de consumo industrial y
residencial en los próximos cinco años
Una entidad con fines de lucro puede establecer objetivos de operaciones que se centran en
el uso eficiente de los recursos. Por ejemplo, una minorista grande tiene entre sus objetivos:
• Proporcionar a los clientes con una amplia gama de artículos a precios siempre más
bajos que sus competidores
• Aumentar su índice de rotación de inventario a doce veces por año en los próximos
dos trimestres
• Reducir sus emisiones de CO2 en un 5%, y reducir y reciclar los materiales de
embalaje en un 10% durante el próximo año
Como parte de los objetivos de operaciones, la gerencia también especifica la tolerancia al

riesgo establecida durante el proceso de fijación de objetivos. Para los objetivos de
operaciones, la tolerancia al riesgo se puede expresar en relación con el nivel aceptable de
variación relativa al objetivo.
Metas y Recursos
Un conjunto claro de objetivos de operaciones proporciona un claro enfoque en donde la

entidad comprometerá importantes recursos necesarios para alcanzar los objetivos de
desempeño deseados. Estos incluyen objetivos relacionados con los resultados financieros,
que se refieren a todos los tipos de entidades. Una entidad con fines de lucro puede
centrarse en ingresos, rentabilidad, liquidez, o alguna otra medida, mientras que una entidad
sin fines de lucro o agencia gubernamental puede tener menos énfasis financiero en general,
pero aún así alcanzar metas relacionadas con ingresos, liquidez y gasto. Si los objetivos de
operaciones de una entidad no son claros o o no están bien concebidos, sus recursos
pueden ser mal dirigidos.
Objetivos de Informes
Los objetivos de informes se refieren a la preparación de informes y abarcan confiabilidad,

oportunidad, transparencia u otros términos establecidos por los reguladores, organismos
emisores de normas o por las políticas de la entidad. Esta categoría incluye los informes
financieros externos, la información no financiera externa, información financiera interna e
información no financiera interna. Los objetivos de informes externos se deben
principalmente a las leyes, reglamentos y normas establecidas por gobiernos, reguladores,
78

organismos emisores de normas y organismos contables. Los objetivos de informes internos
son conducidos por las orientaciones estratégicas de la entidad, y por las necesidades y las
expectativas establecidas por la gerencia y el Consejo.
Objetivos de Información Financiera Externa
Cumple con las Normas de Contabilidad
Las entidades necesitan alcanzar los objetivos de información financiera para cumplir con las
obligaciones externas. Los estados financieros publicados y la información financiera son
necesarias para acceder a los mercados de capital y pueden ser críticos para la adjudicación
de contratos o para tratar con los proveedores. Los inversionistas, analistas, y los acreedores
pueden utilizar los estados financieros y otra información financiera para evaluar el
desempeño de la entidad y para compararla con sus pares y otras inversiones alternativas.
Los objetivos de información financiera son consistentes con los principios de contabilidad
adecuados y disponibles para esa entidad y adecuados a las circunstancias. Los objetivos de
información financiera externa abordan la preparación de los estados financieros para
propósitos externos, incluidos los estados financieros públicos, otros estados financieros e
informes, y otras formas de información financiera externa derivada de los libros y registros
de contabilidad financiera o de gestión de la entidad.
• Los estados financieros para fines externos están preparados de acuerdo con las
normas contables, reglamentos y regulaciones aplicables. Estos estados financieros
pueden incluir declaraciones financieras anuales y provisionales, estados financieros
condensados y la información financiera seleccionada derivada de dichas
declaraciones. Estas declaraciones pueden ser, por ejemplo, presentadas en público
con un regulador, distribuidas a través de reuniones anuales, publicadas en la página
web de la entidad, o distribuidas a través de otros medios electrónicos.
• Otros estados e informes financieros pueden ser preparados de acuerdo con otra base
de contabilidad y son conducidos generalmente por autoridades fiscales, agencias
gubernamentales, o por los requisitos establecidos a través de contratos y convenios.
Los estados financieros y los informes se pueden distribuir a usuarios externos
específicos (por ejemplo, informes a un banco según obligaciones establecidas en el
contrato de préstamo, a una autoridad fiscal en conexión con declaraciones de
impuestos, a un organismo de financiamiento por una entidad sin fines de lucro donde
dichas declaraciones no se publican).
• Otra información financiera externa derivada de la gestión financiera y los libros y
registros de contabilidad de la entidad, diferentes a los estados financieros para
propósitos externos, puede incluir reportes trimestrales, información financiera
seleccionada publicada en la página web de la entidad, y cantidades seleccionadas
que se informan a una entidad reguladora. Los objetivos de información financiera
79

externa en relación con cualquier otra información financiera no pueden ser
conducidos directamente por los emisores de normas y los reguladores, sino que por
lo general, son expectativas de las partes interesadas para alinearse con tales normas
y reglamentos.
Características Cualitativas
La información financiera externa refleja transacciones y eventos que muestran las

características y afirmaciones cualitativas que subyacen a los estados financieros
establecidos por los respectivos organismos emisores de normas contables. Hay muchas
fuentes de tales características y afirmaciones relacionadas con la información financiera.
Los estados financieros externos pueden ser considerados en términos de características
fundamentales y características para mejoramiento.11 12
Las características fundamentales se refieren a la relevancia y representación fiel de la
siguiente manera:
• Relevancia: La información que es capaz de hacer una diferencia en las decisiones
del usuario
• Representación fiel: La información que es completa, neutra y libre de error
Las características de mejoramiento se refieren a la comparabilidad, verificabilidad,

oportunidad y comprensibilidad, de la siguiente manera:
• Comparabilidad: La información que se puede comparar con información similar sobre
otras entidades y con información similar sobre la misma entidad para otro período u
otra fecha
• Verificabilidad: Diferentes observadores bien informados e independientes alcanzan
consenso, aunque no necesariamente un acuerdo completo, de que una
representación en particular es una representación fiel
• Oportunidad: Disponer de información para la toma de decisiones a tiempo para ser
de utilidad
• Comprensibilidad: Información que se clasifica, caracteriza y se presenta de forma
clara y concisa
Inherente a la relevancia está el concepto de "materialidad de los estados financieros". La

11 Derivados de las Normas Internacionales de Información Financiera.
12 Algunas jurisdicciones pueden describir aseveraciones de los estados financieros utilizando términos tales como
"existencia u ocurrencia", "derechos y obligaciones", "integridad, valuación o asignación" y "presentación y revelación"
80

materialidad establece el umbral para determinar si una cantidad financiera es relevante. La
información es material si su omisión o declaración errónea puede influir en las decisiones de
los usuarios con base en la información financiera. La materialidad dependerá de la magnitud
de la partida o error juzgado en las circunstancias particulares de su omisión o declaración
errónea. Con la información financiera externa, la materialidad refleja el nivel requerido de
precisión y exactitud adecuada para las necesidades de los usuarios externos, y presenta las
actividades, transacciones y eventos subyacentes de la entidad dentro de la gama de limites
aceptables.13
La fiabilidad es otra de las características cualitativas de uso frecuente asociada con los
objetivos de información financiera externa. La confiabilidad implica la preparación de
estados financieros externos que estén libres de errores y prejuicios importantes. La
fiabilidad también es necesaria para que la información represente fielmente las
transacciones y otros sucesos que se pretenden representar. La información externa también
refleja el nivel requerido de precisión y exactitud adecuada para las necesidades internas y
las actividades, transacciones presentadas y acontecimientos subyacentes de la entidad
dentro de un rango de límites aceptables.
Las características cualitativas indicadas anteriormente se aplican junto con las normas
contables adecuadas y aseveraciones de los estados financieros. Estas afirmaciones
normalmente se dividen en las categorías relacionadas con:
• Las clases de transacciones y eventos para el período
• Saldos de cuentas al final del ejercicio
• Presentación y divulgación
Objetivos de Informes No financieros Externos
Cumple con las Leyes, Reglamentos, Normas y Marcos
La gerencia puede reportar información externamente consistente con las leyes,

reglamentos, normas no financieras o marcos. Por ejemplo, si la gerencia trata de gestionar
su impacto en el desarrollo sostenible, puede elaborar y publicar un informe de sostenibilidad
que proporciona información sobre el desempeño económico, ambiental y social. Otra
entidad puede aplicar los estándares de la cadena de custodia a través del cual sus
productos se distribuyen desde su origen en el bosque hasta su uso final. La entidad obtiene
una certificación anual que demuestra su producción y consumo responsable de productos
forestales, y lo informa públicamente.
13 Derivados de las Normas Internacionales de Información Financiera. Algunas jurisdicciones pueden utilizar diferentes
descripciones de la materialidad de los estados financieros.
81

Considera Precisión y Refleja Actividades
Los informes no financieros, tal como ocurre con los informes financieros:
• Clasifican y resumen la información de una manera razonable y al nivel de detalle
adecuado para que no sea, ni demasiado detallada, ni demasiado condensada
• Refleja las actividades subyacentes de la entidad
• Presenta las transacciones y eventos dentro del nivel requerido de precisión y
exactitud adecuado para las necesidades del usuario
• Utiliza los criterios establecidos por terceros y según lo establecido en las normas o
marcos externos, según corresponda
Objetivos de Informes Internos
Los informes internos confiables, incluyendo cuadros de mando y tableros de desempeño,

proporcionan a la gerencia información precisa y completa que es necesaria para la gestión
de la organización. Esta información apoya las decisiones y el seguimiento de la gerencia a
las actividades y desempeño de la entidad. Ejemplos de informes internos incluyen los
resultados de los programas de mercadeo, informes rápidos de ventas diarias, calidad de
producción y los resultados de satisfacción de los empleados y clientes. Los objetivos de la
información interna se basan en las preferencias, juicios y estilo de gerencia.
Los objetivos de información internos varían entre entidades, ya que diferentes
organizaciones tienen diferentes objetivos, direcciones estratégicas y niveles de tolerancia al
riesgo. Al igual que con los informes externos, la información interna refleja el nivel requerido
de precisión y exactitud adecuada para las necesidades internas y las actividades
subyacentes de la entidad, presentando las transacciones y eventos dentro de un rango de
límites aceptables.
Muchas organizaciones aplicarán normas externas para ayudar en la gestión de sus
operaciones. Tales normas podrán referirse al control sobre la tecnología, la gestión de
recursos humanos o la gestión de registros. Sin embargo, como algunas normas que aplican
a la información externa no aplican a los informes internos, la gerencia puede optar por
establecer diferentes niveles de variación aceptable para informes externos e informes
internos.
Al igual que con otros tipos de informes, los reportes internos:
• Utilizan criterios establecidos por terceros y según lo establecido en normas o marcos
externos, según corresponda
• Clasifican y resumen la información de una manera razonable, y al nivel de detalle
82

adecuado para que no sea ni demasiado detallada, ni demasiado condensada
• Reflejan las actividades subyacentes de la entidad
• Presentan las transacciones y eventos al nivel adecuado de precisión y exactitud para
las necesidades del usuario
Las leyes y reglamentos establecen las normas mínimas de conducta que la entidad integra
en sus objetivos de cumplimiento. Por ejemplo, las normas de seguridad y salud en el trabajo
pueden provocar que una entidad defina su objetivo como "empaquetar y etiquetar todos los
productos químicos, de conformidad con los reglamentos". Las políticas y procedimientos
entonces abordarían los programas de comunicaciones, inspecciones in situ, y el
adiestramiento en relación con los objetivos de cumplimiento de la entidad. Y al igual que
para los objetivos de información externa, la gerencia considera los niveles aceptables de
variación en el desempeño dentro del contexto del cumplimiento de las leyes y reglamentos.
Tales leyes y reglamentos pueden causar que la gerencia establezca niveles de variación
aceptable más bajos para permanecer en el cumplimiento de dichas leyes y reglamentos.
Las entidades deben realizar sus actividades, y muchas veces tomar acciones específicas,
de conformidad con las leyes y reglamentos aplicables. Como parte de la especificación de
objetivos de cumplimiento, la organización debe entender las leyes y reglamentos aplicables
en toda la entidad. Muchas leyes y reglamentos son generalmente bien conocidas, tales
como las relativas a informes sobre la lucha contra el soborno, las prácticas laborales justas
y el cumplimiento ambiental, pero otras pueden no ser tan bien conocidas por la
organización, como las que se aplican a las operaciones en un país extranjero.
Muchas leyes y reglamentos dependen de factores externos y tienden a ser similares, en
todas las entidades en algunos casos, y en una industria en otros casos. Estos requisitos
pueden referirse, por ejemplo, a los mercados, los precios, los impuestos, el medio ambiente,
el bienestar de los empleados o el comercio internacional. Muchas entidades establecerán
objetivos tales como:
• Prevención y detección de conductas delictivas y otras infracciones
• Preparación y presentación de declaraciones de impuestos antes de los plazos de
presentación y de conformidad con los requisitos reglamentarios
• Etiquetado de información nutricional en los envases de alimentos de conformidad con
las directrices aplicables
• El funcionamiento de una flota de vehículos dentro de los máximos requisitos de
control de emisiones
83

84

Identifica y analiza el riesgo
Principio 7: La organización identifica los riesgos para el logro de sus objetivos
a través de la entidad y analiza los riesgos como base para determinar cómo se
deben manejar los riesgos.
Puntos de Enfoque
este principio:
• Incluye niveles de Entidad, Subsidiaria, División, Unidad Operativa y Funcionales: La

organización identifica y evalúa los riesgos en la entidad, subsidiaria, división, unidad
operativa y niveles funcionales pertinentes para el logro de los objetivos.
• Analiza los Factores Internos y Externos: La identificación del riesgo considera tanto
los factores internos como externos, así como su impacto en el logro de los objetivos.
• Implica Niveles Adecuados de Gerencia: La organización pone en marcha
mecanismos eficaces de evaluación del riesgo que implican los niveles adecuados de
la gerencia.
• Estima la Importancia de los Riesgos Identificados: Los riesgos identificados se
analizan a través de un proceso que incluye la estimación de la potencial importancia
del riesgo.
• Determina Cómo Responder a los Riesgos: La evaluación del riesgo incluye la
consideración de cómo el riesgo debe ser gestionado y si se aceptan, evitan, reducen
o comparten los riesgos.
Identificación del Riesgo
La identificación y análisis del riesgo es un proceso iterativo continuo realizado para mejorar
la capacidad de la entidad para lograr sus objetivos. Aunque una entidad puede no indicar
expresamente todos los objetivos, esto no quiere decir que un objetivo implícito está exento
de riesgo, ya sea interno o externo. Independientemente de si un objetivo es expresado o
implícito, el proceso de evaluación del riesgo de la entidad debe considerar los riesgos que
puedan ocurrir. Este proceso es apoyado por una gran variedad de actividades, técnicas y
mecanismos, cada uno correspondiente a la evaluación general de riesgos. La gerencia
desarrolla e implementa controles relativos a la realización de tales actividades.
85

La gerencia considera los riesgos en todos los niveles de la entidad y toma las acciones
necesarias para responder. La evaluación de la entidad considerará factores que influyen en
la severidad, la velocidad y la persistencia del riesgo, la probabilidad de la pérdida de los
activos, y el impacto relacionado con las actividades de operaciones, informes y
cumplimiento. La entidad también debe entender su tolerancia para aceptar riesgos y su
capacidad para operar dentro de los niveles de riesgo.
La identificación de riesgos debe ser integral. Se debe considerar todas las interacciones
significativas de bienes, servicios e información interna de la entidad, y entre la entidad, sus
socios de negocio relevantes y sus proveedores de servicios subcontratados. Estas entidades
pueden incluir proveedores actuales y potenciales, inversionistas, acreedores, accionistas,
empleados, clientes, compradores, intermediarios y competidores, así como organismos
públicos y medios de comunicación. Además, la organización debe considerar los riesgos
que emanan de factores externos tales como las leyes y reglamentos nuevos o modificados,
cuestiones ambientales o posibles eventos naturales.
Además, los riesgos relacionados principalmente con una categoría de objetivos pueden im-
pactar objetivos en otras categorías. Por ejemplo, un riesgo principalmente relacionado con
un objetivo de operaciones para la producción y entrega oportuna de productos de una em-
presa, también puede afectar la información financiera si el contrato de venta de la compañía
contiene sanciones por demoras de entregas. En los casos en que una organización está
considerando los riesgos relacionados principalmente con una categoría de objetivos, por ejemplo,
información financiera, el proceso de evaluación del riesgo puede considerar los objetivos de
otras categorías, que también pueden afectar a los objetivos de información financiera.
La identificación de riesgos es un proceso iterativo y a menudo se integra con el proceso de
planificación. Sin embargo, puede ser útil una nueva mirada a los riesgos identificados, y no
sólo por defecto hacer un inventario de los riesgos como se señaló en una revisión previa. La
atención se centra en la identificación de los riesgos que podrían afectar el logro de los
objetivos, así como sobre los riesgos emergentes: aquellos riesgos que son cada vez más
relevantes e importantes para la entidad y que pueden ser tratados mediante la exploración y
el análisis de los factores de riesgo pertinentes, no importa cuan distantes pueden parecer.
Considera la Entidad y Sub-unidades
La identificación del riesgo considera los riesgos en los distintos niveles de la estructura
organizativa, incluyendo la entidad en general, sus sub-unidades y sus procesos como
ventas, recursos humanos, mercadeo, producción y compras. La identificación de riesgos a
nivel de entidad se realiza típicamente a un nivel relativamente alto, y generalmente no
incluye la evaluación de los riesgos a nivel de transacción. Por el contrario, la identificación
de riesgos en un nivel de proceso es más detallada y podría incluir riesgos a nivel de
86

transacción.
Además, la evaluación del riesgo considera los riesgos procedentes de proveedores externos
de servicios, proveedores clave y socios que directa o indirectamente afectan el logro de los
objetivos de la entidad.
Factores Internos y Externos
La gerencia considera los riesgos en relación con los factores internos y externos. El riesgo
es dinámico, por lo tanto, para determinar la frecuencia de su proceso de evaluación del
riesgo, la gerencia generalmente considera la tasa de cambio en los riesgos para el logro de
los objetivos, otras prioridades operativas y costos. Típicamente, el proceso es una
combinación de las evaluaciones del riesgo continuas y periódicas. Si la tasa de cambio en
relación con los objetivos o los factores internos y externos aumenta, es útil acelerar la
frecuencia de la evaluación de los riesgos relacionados, o evaluar el riesgo en tiempo real.
Riesgos a Nivel de Entidad
Los riesgos a nivel de entidad pueden surgir de factores externos o internos. Factores
externos pueden incluir:
• Económicos: Los cambios que pueden afectar el financiamiento, la disponibilidad de
capital y las barreras a la entrada de competidores
• Ambiente: Las catástrofes naturales o causadas por el hombre, o el cambio climático,
pueden dar lugar a cambios en las operaciones, la reducción de la disponibilidad de
materias primas o la pérdida de los sistemas de información. destacando la necesidad
de planes de contingencia
• Regulatorio: Una nueva norma de información financiera puede requerir información
adicional o diferente de una persona jurídica, modelo operativo de gerencia o línea de
negocio. Una nueva ley o regulación anti-monopolio puede forzar cambios en el
funcionamiento o las políticas y estrategias de informes
• Operaciones Extranjeras: Un cambio en el gobierno de un país extranjero donde opera
la entidad, puede dar lugar a nuevas leyes y reglamentos o regímenes fiscales
alterados
• Social: Las necesidades y expectativas cambiantes de los clientes pueden afectar el
desarrollo del producto, proceso de producción, servicio al cliente, precios o garantías
• Tecnológicos: Los desarrollos pueden afectar la disponibilidad y uso de los datos, los
costos de la infraestructura y la demanda de servicios basados en tecnología
87

Los factores internos incluyen:
• Infraestructura: Las decisiones sobre el uso de los recursos de capital que pueden
afectar las operaciones y la disponibilidad continua de la infraestructura
• Estructura de la Gerencia: Un cambio en las responsabilidades de gerencia que
pueden afectar la forma en que se efectúan ciertos controles
• Personal: La calidad del personal contratado y los métodos de adiestramiento y
motivación que pueden influir sobre el grado de conciencia de control dentro de la
entidad. La expiración de acuerdos laborales que pueden afectar la disponibilidad de
personal
• Acceso a los Activos: La naturaleza de las actividades de la entidad y accesibilidad de
los empleados a los activos que pueden contribuir a la apropiación indebida de los
recursos
• Tecnología: Una interrupción en los sistemas de procesamiento de información que
puede afectar negativamente a las operaciones de la entidad
La identificación de los factores externos e internos que contribuyen al riesgo a nivel entidad
es fundamental para la evaluación de los riesgos. Una vez se han identificado los principales
factores, la gerencia puede considerar su relevancia e importancia, y cuando sea posible,
vincular estos factores a riesgos y actividades específicas.
Por ejemplo, un importador de prendas de vestir y calzado estableció un objetivo a nivel de
entidad de convertirse en una empresa líder en productos modernos de alta calidad. La entidad
ha considerado los riesgos generales tales como el impacto del deterioro de las condiciones
económicas, aceptación de mercado de los productos, nuevos competidores en el mercado
de la entidad, y los cambios en leyes y reglamentos ambientales. Además, la entidad consi-
deró los riesgos a nivel de entidad, tales como:
• Fuentes de suministros, incluyendo la calidad, cantidad y estabilidad de los fabricantes
extranjeros
• Exposición a fluctuaciones en el valor de las monedas extranjeras
• Oportunidad de recibir los envíos y los retrasos por las inspecciones aduaneras
• Disponibilidad y fiabilidad de las compañías navieras y los costos
• Riesgo de hostilidades internacionales y embargos comerciales
• Presiones de los clientes y los inversionistas para boicotear los negocios en un país
extranjero cuyo gobierno adopta políticas inaceptables
• Expectativas de los consumidores o de partes interesadas locales hacia el uso de los
recursos naturales
88

Riesgos a Nivel de Transacción
Los riesgos se identifican, al nivel de transacción, dentro de las subsidiarias, divisiones,

unidades operativas o funciones, incluyendo los procesos de negocio como ventas, compras,
producción y comercialización. El tratamiento de los riesgos, a este nivel, ayuda a centrarse
en el logro de objetivos y sub-objetivos que han bajado en cascada desde los objetivos a niv-
el de entidad. Evaluar correctamente el riesgo, a nivel de transacción, también contribuye a
mantener niveles aceptables a nivel de entidad.
En la mayoría de los casos, pueden ser identificados muchos riesgos diferentes. En un pro-
ceso de procura, por ejemplo, una entidad puede tener un objetivo relacionado con el man-
tenimiento de existencias de materias primas adecuadas. Los riesgos para no alcanzar este
objetivo podrían incluir que los proveedores suministren materiales que no cumplen con las
especificaciones o que no entreguen las cantidades necesarias, a tiempo o a precios acepta-
bles. Estos riesgos pueden afectar los objetivos a nivel de entidad relacionados con la forma
en que las especificaciones de los bienes adquiridos se comunican a los proveedores, el uso
y la adecuación de las previsiones de producción, la identificación de fuentes alternativas de
suministro y las prácticas de negociación.
Las posibles causas de no lograr un objetivo, van desde lo obvio hasta lo oscuro. Ciertamente,
deben ser identificados los riesgos evidentes que afectan significativamente a la entidad. Para
evitar pasar por alto los riesgos relevantes, esta identificación se hace mejor se-parada de la
evaluación de la probabilidad de ocurrencia del riesgo. Sin embargo, hay limitaciones prácti-
cas para el proceso de identificación, ya que, a menudo, es difícil determinar dónde trazar la
línea. Por ejemplo, puede que no tenga sentido realizar una evaluación detallada de los ries-
gos que un meteorito caiga desde el espacio en las instalaciones de producción de la entidad,
pero puede ser razonable considerar, con cierto detalle, el riesgo de un accidente aéreo para
una instalación situada cerca de un aeropuerto.
Análisis del Riesgo
Después que los riesgos han sido identificados, tanto al nivel de la entidad como a nivel de
transacción, se debe realizar un análisis del riesgo. La metodología de análisis del riesgo
puede variar, en gran parte porque muchos riesgos son difíciles de cuantificar. Sin embargo,
el proceso, que puede ser más o menos formal, por lo general, incluye la evaluación de la
probabilidad de ocurrencia del riesgo y estimar su impacto. Además, el proceso podría con-
siderar otros criterios que la gerencia considere necesarios.
Niveles Gerenciales
Al igual que con otros procesos en el control interno, la responsabilidad para la identificación
89

de riesgos y los procesos de análisis reside en la gerencia de la entidad en general y sus
sub-unidades. La organización pone en marcha mecanismos eficaces de evaluación del
riesgo que involucran a los niveles adecuados de gerencia con experiencia.
Importancia del Riesgo
Como parte del análisis del riesgo, la organización evalúa la importancia de los riesgos para
el logro de los objetivos y sub-objetivos. Las organizaciones pueden evaluar la importancia
utilizando criterios tales como:
• Probabilidad de ocurrencia del riesgo y el impacto
• Velocidad o velocidad para impactar al producirse el riesgo
• Persistencia o duración del impacto después de la aparición del riesgo
Se utilizan los términos "probabilidad" e "impacto", aunque algunas entidades usan

"posibilidad", "severidad", "seriedad" o "consecuencia". "Probabilidad" representa la
posibilidad de que ocurra un evento dado, mientras que el "impacto" representa su efecto. A
veces, las palabras adquieren mayor significado específico, con "posibilidad" que indica la
posibilidad de que un determinado riesgo se producirá en términos cualitativos como "alto",
"medio" y "bajo", y "probabilidad", que indica una medida cuantitativa como un porcentaje,
frecuencia de ocurrencia u otra medida numérica.
La velocidad de riesgo se refiere a la velocidad con la que se espera que la entidad
experimente el impacto del riesgo. Por ejemplo, un fabricante de electrónica de consumo
puede estar preocupado acerca de cómo cambiar las preferencias del cliente y el
cumplimiento de los límites de la energía de radiofrecuencia. El no poder manejar cualquiera
de estos riesgos podría resultar en una importante erosión en el valor de la entidad, incluso
hasta el punto de quedar fuera del negocio. En este ejemplo, los cambios en los requisitos
reglamentarios se desarrollan mucho más lentamente que los cambios en las preferencias
del cliente.
La gerencia, a menudo, utiliza medidas de desempeño para determinar el grado en que se están
logrando los objetivos, y normalmente utiliza la misma unidad de medida, u otra congruente,
al considerar el impacto potencial de un riesgo en el logro de un objetivo especificado. Una
entidad, por ejemplo, con el objetivo de mantener un nivel determinado de servicio al cliente
ha diseñado una calificación u otra medida de ese objetivo, como un índice de satisfacción del
cliente, número de reclamos o repetición de negocios. Al evaluar el impacto de un riesgo que
pueda afectar el servicio al cliente, como la posibilidad que el sitio web de la entidad pueda
no estar disponible durante un período de tiempo, el impacto se determina mejor utilizando
las mismas medidas.
Un riesgo que no tiene un impacto significativo en la entidad, y que es poco probable que
ocurra, por lo general, no requiere una respuesta detallada. Por otra parte, un riesgo con
90

una mayor probabilidad de ocurrencia y/o potencial de impacto significativo, por lo general,
requiere considerable atención. Pero, incluso los riesgos con repercusiones potencialmente
importantes que tienen una baja probabilidad serán considerados, evitando la idea de que
tales riesgos "no podrían suceder aquí", ya que los riesgos de baja probabilidad pueden ocur-
rir. La importancia de la comprensión de los riesgos evaluados como de bajo riesgo es mayor
cuando el impacto potencial del riesgo puede persistir durante un período de tiempo más
largo. Por ejemplo, el impacto a largo plazo sobre la entidad de los daños ambientales cau-
sados por las acciones de la entidad puede ser visto de manera muy diferente que el impacto
a largo plazo por la pérdida por varios días de la tecnología de procesamiento en una planta
de fabricación.
Las estimaciones de la importancia del riesgo a menudo se determinan usando datos de
sucesos pasados, que proporcionan una base más objetiva que las estimaciones totalmente
subjetivas. Los datos generados internamente basados en la propia experiencia de la entidad
pueden ser más relevantes y proporcionar mejores resultados que los datos procedentes de
fuentes externas. Incluso en estas circunstancias, sin embargo, los datos externos pueden
ser útiles como una referencia o para mejorar el análisis.
Por ejemplo, la gerencia de una empresa que evalúa el riesgo de interrupciones en la producción
debido a fallas en un equipo, primero observa la frecuencia y el impacto de fallas anteriores
de su propio equipo de fabricación. A continuación, suplementa los datos con parámetros de
la industria. Esto permite una estimación más precisa de la probabilidad y el impacto de la
falla, lo que permite una programación más eficaz del mantenimiento preventivo. Considere
también que los datos de eventos pasados pueden proporcionar conclusiones incompletas
donde los eventos ocurren con poca frecuencia.
Además, la gerencia puede desear evaluar los riesgos con un horizonte de tiempo consistente con
el horizonte temporal de los objetivos relacionados. Debido a que los objetivos de muchas en-
tidades se centran en el corto a mediano plazo, la gerencia analiza los riesgos asociados con
esos plazos. Sin embargo, algunos objetivos se extienden a más largo plazo, y la gerencia no
debe pasar por alto los riesgos que podrían presentarse aún más lejos en el futuro.
El riesgo inherente y residual
La gerencia considera tanto el riesgo inherente como el riesgo residual. El riesgo inherente
es el riesgo para el logro de los objetivos de la entidad en ausencia de cualquier medida de la
gerencia para modificar, ya sea la probabilidad, o el impacto del riesgo. El riesgo residual es
el riesgo para el logro de los objetivos que queda después que las respuestas de la gerencia
han sido desarrolladas e implementadas. El análisis del riesgo se aplica en primer lugar a un
riesgo inherente. Una vez que se han desarrollado las respuestas al riesgo, como se discute
más abajo, la gerencia considera el riesgo residual. La evaluación del riesgo inherente,
además del riesgo residual, puede ayudar a la organización en la comprensión de la
magnitud de las respuestas al riesgo que son necesarias.
91

Respuesta al Riesgo
Una vez que se ha evaluado la potencial importancia de los riesgos, la gerencia considera
cómo gestionar el riesgo. Esto implica aplicar juicio sobre la base de supuestos sobre el
riesgo y el análisis razonable de los costos asociados con la reducción del nivel de riesgo. La
respuesta no tiene por qué resultar en menor cantidad de riesgo residual. Pero cuando una
respuesta al riesgo podría resultar en riesgo residual superior a los niveles aprobados por la
gerencia y el Consejo, se revisa y modifica la respuesta. En consecuencia, el equilibrio entre
el riesgo y la tolerancia al riesgo puede ser un proceso iterativo.
Las respuestas al riesgo caen dentro de las siguientes categorías:
• Aceptar: No se tomará ninguna medida que afecte la probabilidad o el impacto del
riesgo.
• Evitar: Cancelar las actividades que dan lugar al riesgo. Puede implicar la eliminación
de una línea de productos, la disminución de la expansión en un nuevo mercado
geográfico o la venta de una división.
• Reducir: Se toman medidas para reducir la probabilidad de los riesgos, su impacto o
ambas cosas. Por lo general implica alguna de las innumerables decisiones
empresariales cotidianas.
• Compartir: Se reduce la probabilidad o el impacto del riesgo mediante la transferencia
o el intercambio de una parte de los riesgos. Las técnicas comunes incluyen la compra
de productos de seguros, creación de empresas conjuntas, participación en
operaciones de cobertura o la subcontratación de una actividad.
En relación con la respuesta al riesgo, la gerencia debe considerar:

• El efecto potencial sobre la importancia de los riesgos y las opciones de respuesta que
se alinean con la tolerancia al riesgo de la entidad
• La segregación de funciones requerida para permitir que la respuesta logre la
reducción en importancia prevista
• Los costos versus los beneficios de las posibles respuestas
Evaluación de Opciones de Respuesta al Riesgo
Al evaluar las opciones de respuesta, la gerencia considera la importancia, incluyendo el

efecto tanto en la probabilidad como el impacto de los riesgos, reconociendo que una
respuesta podría afectarlos de manera diferente. Por ejemplo, considere una empresa con un
92

centro de datos ubicado en una región con fuerte actividad de tormentas. Establece un plan
de continuidad del negocio que, aunque no tiene efecto sobre la probabilidad de que ocurra
una tormenta, mitiga el impacto de los daños sobre el edificio o que el personal no pueda
llegar a su lugar de trabajo en caso de producirse una tormenta. Por otra parte, la elección de
mudar el centro de datos a otra región no reducirá el impacto de una tormenta comparable,
pero podría reducir la probabilidad de que una tormenta similar se produzca cerca de esa
nueva ubicación.
Los recursos siempre tienen limitaciones, y las entidades deben considerar los costos y
beneficios relativos de las opciones de respuestas al riesgo. Antes de instalar procedimientos
adicionales, la gerencia debe considerar cuidadosamente si los procedimientos existentes
pueden ser adecuados para hacer frente a los riesgos identificados. Dado que los
procedimientos pueden satisfacer múltiples objetivos, la gerencia puede descubrir que no se
requiere tomar acciones adicionales, o que los procedimientos existentes pueden ser
suficientes o simplemente sea necesario ejecutarlos bajo un estándar mayor.
Respuestas Seleccionadas
Hay una distinción entre la evaluación del riesgo, que es parte del control interno, y la
elección de respuestas a los riesgos específicos, los planes y programas relacionados, u
otras acciones que forman parte del proceso de gestión y no de los controles internos. El
control interno no incluye garantizar que se elige la respuesta óptima del riesgo. Por ejemplo,
la gerencia de una entidad puede optar por compartir riesgos tecnológicos mediante la
subcontratación de algunos aspectos de su tecnología de procesamiento con una entidad
con experiencia en ese campo (reconociendo que esto también puede introducir nuevos
riesgos para la organización), mientras que otra entidad puede optar por conservar su
tecnología de procesamiento y desarrollar controles generales sobre las actividades para la
gestión del riesgo relacionado con la tecnología. Ninguna de estas opciones debe
considerarse como correcta o incorrecta, ya que ambas pueden ser eficaces en la gestión de
los riesgos tecnológicos. Pero cuando una respuesta al riesgo podría resultar en un riesgo
residual superior a la tolerancia al riesgo para cualquier categoría de objetivos, la gerencia la
revisa y modifica en consecuencia.
Una vez que la gerencia ha optado por reducir o compartir los riesgos, puede determinar las
acciones para responder a los riesgos para seleccionar y desarrollar las actividades de
control asociadas. La naturaleza y el alcance de la respuesta al riesgo y las actividades de
control asociadas dependerá, al menos en parte, del nivel deseado de reducción del riesgo
(que es el tema central del Capítulo 7). En algunos casos, la gerencia puede seleccionar una
respuesta que requiere una acción dentro de otro componente del control interno, por
ejemplo, la mejora de una parte del ambiente de control.
93

Por lo general, las actividades de control no son necesarias cuando la entidad decide aceptar
o evitar un riesgo específico. Por ejemplo, una empresa minera con un riesgo significativo de
precio de productos básicos puede decidir aceptar el riesgo, ya que considera que los
inversionistas son conscientes del riesgo de precios y aceptan la exposición. En este caso, la
gerencia no realizará actividades de control relativas a la exposición de precios de los
productos básicos, pero probablemente realizará actividades de control relacionadas con
otras afirmaciones de informes financieros externos, incluyendo integridad y valuación. Sin
embargo, pueden haber casos en que la organización decide evitar un riesgo y opta por el
desarrollo de actividades de control a fin de evitar ese riesgo. Por ejemplo, para evitar
preocupaciones sobre posibles prácticas de comercio justo, una organización puede realizar
actividades de control que prohíben la compra a ciertas entidades. También puede necesitar
que la gerencia revise el nivel de riesgo en función de los cambios que hacen que no
continúe siendo deseable aceptar ese riesgo, por ejemplo, si el riesgo supera la tolerancia al
riesgo de la organización. Cuando la gerencia decide no evaluar un riesgo, o no identifica un
riesgo, es equivalente a aceptar el riesgo sin considerar los posibles cambios al nivel
correspondiente de riesgo y si ese riesgo se mantiene o no dentro de su tolerancia al riesgo.
94

Evalúa el Riesgo de Fraude
Principio 8: La organización considera el potencial de fraude en la evaluación de
los riesgos para el logro de los objetivos.
Puntos de Enfoque
este principio:
• Considera Varios Tipos de Fraude: La evaluación del fraude considera información
fraudulenta, la posible pérdida de los activos y la corrupción resultante de las diversas
formas en que pueden ocurrir fraude y mala conducta.
• Evalúa Incentivos y Presiones: La evaluación del riesgo de fraude considera incentivos
y presiones.
• Evalúa Oportunidades: La evaluación del riesgo de fraude considera las oportunidades
de adquisición, uso o enajenación de activos, la alteración de los registros de
información de la entidad u otros actos inapropiados.
• Evalúa Actitudes y Racionalizaciones: La evaluación del riesgo de fraude considera
cómo la gerencia y otro personal pueden participar o justificar acciones inapropiadas.
Tipos de Fraude
La evaluación del riesgo incluye una evaluación de la gestión de los riesgos relacionados con
la información fraudulenta y salvaguarda de los activos de la entidad. Además, la gerencia
considera posibles actos de corrupción, tanto por personal de la entidad como por personal
de los proveedores de servicios subcontratados que afectan directamente la capacidad de la
entidad para lograr sus objetivos.
Las acciones que se llevan a cabo como parte de la aplicación de este principio se enlazan
estrechamente con el principio anterior (Identifica y Analiza los Riesgos), que evalúa los
riesgos sobre la presunción de que la gerencia y otro personal, así como el personal al
servicio de los proveedores subcontratados, cumplen con los estándares esperados de
conducta ética de la entidad. Este principio, Evalúa el Riesgo de Fraude, evalúa el riesgo en
un contexto diferente: cuando las acciones de una persona pueden no alinearse con los
estándares esperados de conducta. La gerencia también puede considerar el punto de
enfoque en relación con el principio Identifica y Analiza los Riesgos, en el desarrollo,
implementación y realización de control interno. Por ejemplo, las respuestas a los riesgos
identificados en el marco de este principio caen dentro de las mismas categorías anteriores
(aceptar, evitar, reducir y compartir). Y como antes, la selección y el desarrollo de controles
para efectuar las respuestas a los riesgos específicos elegidas por la gerencia es esencial
95

para mitigar los riesgos de fraude.
Informes Fraudulentos
Los informes fraudulentos pueden ocurrir cuando los informes de la entidad son
deliberadamente preparados con omisiones o inexactitudes. Estos eventos pueden ocurrir a
través de recibos o gastos no autorizados, mala conducta financiera, u otras irregularidades
de divulgación. Un sistema de control interno sobre la información financiera está diseñado e
implementado para prevenir o detectar, de manera oportuna, una omisión o declaración
errónea material de los estados financieros debido a error o fraude.
Al evaluar los riesgos para el logro de los objetivos de informes financieros, las
organizaciones suelen considerar la posibilidad de fraude en las siguientes áreas:
• Informes Financieros Fraudulentos: Un acto intencional diseñado para engañar a los
usuarios de los informes financieros externos y que puede dar lugar a una omisión o
declaración errónea material de los informes financieros
• Informes No Financieros Fraudulentos: Un acto intencional diseñado para engañar a
los usuarios de informes no financieros, incluidos los informes de sostenibilidad, salud
y seguridad o actividad laboral, y que pueden dar lugar a informes con un nivel de
precisión menor al deseado
• Apropiación Indebida de Activos: Robo de activos de la entidad, donde el efecto puede
causar una omisión o declaración errónea material en los informes financieros
externos
• Actos Ilegales: Violaciones de las leyes o regulaciones gubernamentales que podrían
tener un impacto directo o indirecto sobre los informes financieros externos
Como parte del proceso de evaluación del riesgo, la organización debe identificar las
diversas formas en que se pueden producir informes fraudulentos, considerando:
• Sesgo de la gerencia, por ejemplo, en la selección de los principios de contabilidad
• Grado de juicios y estimaciones en informes externos
• Esquemas y situaciones de fraudes comunes a los sectores de la industria y los
mercados en los que opera la entidad
• Las regiones geográficas en las que la entidad opera
• Incentivos que pueden motivar un comportamiento fraudulento
• La naturaleza de la tecnología y la capacidad de la gerencia para manipular la
información
96

• Transacciones inusuales o complejas sometidas a la influencia significativa de la
gerencia
• Vulnerabilidad de que la gerencia eluda las actividades de control existentes, y
potenciales esquemas para eludirlas
Pueden haber casos donde la organización no es capaz de gestionar directamente la
información capturada para la información financiera, sin embargo, se espera que tenga
controles dentro de la entidad que identifican, analizan y responden a ese riesgo en
particular. Por ejemplo, la gerencia de un proveedor de software puede no ser capaz de
evitar que el personal dentro de una tienda en línea registre cifras inferiores de ventas para
reducir los pagos al proveedor de software. Sin embargo, la compañía de software puede
realizar actividades de control para detectar este tipo de informes mediante la comparación
de los niveles de registro de nuevo software contra el volumen de ventas.
Además, los riesgos relacionados con el registro completo y exacto de las pérdidas de
activos en los estados financieros de la entidad representan un objetivo de informes. Más
específicamente relacionados con la información financiera, omisión o errores, pueden surgir
de no registrar la pérdida de activos, la manipulación de los estados financieros para encubrir
una pérdida, o el registro de transacciones fuera del período del informe correspondiente. Por
ejemplo, una entidad puede tener sus libros abiertos por un tiempo prolongado después del
cierre de periodo para incluir ventas adicionales, contabilizar incorrectamente transferencias
de inventario entre compañías, o manipular la amortización de los bienes de capital.
Salvaguarda de Activos
La salvaguarda de activos se refiere a la protección contra la adquisición, uso o disposición

no autorizada y culposa de los bienes. El uso inadecuado de los activos de la entidad se
produce en beneficio de un individuo o grupo. La adquisición, uso y disposición de los activos
pueden estar relacionados con actividades tales como la comercialización ilegal, robo de
activos, el robo de la propiedad intelectual, transacciones tardías y el lavado de dinero.
La salvaguarda de activos por lo general se refiere a los objetivos de operaciones, si bien
algunos aspectos pueden estar relacionados con otras categorías de objetivos. En cuanto a
las operaciones, la gerencia puede considerar el uso inadecuado de los activos de la entidad
y sus recursos, incluida la propiedad intelectual y la prevención de pérdida por robo,
desperdicio o negligencia. La entidad también puede perder el valor de sus activos a través
de la ineficiencia, o lo que resultan ser simplemente malas decisiones de negocios, tales
como la venta de un producto a un precio demasiado bajo, o extender crédito a riesgos
malos. Estas situaciones se relacionan con los objetivos de operaciones, pero no están
directamente relacionadas con la salvaguarda de los activos
Donde aplican disposiciones legales o reglamentarias, la gerencia considera los riesgos
relacionados con la salvaguarda de los activos en relación con los objetivos de cumplimiento.
Por ejemplo, una entidad puede elaborar informes para reguladores intencionalmente
97

inexactos para evitar inspecciones y sanciones.
Independientemente del objetivo que pueda verse afectado, la responsabilidad por las
políticas y procedimientos anti-fraude y prevención de pérdidas residen en la gerencia de la
entidad y sus sub-unidades en donde reside el riesgo.
Corrupción
Además de la evaluación de los riesgos relativos a la salvaguarda de los activos y la

información fraudulenta, la gerencia considera la posible corrupción dentro de la entidad. La
corrupción suele ser relevante a la categoría de los objetivos de cumplimiento, pero podría
muy bien influir en el ambiente de control que afecta también a los objetivos de información
financiera externa de la entidad. Esto incluye considerar los incentivos y las presiones para
lograr los objetivos, al tiempo que demuestra el cumplimiento de las normas de conducta
esperadas y el efecto del ambiente de control, acciones específicamente relacionadas con el
Principio 4 (Demuestra Compromiso Hacia la Competencia) y el Principio 5 (Hace Cumplir las
Responsabilidades). Los aspectos de corrupción que se consideran dentro del contexto de
los informes financieros externos normalmente se refieren a los actos ilegales que se
consideran en los estatutos gubernamentales pertinentes para la actividad.
En la evaluación de la posible corrupción, no se espera que la entidad gestione directamente
las acciones del personal dentro de las organizaciones de terceros, incluidas aquellas
relativas a operaciones de servicios externos, clientes, proveedores o asesores. Sin
embargo, dependiendo del nivel de riesgo evaluado dentro de este componente, la gerencia
puede estipular el nivel esperado de desempeño y las normas de conducta a través de
relaciones contractuales, así como el desarrollo de actividades de control que mantengan
vigilancia sobre las acciones de terceros. Cuando sea necesario, la gerencia responde a las
acciones inusuales detectados en otros.
Anulación por la Gerencia
La anulación por la gerencia describen las acciones tomadas para eludir los controles de una
entidad con un propósito ilegítimo como el beneficio personal o una mejor presentación de la
situación financiera o estado de cumplimiento de una entidad. Por ejemplo, para permitir un
gran cargamento de mercancías a un cliente con crédito inaceptable con el fin de aumentar
los ingresos, un gerente anula incorrectamente el control interno mediante la aprobación de
la operación de venta previamente suspendida por un supervisor quien llevó a cabo el control
correctamente. Las acciones para anular normalmente no son documentadas ni reveladas,
porque la intención es ocultar las acciones.
98

La anulación por la gerencia no debe confundirse con la intervención de la gerencia, que
representa una acción que se aparta de los controles diseñados con fines legítimos. En
ocasiones, la intervención de la gerencia es necesaria para hacer frente a transacciones o
eventos no recurrentes y no estándares que de otra manera podrían ser manejados
inadecuadamente. Permitir la intervención de gerencia es necesario porque los controles no
pueden ser diseñados para anticipar y mitigar todos los riesgos. Las acciones de la gerencia
para intervenir son generalmente abiertas y documentadas, o divulgadas de otra manera al
personal apropiado.
Como parte de la evaluación del riesgo de fraude, la gerencia evalúa el riesgo de que la
gerencia anule los controles internos. El Consejo o un subconjunto del Consejo (por ejemplo,
el comité de auditoría) supervisa la evaluación y desafía a la gerencia en función de las
circunstancias. El ambiente de control de la entidad puede influir significativamente en el
riesgo de anulación por la gerencia. Esto es especialmente importante para entidades más
pequeñas, donde la alta gerencia puede estar muy involucrada en la realización de diversos
controles.
Factores que Impactan el Riesgo de Fraude
Incentivos y Presiones
La evaluación de los riesgos de fraude incluye considerar las oportunidades de cometer

fraude, así como las actitudes y racionalizaciones. Cuando hay una pérdida de activos,
información fraudulenta o corrupción, normalmente hay incentivos y presiones, oportunidades
de acceso a los activos, y actitudes y racionalizaciones que pretenden justificar la acción. Los
incentivos y las presiones suelen ser consecuencia de, y se relacionan con, el ambiente de
control, como se explica en el Principio 5 (Hace Cumplir las Responsabilidades). Como parte
de la evaluación del riesgo de fraude, la organización considera posibles incentivos y
presiones, así como el impacto potencial sobre el riesgo de fraude.
Oportunidad
Oportunidad se refiere a la capacidad de realmente adquirir, utilizar o disponer de los bienes,

que pueden ir acompañada de la capacidad para alterar los registros de la entidad. Las
personas involucradas en las acciones inapropiadas por lo general también consideran que
sus actividades no se detectarán. La oportunidad es creada por actividades de control y
actividades de supervisión débiles, la falta de supervisión de la gerencia y que la gerencia
anule los controles. Por ejemplo, la probabilidad de una pérdida de activos o de información
externa fraudulenta aumenta cuando hay:
99

• Una estructura organizacional compleja o inestable
• Altas tasas de rotación de empleados de contabilidad, operaciones, gestión del riesgo,
auditoría interna o personal de tecnología
• Diseño ineficaz o actividades de control mal ejecutadas
• Sistemas tecnológicos ineficaces
Actitudes y Racionalizaciones
Las actitudes y racionalizaciones de personas que realizan o justifican acciones inapropiadas

pueden incluir:
• Una persona etiqueta el uso de los recursos como un "préstamo", con toda la intención
de devolver el dinero robado
• Una persona que cree que se le debe algo, a causa de insatisfacción en el trabajo
(salario, ambiente de trabajo, trato por los gerentes, etc.)
• Una persona que no entiende o no se preocupa por las consecuencias de sus actos, o
de las nociones aceptadas sobre decencia y confianza
Otras Consideraciones en la Evaluación del Riesgo de Fraude
Es posible reducir la probabilidad de un riesgo de fraude relacionado con la adopción de

medidas en los otros componentes del control interno, o por realizar cambios en las unidades
operativos, procesos de negocio y actividades de la entidad. Una entidad puede optar por
vender ciertas operaciones que son propensas a tener mayores riesgos relacionados con la
conducta individual, dejar de hacer negocios en determinados lugares geográficos, reasignar
funciones entre el personal para mejorar la separación de funciones, o reorganizar sus
procesos de negocio para evitar riesgos inaceptables. Por ejemplo, el riesgo de apropiación
indebida de fondos puede ser reducido mediante la aplicación de una función central de
procesamiento de pagos con una mayor separación de funciones, en lugar de tener sólo
unas pocas personas para procesar los pagos en cada una de las localidades de la entidad.
El riesgo de corrupción se puede reducir mediante el control cercano del proceso de
contratación de la entidad. El riesgo de fraude en los estados financieros se puede reducir
mediante el establecimiento de centros de servicios compartidos para proporcionar servicios
de contabilidad a múltiples segmentos, afiliados o ubicaciones geográficas de las
operaciones de una entidad. Un centro de servicios compartidos puede ser menos vulnerable
a la influencia de los gerentes de operaciones locales y puede ser capaz de implementar
programas más amplios contra el fraude de manera más eficaz en cuanto a costos.
100

Cuando la gerencia detecta informes fraudulentos, salvaguarda inadecuada de los activos, o
corrupción, será necesario algún tipo de reparación. Además de tratar directamente con las
acciones indebidas, puede ser necesario tomar medidas correctivas en el proceso de
evaluación del riesgo o modificar las acciones emprendidas en el marco de otros
componentes del control interno.
101

102

Identifica y Analiza Cambios Significativos
Principio 9: La organización identifica y evalúa los cambios que podrían afectar
significativamente el sistema de control interno.
Puntos de Enfoque
este principio:
• Evalúa Cambios en el Entorno Externo: El proceso de identificación de riesgos
considera cambios en el entorno regulatorio, económico y físico donde opera la
entidad.
• Evalúa Cambios en el Modelo de Negocio: La organización considera el impacto
potencial en el sistema de control interno de nuevas líneas de negocio, composiciones
dramáticamente alteradas de las actuales líneas de negocio, operaciones adquiridas o
enajenadas, el crecimiento rápido, el cambio de dependencia en geografías
extranjeras y nuevas tecnologías.
• Evalúa Cambios en el Liderazgo: La organización considera cambios en la gerencia,
las respectivas actitudes y filosofías, sobre el sistema de control interno.
Evaluación del Cambio
A medida que cambian los entornos económicos, la industria y las normativas, se necesita
adaptar y evolucionar en el alcance y naturaleza del liderazgo, las prioridades, modelo de
negocio, la organización, los procesos de negocio y las actividades de la entidad. El control
interno eficaz dentro de un conjunto de condiciones, puede no ser eficaz cuando esas
condiciones cambian significativamente. Como parte de la evaluación del riesgo, la gerencia
identifica los cambios que podrían afectar significativamente el sistema de control interno de
la entidad y toma medidas oportunas. Por lo tanto, cada entidad requerirá un proceso para
identificar y evaluar los factores internos y externos que pueden afectar significativamente su
capacidad para lograr sus objetivos.
Este proceso será paralelo al proceso de evaluación periódica de los riesgos de la entidad, o
será parte de el. Se trata de identificar los cambios en cualquier supuesto o condición
significativa. Este requiere tener controles para identificar y comunicar los cambios que
pueden afectar a los objetivos de la entidad y evaluar los riesgos asociados. Este análisis
incluye la identificación de las posibles causas de lograr o no un objetivo, evaluar la
103

probabilidad de que se produzcan dichas causas, evaluar el efecto probable en el logro de
los objetivos, y considerar el grado en que el riesgo se puede controlar.
Aunque el proceso que una entidad utiliza para gestionar el cambio es similar a su proceso
regular de evaluación del riesgo, y puede ser parte de el, este se discute por separado. Esto
se debe a que es importante para un control interno efectivo y porque puede fácilmente ser
pasado por alto, o no recibir suficiente atención, en el manejo de los problemas cotidianos.
La gerencia desarrolla enfoques para identificar cambios significativos bajo cualquier
supuesto o condición material que se ha producido o que se producirá en breve. En la
medida de lo posible, estos mecanismos son prospectivos, por lo que la entidad puede
anticipar y planificar los cambios significativos. Los sistemas de alerta temprana deben estar
en su lugar para identificar la información que señala nuevos riesgos que pueden tener un
impacto significativo en la entidad. La gerencia también desarrolla e implementa controles
relativos a la realización de tales enfoques.
Este enfoque en el cambio se basa en la premisa de que, debido a su potencial impacto,
ciertas condiciones deben ser objeto de una consideración especial. La medida en que tales
condiciones requieren atención de la gerencia, por supuesto, dependen del efecto que
puedan tener en circunstancias particulares.
Entorno Externo
• Entorno Externo Cambiante: Un entorno regulatorio o económico cambiante puede

provocar un aumento de las presiones competitivas, cambios en los requisitos
operativos y riesgos significativamente diferentes. Las operaciones a gran escala,
informes y fallas de cumplimiento por una entidad pueden dar lugar a la rápida
introducción de nuevas regulaciones generales. Por ejemplo, la liberación de
sustancias nocivas cerca de zonas pobladas o ecológicamente sensibles puede
resultar en nuevas restricciones de transporte para toda la industria que afectará la
logística de envíos de la entidad; la información externa que se considere que tiene
poca transparencia puede resultar en el refuerzo de requisitos de informes
reglamentarios para todas las empresas que cotizan en bolsa; y el tratamiento
inadecuado a pacientes ancianos en un centro de cuidados puede impulsar requisitos
adicionales para todos los centros de atención. Cada uno de estos cambios puede
requerir que una organización examine de cerca el diseño de su sistema de control
interno.
• Entorno Físico Cambiante: Los desastres naturales que afectan directamente a la
entidad, la cadena de suministro, y otros socios de negocios, pueden dar lugar a
riesgos elevados que una entidad debe considerar para mantener su negocio. Una
organización, por ejemplo, puede requerir encontrar fuentes alternativas de materia
prima o mudar su producción.
104

Modelo de Negocio
• Modelo de Negocio Cambiante: Cuando una entidad entra en nuevas líneas de

negocio, altera la prestación de sus servicios a través de nuevas relaciones de
subcontratación o altera dramáticamente la composición de las líneas de negocio
existentes, los controles internos que previamente eran eficaces pueden no serlo más.
La composición de los riesgos evaluados inicialmente como base para el
establecimiento de controles internos puede haber cambiado o el impacto potencial de
los riesgos puede haber aumentado, y por ello los anteriores controles internos ya no
son suficientes. Algunas organizaciones de servicios financieros, por ejemplo, pueden
haberse ampliado a nuevos productos y concentraciones sin centrarse en la manera
de responder a los cambios en los riesgos asociados a sus productos.
• Adquisiciones y Cesiones Significativas: Cuando una entidad decide adquirir
operaciones de negocio, es posible que deba revisar y estandarizar los controles
internos a través de la entidad expandida. Los controles colocados para las
operaciones previas a la adquisición, no pueden estar bien desarrolladas, adecuadas
para la nueva entidad combinada, o escalables para la operación de la nueva
empresa. Del mismo modo, cuando cesa una operación, el nivel de variación
aceptable puede cambiar en las operaciones, y la importancia relativa puede
disminuir. Además, ciertos controles a nivel de entidad en la operación del negocio
cesante ya no estarán presentes. Tanto la adquisición como la cesión de una empresa
puede requerir que la organización examine, y posiblemente modifique, sus controles
internos para apoyar el logro de los objetivos como sea apropiado en la entidad
reestructurada.
• Operaciones Extranjeras: La expansión o adquisición de operaciones extranjeras
conllevan riesgos nuevos, y a menudo únicos. El desarrollo del negocio en nuevas
áreas geográficas, o las operaciones de subcontratación en el extranjero, pueden
ayudar a que el negocio crezca y / o reduzca costos, pero también puede presentar
nuevos retos y cambiar el tipo y alcance de los riesgos. Las operaciones en mercados
desconocidos representan un riesgo porque hay diferentes costumbres y prácticas.
Por ejemplo, es probable que el ambiente de control de la entidad sea influenciado por
la cultura y las costumbres locales en el nuevo entorno. Los riesgos de negocio
pueden ser resultado de factores únicos para la economía, el entorno regulatorio y los
canales de comunicación locales.
• Rápido Crecimiento: Cuando las operaciones se expanden de manera significativa y
rápidamente, las estructuras, procesos de negocio, sistemas de información o
recursos existentes pueden ser saturados hasta el punto en que los controles internos
se quiebran. Por ejemplo, agregar turnos de producción para satisfacer la demanda, o
aumentar el personal de apoyo, puede dar lugar a que los responsables por la
supervisión no puedan adaptarse a los niveles de actividad más altos y mantengan un
control adecuado.
• Nueva Tecnología: Cuando se incorpora nueva tecnología en la producción, en los
105

procesos de prestación de servicios o en los sistemas de información de apoyo, los
controles internos probablemente tendrán que modificarse. Por ejemplo, la
introducción de capacidades de ventas a través de dispositivos móviles puede requerir
controles de acceso específicos para esa tecnología, así como cambios en los
controles para los procesos de envío.
Cambio de Liderazgo
• Cambios Importantes de Personal: Un miembro de la alta gerencia nuevo para una

entidad que no entiende la cultura de la entidad y refleja una filosofía diferente, o que
puede centrarse únicamente en el desempeño sin considerar debidamente las
actividades relacionadas con el control. Por ejemplo, un director ejecutivo recién
contratado se centra en el crecimiento de los ingresos puede enviar un mensaje de
que el enfoque anterior sobre el control interno eficaz ahora es menos importante.
Además, la alta rotación de personal, en ausencia de adiestramiento y una supervisión
eficaz, puede provocar averías. Por ejemplo, una empresa que reduce sus niveles de
personal en un 25% en un intento de reducir los costos puede erosionar la estructura
general de control interno.
106

7. Actividades de Control
Las actividades de control son las acciones establecidas por medio de políticas y
procedimientos que ayudan a asegurar que se ejecutan las directivas de la gerencia para
mitigar los riesgos para el logro de los objetivos. Las actividades de control se realizan en
todos los niveles de la entidad, en diversas etapas dentro de los procesos de negocio y sobre
el entorno tecnológico. Por su naturaleza, pueden ser preventivas o de detección, y pueden
comprender un rango de actividades manuales o automatizadas tales como, autorizaciones y
aprobaciones, verificaciones, reconciliaciones y revisiones del desempeño del negocio.
Generalmente, la segregación de funciones se incorpora en la selección y desarrollo de las
actividades de control. Cuando la segregación de funciones no es posible, la gerencia
selecciona y desarrolla actividades de control alternativas.
Principios relativos al componente Actividades de Control
10. La organización selecciona y desarrolla actividades de control que contribuyen a la

mitigación de los riesgos para el logro de objetivos a un nivel aceptable.
11. La organización selecciona y desarrolla actividades de control general
sobre la tecnología para apoyar el logro de los objetivos.
12. La organización implementa las actividades de control a través de
políticas que establecen lo que se espera y los procedimientos que ponen en práctica
las políticas.
107

Selecciona y Desarrolla Actividades de Control
Principio 10: La organización selecciona y desarrolla actividades de control que
contribuyen a la mitigación de los riesgos para el logro de objetivos a un nivel
aceptable.
Puntos de Enfoque
este principio:
• Se Integra con la Evaluación del Riesgo: Las actividades de control ayudan a asegurar
que se ejecutan las respuestas al riesgo que abordan y mitigan los riesgos.
• Considera Factores Específicos de la Entidad: La gerencia considera como el entorno,
la complejidad, la naturaleza y el alcance de sus operaciones, así como las
características específicas de su organización, afectan la selección y el desarrollo de
las actividades de control.
• Determina los Procesos Empresariales Relevantes: Determina cuales procesos de
gestión de negocio relevantes requieren actividades de control.
• Evalúa una Mezcla de Tipos de Actividades de Control: Las actividades de control
incluyen una amplia gama y variedad de controles y pueden incluir un equilibrio de
enfoques para mitigar los riesgos, considerando tanto controles manuales como
automatizados, así como controles de prevención y detección.
• Considera en qué Nivel se Aplican las Actividades: La gerencia considera las
actividades de control en los distintos niveles de la entidad.
• Aborda la Segregación de Funciones: La gerencia segrega funciones incompatibles, y
donde dicha segregación no es práctica, la gerencia selecciona y desarrolla
actividades de control alternativas.
Integración con la Evaluación del Riesgo
Las actividades de control soportan todos los componentes del control interno, pero ante
todo, están alineadas con el componente de la evaluación del riesgo. Junto con la evaluación
del riesgo, la gerencia identifica y pone en efecto las acciones necesarias para realizar
respuestas a los riesgos específicos. Por lo general, las actividades de control no son
necesarias cuando una entidad elige aceptar o evitar un riesgo específico. Sin embargo,
109

pueden haber casos en que la organización decida evitar un riesgo y opte por desarrollar
actividades de control para evitar esos riesgos. La acción para reducir o compartir el riesgo
sirve como un punto focal para la selección y el desarrollo de las actividades de control. La
naturaleza y el alcance de la respuesta al riesgo, y de las actividades de control asociadas,
dependerán, al menos en parte, del nivel deseado de reducción del riesgo aceptable para la
gerencia.
Las actividades de control son las acciones que ayudan a asegurar que las respuestas a los
riesgos evaluados, así como otras directivas de la gerencia tales como el establecimiento de
normas de conducta en el ambiente de control, se realizan correctamente y de manera
oportuna. Por ejemplo, supongamos que una empresa fija un objetivo de operaciones "para
cumplir o superar los objetivos de ventas para el período subsiguiente", y la gestión del
riesgo identifica un riesgo de que el personal de la organización tiene insuficiente
conocimiento sobre las necesidades de los clientes actuales y potenciales. La respuesta de
la gerencia para abordar a este riesgo identificado incluye desarrollar el historial de compras
para los clientes existentes y realizar investigación de mercado para aumentar la
comprensión de cómo atraer a los clientes potenciales. Las actividades de control pueden
incluir el seguimiento de los avances en el desarrollo del historial de compras de los clientes
contra calendarios establecidos, y tomar medidas para ayudar a garantizar la calidad de los
datos de comercialización reportados.
Procesos de Negocio Relevantes
Al determinar cuales acciones poner en marcha para mitigar los riesgos, la gerencia
considera todos los aspectos de los componentes de control interno de la entidad y los
procesos de negocio relevantes, la tecnología de información y los lugares donde se
necesitan actividades de control. Esto puede requerir considerar actividades de control fuera
de la unidad operativa, incluyendo servicios compartidos o centros de datos, y procesos o
funciones realizadas por proveedores de servicios subcontratados. Por ejemplo, las
entidades pueden necesitar establecer actividades de control para abordar la integridad de la
información enviada y recibida del proveedor de servicios subcontratados.
Factores Específicos de la Entidad
Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de

implementación, habrá diferencias en los objetivos, los riesgos, las respuestas al riesgo y las
actividades de control relacionadas. Incluso si dos entidades tienen objetivos y estructuras
idénticas, sus actividades de control podrían ser diferentes. Cada entidad es manejada por
diferentes personas con diferentes habilidades que utilizan juicio individual para efectuar el
control interno. Por otra parte, los controles reflejan el entorno y la industria en la que opera
la entidad, así como la complejidad de la organización, su historia y su cultura, su naturaleza
y su alcance de operaciones.
110

Los factores específicos de la entidad pueden afectar a las actividades de control necesarias
para apoyar el sistema de control interno. Por ejemplo:
• El entorno y complejidad de una entidad, así como la naturaleza y el alcance de sus
operaciones, tanto física como lógica, afectan sus actividades de control.
• Las entidades altamente reguladas generalmente tienen respuestas a los riesgos y
actividades de control más complejas que las entidades menos reguladas.
• El alcance y la naturaleza de las respuestas a los riesgos y actividades de control para
entidades multinacionales con diversas operaciones, en general abordan una
estructura de control interno más compleja que las de una entidad doméstica con
actividades menos diversificadas.
• Una entidad con un sofisticado sistema de planificación de recursos empresariales
(ERP) tendrá actividades de control diferentes que las de una entidad que utiliza un
sistema contable genérico.
• Una entidad con operaciones descentralizadas, con énfasis en autonomía local y la
innovación, presenta diferentes circunstancias de control que otra cuyas operaciones
son constantes y altamente centralizadas.
Actividades de Control para Procesos de Negocio
Los procesos de negocio se establecen a través de la entidad para permitir a las

organizaciones alcanzar sus objetivos. Estos procesos de negocio pueden ser comunes a
todas las empresas (por ejemplo, compras, cuentas por pagar o procesamiento de ventas), o
exclusivas de una industria en particular (por ejemplo, procesamiento de reclamos, servicios
fiduciarios u operaciones de perforación). Cada uno de estos procesos transforma ciertos
insumos en productos a través de una serie de transacciones o actividades. 14 Las actividades
de control que apoyan directamente las acciones para mitigar los riesgos de procesamiento
de transacciones en los procesos de negocio de la entidad, a menudo se llaman "controles
de aplicación" o "controles de transacción".15
Los controles de transacción son las actividades de control más fundamentales de la entidad,
ya que se ocupan directamente de las respuestas al riesgo en los procesos de negocio en
marcha para cumplir con los objetivos de la gerencia. Los controles de transacción son
seleccionados y desarrollados donde reside el proceso de negocio, y van desde el proceso
de consolidación financiera de la organización a nivel de entidad hasta el proceso de
14 El término "transacciones" tiende a ser asociado con procesos financieros (por ejemplo, transacciones de cuentas por
pagar), mientras que "actividades" se aplica en general a procesos operativos o de cumplimiento. A los efectos del
Marco, el término "operaciones" se aplica a ambos.
15 El término "controles de transacción" se utiliza en el Marco para referirse tanto a controles manuales como
automatizados.
111

atención al cliente en una unidad operativa en particular.
Es probable que un proceso de negocio cubra muchos objetivos y sub-objetivos, cada uno
con su propio conjunto de riesgos y respuestas a riesgos. Una forma común de consolidar
estos riesgos para los procesos de negocio en una forma más manejable es agruparlos de
acuerdo con los objetivos16 de procesamiento de información: integridad, exactitud y validez.
En el Marco se utilizan las siguientes definiciones para objetivos de procesamiento de
información.17
• Integridad: Todas las transacciones que se producen se registran. Por ejemplo, una
organización puede mitigar el riesgo de no procesar todas las transacciones con
proveedores mediante la selección controles de las acciones y transacciones que
soportan todas las transacciones de facturas que se están procesando en el proceso
de negocio de cuentas por pagar.
• Precisión: Las transacciones se registran por el importe correcto en la cuenta correcta
(y en el momento oportuno), en cada etapa del proceso. Por ejemplo, los controles de
las transacciones más elementos de datos y datos maestros, tales como el precio del
artículo en el archivo maestro de proveedores, pueden abordar la precisión del
procesamiento de una transacción de compra. Precisión, dentro del contexto de un
proceso operativo, se puede definir para cubrir un concepto más amplio de calidad
(por ejemplo, la exactitud y la precisión de una pieza fabricada).
• Validez: Las transacciones registradas representan eventos económicos que
realmente ocurrieron y se realizaron de acuerdo con los procedimientos establecidos.
La validez se logra generalmente a través de actividades de control que incluyen la
autorización de las operaciones especificadas mediante políticas y procedimientos
establecidos (por ejemplo, la aprobación de una persona que tiene la autoridad para
hacerlo) en la organización. En un contexto operacional, las piezas utilizadas en la
fabricación de un automóvil se obtienen de un proveedor autorizado.
El riesgo de procesamiento de transacciones fuera de tiempo, puede considerarse un riesgo

por separado o como parte del objetivo de integridad o exactitud de procesamiento de
información. El acceso restringido es una consideración importante para la mayoría de los
procesos de negocio, y a menudo se incluye como uno de los objetivos de procesamiento de
información porque sin restringir adecuadamente el acceso de las transacciones en un
proceso de negocio, las actividades de control en el proceso de negocio pueden ser
anuladas y puede no lograrse la segregación de funciones.
El acceso restringido es especialmente importante donde la tecnología es parte integral de
16 Si bien está relacionado en concepto y terminología, los objetivos de procesamiento de información y las afirmaciones
de los estados financieros son diferentes. Las aseveraciones de los estados financieros son específicas de la fiabilidad de
la información financiera, mientras que los objetivos de procesamiento de información se aplican al procesamiento de
transacciones.
17 Los objetivos de procesamiento de información se refieren a los objetivos de la entidad para las actividades de control, y
por lo tanto son objetivos secundarios dentro del contexto de un sistema de control interno.
112

los procesos o negocios de una organización. Por ejemplo, muchas organizaciones utilizan
aplicaciones ERP. Configurar la seguridad de estas aplicaciones para abordar el acceso
restringido puede llegar a ser muy complejo, y requiere de conocimientos técnicos y un
enfoque estructurado. Las consideraciones sobre el acceso restringido se analizan con más
detalle en la sección de Gestión de Procesos de Seguridad del Principio 11.
Mientras que los objetivos de procesamiento de información se asocian a menudo con
procesos y transacciones financieras, el concepto se puede aplicar a cualquier actividad en
una organización. Por ejemplo, un fabricante de caramelos se esforzará para que las
actividades de control colocadas ayuden a asegurar que se incluyen todos los ingredientes
en su proceso de cocción (integridad), en las cantidades correctas (exactitud), y de
proveedores aprobados cuyos productos aprobaron la prueba de calidad (validez).
Como otro ejemplo, los objetivos de procesamiento de información y las actividades de
control relacionadas también se aplican a procesos de toma de decisiones de la gerencia
sobre juicios críticos y estimaciones. En esta situación, la gerencia debe considerar la
integridad de la identificación de los factores importantes que afectan las estimaciones, para
lo cual debe desarrollar y apoyar las hipótesis. Del mismo modo, la gerencia debería
considerar la validez y racionalidad de los supuestos, así como la precisión de sus modelos
de estimación.
Esto no quiere decir que si la gerencia considera objetivos de procesamiento de información,
la organización nunca hará juicios o estimaciones defectuosas. Los juicios y estimaciones
están siempre sujetas a errores humanos. Sin embargo, cuando están colocadas las
actividades de control adecuadas, y la información que utiliza la gerencia es, a su juicio,
precisa, íntegra y válida, se mejora la probabilidad de una mejor toma de decisiones.
Tipos de Actividades de Control de Transacciones
Una variedad de actividades de control de transacciones puede ser seleccionada y

desarrollada, incluyendo las siguientes:
• Autorizaciones y Aprobaciones: Una autorización afirma que una transacción es válida
(es decir, que representa un evento económico real o está dentro de la política de la
entidad). Una autorización general toma la forma de una aprobación de un mayor nivel
de gerencia, o de verificación y determinación sobre si la transacción es válida o no.
Por ejemplo, un supervisor aprueba un informe de gastos después de revisar que los
gastos parecen razonables y dentro de la política. Un ejemplo de una aprobación
automatizada es donde un costo unitario de una factura se compara automáticamente
contra el costo unitario según la orden de compra correspondiente dentro de un nivel
de tolerancia preestablecido. Las facturas dentro del nivel de tolerancia se aprueban
automáticamente para el pago. Las facturas fuera del nivel de tolerancia se marcan
para investigación adicional.
• Verificaciones: Las verificaciones comparan dos o más elementos entre sí, o
comparan un elemento con una política, y realizan una acción de seguimiento cuando
113

los dos elementos no coinciden o el elemento no es coherente con la política. Los ejemplos,
incluyen comparaciones por computadora o un chequeo de racionalidad. Las verifica-
ciones, generalmente, tratan la integridad, precisión o validez de las transacciones en
proceso.
• Controles Físicos: Los equipos, inventarios, valores, dinero en efectivo y otros activos
se aseguran físicamente (por ejemplo, cerrados o vigilados en zonas de
almacenamiento con acceso físico restringido a personal autorizado), y se contabilizan
y comparan periódicamente con las cantidades que figuran en los registros de control.
• Controles sobre Datos Permanentes: Los datos permanentes, como el archivo
maestro de precios, a menudo se utilizan para apoyar el procesamiento de
transacciones dentro de un proceso de negocio. Las organizaciones colocan
actividades de control sobre los procesos para ingresar, actualizar y mantener la
precisión, integridad y validez de estos datos.
• Reconciliaciones: Las reconciliaciones comparan dos o más elementos de datos, y si
se detectan diferencias, se toman medidas para poner los datos de acuerdo. Por
ejemplo, una reconciliación se realiza sobre los flujos de caja diarios con posiciones
netas reportadas en el centro de transferencia e inversión nocturna. Las
reconciliaciones generalmente tratan la integridad y / o precisión de transacciones en
proceso.
• Controles de Supervisión: Los controles de supervisión evalúan si se están ejecutando
otras actividades de control de transacción (es decir, verificaciones particulares,
reconciliaciones, autorizaciones y aprobaciones, controles sobre los datos
permanentes y actividades de control físico) íntegramente, con precisión y de acuerdo
con las política y procedimientos. La gerencia normalmente usa su juicio para
seleccionar y desarrollar controles de supervisión sobre las transacciones de mayor
riesgo. Por ejemplo, un supervisor puede revisar 18 si un empleado de contabilidad
realiza una reconciliación de acuerdo a la política. Esto puede ser un examen de alto
nivel (por ejemplo, comprobar si la hoja de cálculo de la reconciliación se ha
completado), o un examen más detallado (por ejemplo, para comprobar si los
elementos de la reconciliación han sido objeto de seguimiento y corregidos, o se
proporciona una explicación adecuada).
Las actividades de control pueden ser preventivas o de detección, y las organizaciones
suelen seleccionar una mezcla. La principal diferencia está en el momento cuando se
produce la actividad de control. Un control preventivo está diseñado para evitar un evento
indeseado, o se produce en el momento que aparece la anomalía (por ejemplo, al grabar
inicialmente una transacción financiera o al iniciar un proceso de fabricación). Un control de
detección está diseñado para descubrir un evento indeseado, o se produce después del
procesamiento inicial, pero antes de que el objetivo final ha llegado a su conclusión (por
ejemplo, la emisión de informes financieros o completar un proceso de fabricación). En
ambos casos, la parte fundamental de la actividad de control es la acción tomada para
18 Las revisiones de supervisión pueden ser tanto actividades de control, como actividades de supervisión. La diferencia se
explica en el capítulo 9, Actividades de Supervisión.
114

corregir o evitar un evento o resultado indeseado.
Cuando se seleccionan y desarrollan actividades de control, la organización considera la
precisión de la actividad de control, es decir, que tan exacta será en prevenir o detectar un
evento o resultado indeseado. Por ejemplo, supongamos que el gerente de compras de una
empresa revisa todas las compras de más de $ 1 millón. Esta actividad de control puede
reducir el riesgo de errores de más de $ 1 millón, para ayudar a limitar la exposición de la
entidad, pero no cubre todas las transacciones. Por el contrario, un control de edición
automatizada que compara los precios de todas las órdenes de compra con el maestro de
precios y genera un informe de las diferencias que es revisado por un supervisor de compras
aborda la precisión para todas las transacciones. La precisión de la actividad de control está
estrechamente vinculada a la tolerancia al riesgo de las organizaciones para un objetivo
particular (es decir, mientras menos sea la tolerancia al riesgo, más precisas serán las
acciones para mitigar el riesgo, y más precisas tienen que ser las actividades de control).
Al seleccionar y desarrollar las actividades de control, es importante entender lo que se
pretende lograr con el diseño de un control particular (es decir, la respuesta a los riesgos
específicos abordada por el control), y si se ha desarrollado e implementado tal como fue
diseñado para mitigar el riesgo. Por ejemplo, en una entidad la orden de venta se somete a
un control de edición automatizada o manual que verifica la dirección de facturación y código
postal de un cliente contra la información en una ficha de datos permanente de relaciones
válidas con los clientes. Si la comparación falla, se toman medidas correctivas. Esta actividad
de control ayuda a lograr el objetivo de precisión de procesamiento de información.
Sin embargo, esto no ayuda a lograr el objetivo de integridad de procesamiento de
información (es decir, si todos los pedidos de venta aprobados se encuentran o no en
proceso). Otra de las actividades de control, como la numeración secuencial de las órdenes
de venta aprobadas y luego verificar si todas han sido o no procesadas, sería necesario para
abordar a la integridad.
Tecnología y Control de Actividades

Las actividades de control y la tecnología19 se relacionan entre sí de dos maneras:
• Tecnología que Soporta los Procesos de Negocio: Cuando la tecnología se integra en
los procesos de negocio de la entidad, tales como la automatización robótica en una
planta de fabricación, es necesario realizar actividades de control para mitigar el
riesgo de que la tecnología en sí misma no continúe funcionando adecuadamente
para apoyar el logro de los objetivos de la organización.
• Tecnología Utilizada para Automatizar las Actividades de Control: Muchas de las
actividades de control en la entidad son parcial o totalmente automatizadas con
tecnología. Estos procedimientos se conocen como actividades de control
automatizadas o controles automatizados en el Marco. Los controles automatizados
incluyen controles financieros relacionados con los procesos automatizados de
19 "Tecnología" es un término muy amplio. En el Marco su uso se aplica a la tecnología computarizada, incluyendo
aplicaciones de software que se ejecutan en una computadora, los sistemas de controles de fabricación, etc.
115

transacción, tal como una reconciliación de tres vías realizada dentro de un sistema
ERP que apoya los sub-procesos de compras y cuentas por pagar, y controles com-
putarizados en los procesos operativos y de cumplimiento, tal como comprobar el buen
funcionamiento de una planta de energía. A veces la actividad de control es puramente
automatizada, tales como cuando un sistema detecta un error en la transmisión de
datos, rechaza la transmisión y solicita automáticamente una nueva transmisión. Otras
veces hay una combinación de procedimientos manuales y automatizados. Por ejem-
plo, el sistema detecta automáticamente el error en la transmisión, pero alguien debe
iniciar manualmente la retransmisión. En otros casos, un control manual depende de la
información de un sistema, tales como los informes generados por computador que
apoyan un análisis de presupuesto contra real.
La mayoría de los procesos de negocio tienen una mezcla de controles manuales y automati-
zados, dependiendo de la disponibilidad de la tecnología en la entidad. Los controles automa-
tizados tienden a ser más fiables, sin perjuicio de si los controles generales sobre tecnología,
discutidos más adelante en este capítulo, se aplican y están en funcionamiento, ya que son
menos susceptibles al juicio y error humano, y suelen ser más eficientes.
Actividades de Control en Diferentes Niveles
Además de los controles que operan al nivel de procesamiento de transacciones, la organización

selecciona y desarrolla un conjunto de actividades de control que operan de manera más
amplia, y que, por lo general, se llevan a cabo en los niveles superiores de la organización.
Estas actividades de control más amplias, por lo general, son revisiones del desempeño del
negocio o analíticas,20 involucrando comparaciones de diferentes conjuntos de operaciones o
datos financieros. Las relaciones son analizadas e investigadas, y se toman acciones correc-
tivas cuando no están alineadas con la política o expectativas. Los controles de transacción y
las revisiones de desempeño del negocio en diferentes niveles trabajan juntas para propor-
cionar un enfoque por capas que abordan los riesgos de la organización, y son parte integral
de la mezcla de controles dentro de la organización.
Por ejemplo, una unidad operativa puede tener revisiones de desempeño del negocio durante
el proceso de compra que incluyen variaciones del precio de compra, el porcentaje de
pedidos que son urgentes, y el porcentaje de devoluciones de los pedidos totales. La investi-
gación de resultados inesperados o de tendencias inusuales, permite a la gerencia detectar
casos donde no se hayan alcanzado los objetivos de procura subyacentes.
Otra forma de revisión de desempeño del negocio se produce cuando la alta gerencia realiza
revisiones de desempeño actual frente a presupuestos, pronósticos, períodos anteriores
y resultados de la competencia. Las principales iniciativas son rastreadas, tales como
los programas de mercadeo, la mejora de los procesos de producción y los programas de
control o reducción de costos, para medir el grado en que se están alcanzando los ob-
jetivos. La gerencia revisa el estado de desarrollo de nuevos productos, las oportunidades
de empresas 20 Las revisiones de desempeño del negocio pueden ser actividades de control o actividades de
supervisión. La diferencia
se explica en el Capítulo 9, Actividades de Supervisión.
116

conjuntas o la necesidad de financiamiento. Las actividades de control son las acciones de la
gerencia para el análisis y seguimiento de esos informes.
El alcance de una revisión del desempeño del negocio (por ejemplo, cuántos riesgos
detallados se cubren) tenderá a ser mayor que la revisión para un control de transacciones.
Además, la duración de la revisión de toda la organización tiende a ser mayor que una
revisión de desempeño del negocio, ya que se realiza generalmente en niveles de la
organización superiores que para un control de transacciones. Sin embargo, para responder
eficazmente a una serie de riesgos, la revisión debe ser lo suficientemente precisa para
detectar todos los errores que excedan la tolerancia al riesgo. Un control de transacción
puede abordar un solo riesgo específico, mientras que una revisión del desempeño operativo
general en una unidad de negocio cubre una serie de riesgos. Por ejemplo, la revisión de
desempeño del negocio a través de las órdenes de compra urgentes cubre varios riesgos en
el proceso de procura, pero no aborda los riesgos relativos a la precisión e integridad de
procesar transacciones específicas.
La mayoría de las revisiones de desempeño del negocio son de detección, por su naturaleza,
ya que normalmente se producen después de que las transacciones han tenido lugar y se
han procesado. Así que mientras los controles de nivel superior son importantes en la mezcla
de actividades de control, es difícil abordar los riesgos de los procesos de negocio de manera
integral y eficiente sin controles de transacciones.
Segregación de Funciones
Al seleccionar y desarrollar las actividades de control, la gerencia debe considerar si las

funciones se dividen o separan entre diferentes personas para reducir el riesgo de errores, o
de acciones inapropiadas o fraudulentas. Tal examen debe incluir el entorno jurídico, los
Requerimientos regulatorios y las expectativas de las partes interesadas. Esta segregación
de funciones por lo general implica la división de la responsabilidad para el registro,
autorización y aprobación de las operaciones, y el manejo de los activos relacionados. Por
ejemplo, un gerente que autoriza las ventas a crédito no es responsable de mantener los
registros de las cuentas por cobrar ni por recibir cobros en efectivo. Si una persona es capaz
de realizar todas estas actividades, entonces podría, por ejemplo, crear una venta ficticia que
podría no ser detectada. Del mismo modo, los vendedores no deben tener la capacidad de
modificar archivos de precios de productos o tarifas de comisiones. Una actividad de control
en este alcance podría incluir la revisión de las solicitudes de acceso al sistema para
determinar si se mantiene la segregación de funciones. Por ejemplo, una solicitud de un
vendedor para tener acceso al sistema para modificar los archivos de precios de productos o
tarifas de comisiones debe ser rechazada.
La segregación de funciones puede abordar riesgos importantes relacionados con la
anulación por la gerencia. La anulación por la gerencia elude los controles existentes y es un
medio de uso frecuente para cometer fraude. La segregación de funciones es fundamental
para mitigar los riesgos de fraude, ya que lo reduce pero no puede impedir absolutamente la
117

posibilidad de una persona que actúa sola. Sin embargo, siempre existe el riesgo de que la
gerencia eluda las actividades de control. Se necesita colusión para realizar actividades
fraudulentas cuando las responsabilidades importantes de los procesos se dividen entre al
menos dos empleados. Además, la segregación de funciones reduce los errores por tener
más de una persona que realiza o revisa las transacciones en un proceso, aumentando la
probabilidad de encontrar un error.
Sin embargo, a veces la segregación no es práctica, rentable o factible. Por ejemplo, las
pequeñas empresas pueden carecer de los recursos suficientes para lograr la segregación
ideal, y el costo de la contratación de personal adicional puede ser prohibitivo. En estas
situaciones, la gerencia incorpora actividades de control alternativas 21. En el ejemplo anterior,
si el vendedor puede modificar los archivos de precios de los productos, una actividad de
control de detección puede poner en marcha que el personal no relacionado con la función
de ventas revise periódicamente si el vendedor cambió precios y en qué circunstancias.
21 El Marco prefiere el término "controles alternativos" en lugar de "controles compensatorios". Este último término se ha
utilizado para describir actividades de control adicionales puestas en marcha cuando no se puede lograr la segregación
de funciones. Sin embargo, este término ha evolucionado para referirse a las actividades de control que mitigan el
impacto de una deficiencia de control identificada en la evaluación de la efectividad operativa de los controles y se
utiliza en el Marco dentro de este contexto.
118

Selecciona y Desarrolla Controles Generales sobre Tecnología
Principio 11: La organización selecciona y desarrolla actividades de

control general sobre la tecnología para apoyar el logro de los objetivos.
Puntos de Enfoque
este principio:
• Determina la Dependencia entre el Uso de la Tecnología en los Procesos de Negocio
y los Controles Generales sobre Tecnología: La gerencia entiende y determina la
dependencia y vinculación entre los procesos de negocio, las actividades de control
automatizadas y los controles generales sobre tecnología.
• Establece Actividades de Control Relevantes sobre la Infraestructura de Tecnología:
La gerencia selecciona y desarrolla actividades de control sobre la infraestructura de
la tecnología, que se diseñan e implementan para ayudar a garantizar la integridad,
precisión y disponibilidad de la tecnología de procesamiento.
• Establece Actividades de Control Relevantes sobre los Procesos de Gestión de
Seguridad: La gerencia selecciona y desarrolla actividades de control que se diseñan
e implementan para restringir los derechos de acceso a la tecnología a usuarios
autorizados acorde con sus responsabilidades laborales y para proteger los activos de
la entidad de amenazas externas.
• Establece Actividades de Control Relevantes sobre los Procesos de Procura,
Desarrollo y Mantenimiento de Tecnología: La gerencia selecciona y desarrolla
actividades de control sobre la procura, desarrollo y mantenimiento de la tecnología y
su infraestructura para lograr los objetivos de la gerencia.
Dependencia entre el Uso de la Tecnología en los Procesos de Negocio y los Controles

Generales sobre Tecnología
La fiabilidad de la tecnología en los procesos de negocio, incluidos los controles

automatizados, depende de la selección, el desarrollo y la implementación de las actividades
de control general sobre la tecnología, denominada de aquí en adelante como controles
generales sobre tecnología.22 Los controles generales sobre tecnología para la procura y
desarrollo de la tecnología son desplegados para ayudar a asegurar que los controles
22 La terminología generalmente utilizada para describir estos controles incluye "controles generales sobre computación",
"controles generales" o "controles de tecnología de la información". El término "controles generales sobre tecnología" se
utiliza aquí para referirse a "actividades de control general sobre tecnología."
119

automáticos funcionan correctamente cuando se desarrollaron e implementaron por primera
vez. Los controles generales sobre tecnología también ayudan a que los sistemas de
información sigan funcionando correctamente después de su implementación.
Por ejemplo, supongamos que una organización desea implementar un control de validación
y verificación de edición automático que examina los datos introducidos en línea. Si algo no
coincide, o está en el formato incorrecto, proporciona información inmediata a fin de que se
pueden realizar correcciones. Los mensajes de error indican cuál es el problema con los
datos y los informes de excepción permiten el seguimiento posterior. En el desarrollo de
sistemas, los controles generales sobre tecnología ayudan a garantizar que este control
automático funciona correctamente cuando se diseñan e implementan por primera vez (por
ejemplo, la verificación de edición sigue la lógica de negocios definida por la gerencia, valida
que los datos coinciden con la transacción correcta o con los archivos de datos permanentes,
cualquier mensaje de error refleja con integridad y precisión lo que está errado, y todas las
excepciones se presentan de acuerdo con las políticas de la organización).
Una vez que este control automatizado se aplica correctamente, los controles generales
sobre tecnología ayudan a garantizar su funcionamiento continuo (por ejemplo, que se están
utilizando los archivos correctos en el proceso correspondiente y que los archivos son
íntegros y precisos). Además, las actividades de control de seguridad adecuadas limitan el
acceso al sistema sólo a quienes lo necesitan, reduciendo la posibilidad de ediciones no
autorizadas a los archivos. Las actividades de control sobre cualquier cambio en la
tecnología asegura que ésta sigue funcionando como se diseñó.
Al igual que con otras funciones de la entidad, se colocan procesos para seleccionar,
desarrollar, operar y mantener la tecnología de la entidad. Estos procesos pueden ser
limitados a unas pocas actividades sobre el uso de tecnología estándar adquirida de un
tercero (por ejemplo, una aplicación de hoja de cálculo) o ampliado para apoyar la tecnología
desarrollada tanto en la empresa como externamente. Las actividades de control
seleccionadas y desarrolladas contribuyen a la mitigación del riesgos relacionados con el uso
de los procesos tecnológicos.
Controles General sobre Tecnología

Los controles generales sobre tecnología incluyen actividades de control sobre la
infraestructura de la tecnología, la gestión de la seguridad y la procura, desarrollo y
mantenimiento de tecnología. Se aplican a todas las tecnologías, incluyendo aplicaciones de
tecnología de información en un computador central, cliente / servidor, de escritorio,
computación de usuarios finales, computadores portátil y entornos de dispositivos móviles,
así como la tecnología operacional, tales como los sistemas de control de planta o robótica
de fabricación. El alcance y rigor de las actividades de control variarán para cada una de
estas tecnologías en función de diversos factores, tales como la complejidad de la tecnología
y el riesgo del proceso de negocio subyacente que es apoyado. Al igual que en los controles
sobre transacciones comerciales, los controles generales sobre tecnología pueden incluir
tanto actividades de control manual como automatizada.
120

Infraestructura Tecnológica
La tecnología requiere una infraestructura en la cual operar, que van desde redes de
comunicación para enlazar varias tecnologías entre sí y con el resto de la entidad, pasando
por los recursos informáticos de aplicaciones para operar, hasta la energía que hace
funcionar la tecnología. La infraestructura de la tecnología puede ser compleja. Puede ser
compartida por diferentes unidades de negocio dentro de la entidad (por ejemplo, un centro
de servicios compartidos) o externa, ya sean organizaciones de servicios de terceros o
servicios de tecnología independientes de la ubicación (por ejemplo, la computación en la
nube). Estas complejidades presentan riesgos que deben ser entendidos y abordados. Dada
la amplia gama de posibles cambios en el uso de la tecnología que probablemente
continuará en el futuro, la organización necesita hacer seguimiento de estos cambios para
evaluar y responder a los nuevos riesgos.
Las actividades de control apoyan la integridad, precisión y disponibilidad de la tecnología de
procesamiento. Ya sea que la infraestructura es la programación por lotes para un
computador central, el procesamiento en tiempo real en un entorno cliente / servidor o
dispositivos móviles inalámbricos, o que sea una sofisticada red de comunicaciones, la
tecnología es verificada activamente para detectar problemas y tomar acciones correctivas
cuando sea necesario. El mantenimiento de la tecnología a menudo incluye procedimientos
de respaldo y recuperación, así como planes de recuperación de desastres, en función de los
riesgos y las consecuencias de una interrupción total o parcial.
Procesos de Gestión de la Seguridad

La gestión de la seguridad incluye los sub-procesos y las actividades de control sobre quién y
qué tiene acceso a la tecnología de una entidad, incluyendo quién tiene la capacidad de
ejecutar transacciones. Por lo general, cubren los derechos de acceso a datos, al sistema
operativo (software del sistema), a la red, las aplicaciones y las capas físicas. Los controles
de seguridad sobre el acceso protegen a la entidad de un acceso inapropiado y del uso no
autorizado del sistema, y además soporta la segregación de funciones. Al evitar el uso y
cambios no autorizados en el sistema, se protege la integridad de los datos y de los
programas de malas intenciones (por ejemplo, que alguien irrumpa en la tecnología para
cometer fraude, vandalismo o terrorismo), o de un simple error (por ejemplo, un empleado
bien intencionado que utiliza la cuenta de un colega que está de vacaciones para realizar su
trabajo, y ejecuta una transacción errónea o elimina un archivo porque no está debidamente
adiestrado en el trabajo).
Las amenazas de seguridad pueden provenir tanto de fuentes internas como externas. La
amenaza externa es particularmente importante para las entidades que dependen de las
redes de telecomunicaciones y la Internet. Los usuarios de tecnología, clientes y partes
maliciosas pueden estar al otro lado del mundo o en el pasillo. Los múltiples usos potenciales
de la tecnología y los puntos de entrada subrayan la importancia de la gestión de la
seguridad. Las amenazas externas con frecuencia prevalecen en los entornos empresariales
de hoy, altamente interconectados, y se requiere un esfuerzo continuo para abordar a estos
riesgos.
121

Las amenazas internas pueden provenir de empleados antiguos o descontentos que
presentan riesgos únicos, ya que pueden a la vez estar motivados para trabajar en contra de
la entidad, y estar mejor preparados para tener éxito en la realización de un acto
malintencionado debido a que tienen mayor acceso y conocimiento de los sistemas de
gestión de seguridad y procesos de la entidad.
El acceso de los usuarios a la tecnología generalmente se controla a través de las
actividades de control de autenticación, donde una identificación de usuario único o una ficha
se autentica contra una lista de usuarios aprobados. Los controles generales sobre
tecnología están diseñados para permitir acceso sólo a los usuarios autorizados en una lista
aprobada. Estas actividades de control generalmente emplean una política de restricción de
usuarios autorizados a las aplicaciones o funciones, según sus responsabilidades en el
trabajo y para apoyar una adecuada segregación de funciones. Las actividades de control se
utilizan para comprobar las solicitudes de acceso contra la lista aprobada. Otras actividades
de control se establecen para actualizar el acceso cuando los empleados cambian funciones
de trabajo o se retiran de la entidad. A menudo se hace una revisión periódica de los
derechos de acceso contra la política para comprobar si el acceso sigue siendo apropiado. El
acceso también debe ser controlado cuando los diferentes elementos de la tecnología están
conectados unos a otros.
Procesos de Procura, Desarrollo y Mantenimiento de Tecnología
Los controles generales sobre tecnología apoyan la procura, desarrollo y mantenimiento de

la tecnología. Por ejemplo, una metodología para desarrollo de tecnología 23 proporciona una
estructura para el diseño e implementación del sistema, describiendo las fases específicas,
los Requerimientos de documentación, las aprobaciones y controles con los controles sobre
la procura, desarrollo y mantenimiento de la tecnología. La metodología proporciona
controles adecuados de los cambios en la tecnología que pueden implicar la necesidad de
autorizar solicitudes de cambio, verificando el derecho legal de la entidad para utilizar la
tecnología en la forma en que se está utilizando, la revisión de los cambios, las
aprobaciones, los resultados de las pruebas y la implementación de protocolos para
determinar si los cambios se han realizado correctamente.
En algunas empresas la metodología de desarrollo abarca la continuidad desde grandes
proyectos de desarrollo hasta los cambios más pequeños. En otras empresas hay un
proceso distinto para el desarrollo de nueva tecnología y un proceso independiente para la
gestión del cambio. En cualquier caso, un proceso de gestión de cambios estará colocado
para seguir los cambios desde el inicio hasta la disposición final. Los cambios pueden surgir
como resultado de un problema en la tecnología que necesita ser arreglada, o una solicitud
de la comunidad de usuarios.
Los controles generales sobre tecnología incluidos en una metodología de desarrollo variarán
23 Hay muchos nombres para este proceso. Un nombre común es "ciclo de vida de desarrollo de sistemas" (System
Development Life Cycle - SDLC).
122

en función de los riesgos de la iniciativa tecnológica. Una iniciativa de desarrollo grande o
compleja, en general tendrá mayores riesgos que una iniciativa pequeña o simple. El alcance
y el rigor de los controles sobre la iniciativa deben dimensionarse de acuerdo con su
magnitud.
Una alternativa al desarrollo dentro de la entidad es el uso de paquetes de software. Los
vendedores de tecnología ofrecen sistemas flexibles e integrados que permiten la
personalización mediante el uso de opciones integradas. Muchas metodologías de desarrollo
de la tecnología se procuran paquetes de proveedores como alternativa a su desarrollo, e
incluyen las medidas necesarias para asegurar el control de su selección e implementación.
Una vez seleccionada e implementada la tecnología, también se aplicarían los controles
generales sobre la tecnología antes mencionados al desarrollo continuo y al mantenimiento
de la tecnología.
Otra alternativa es la subcontratación. Si bien en principio se aplican las mismas
consideraciones, ya sea que los controles se ejecuten internamente o por un proveedor de
servicios de subcontratación, la subcontratación presenta riesgos particulares que requieren
a menudo la selección y desarrollo de controles adicionales sobre la integridad, precisión y
validez de la información presentada y recibida del proveedor de servicios externo
subcontratado.
123

124

Se Despliega a través de Políticas y Procedimientos
Principio 12: La organización implementa las actividades de control a través de

políticas que establecen lo que se espera y los procedimientos que ponen en
práctica las políticas.
Puntos de Enfoque
este principio:
• Establece Políticas y Procedimientos para Permitir la Implementación de las Directivas
de la Gerencia: La gerencia establece las actividades de control a través de políticas
que establecen lo que se espera y procedimientos pertinentes especificando acciones,
que están incorporadas en los procesos de negocio y las actividades de los
empleados del día a día.
• Establece Responsabilidad para la Ejecución de Políticas y Procedimientos: La
gerencia establece la responsabilidad de las actividades de control con la gerencia (u
otro personal designado) de la unidad de negocio o función en la que residen los
riesgos relevantes.
• Se Desempeña Oportunamente: El personal responsable realiza actividades de
control oportunamente, según las políticas y procedimientos.
• Toma Acción Correctiva: El personal responsable investiga y actúa sobre temas
identificados como resultado de la ejecución de las actividades de control.
• Se Desempeña con Personal Competente: Las actividades de control son realizadas
por personal competente, con autoridad suficiente para realizarlas con diligencia y
atención continua.
• Revalúa Políticas y Procedimientos: La gerencia revisa periódicamente las actividades
de control para determinar su relevancia, y las refresca cuando sea necesario.
Políticas y Procedimientos
Las políticas reflejan la declaración de la gerencia de lo que se debe hacer para efectuar el
control. Tales declaraciones pueden ser documentadas, declaradas explícitamente en una
125

comunicación, o implícitas a través de acciones y decisiones de la gerencia. Los
procedimientos consisten en acciones que implementan una política.
Las actividades de control se refieren específicamente a las políticas y procedimientos que
contribuyen a la mitigación de los riesgos para el logro de objetivos a un nivel aceptable. Una
política, por ejemplo, podría requerir la revisión de las actividades comerciales de los clientes
por parte del gerente de la subsidiaria minorista de valores. El procedimiento es la revisión
como tal, realizada de manera oportuna y con atención a los factores establecidos en la
política, tales como la naturaleza y el volumen de títulos negociados y su relación con el
patrimonio y edad del cliente.
Las políticas y procedimientos a menudo se comunican verbalmente. Las políticas no
escritas pueden ser eficaces donde la política es una práctica de larga data y bien entendida,
y en organizaciones más pequeñas donde los canales de comunicación implican niveles de
gerencia limitada, así como una estrecha interacción y supervisión del personal. A pesar de
ser una alternativa rentable para algunas entidades, las políticas y procedimientos no escritos
pueden ser más fáciles de eludir, ser costosas para la organización si hay rotación de
personal, y pueden reducir la responsabilidad. Cuando la entidad está sujeta a revisiones
externas, se espera que las políticas y procedimientos estén formalmente documentados. 24
Pero si una política se hace por escrito, debe establecer una clara responsabilidad, que en
última instancia reside en la gerencia de la entidad y de la sub-unidad donde reside el
peligro. Los procedimientos deben ser claros sobre las responsabilidades del personal que
realiza la actividad de control. Además, las políticas deben implementarse cuidadosa y
concienzudamente, y los procedimientos relacionados deben ser atendidos oportunamente,
con diligencia y de forma consistente por personal competente.
Oportunidad
Los procedimientos deben incluir la fecha de cuándo se realiza una actividad de control y las
acciones correctivas de seguimiento. Los procedimientos fuera de tiempo pueden reducir la
utilidad de la actividad de control. Por ejemplo, una revisión periódica de las cuentas de
usuario para identificar derechos de acceso inadecuados se realiza oportunamente por el
propietario del proceso de negocio para reducir el riesgo de acceso no autorizado a un nivel
aceptable. Los intervalos más largos entre las revisiones aumentan el potencial para que la
detección de un acceso no autorizado no se haga a tiempo.
Acción Correctiva
Al realizar una actividad de control, los asuntos identificados para seguimiento deben
24 Véase el análisis sobre la documentación en el Capítulo 4, Consideraciones Adicionales.
126

investigarse, y si es apropiado, tomar acciones correctivas. Por ejemplo, considere el caso
donde la reconciliación de las cuentas de efectivo detecta una discrepancia en una de las
cuentas. El auxiliar de contabilidad se comunica con la persona a cargo del registro de
efectivo y determina que un recibo de caja no se envió correctamente. El recibo se vuelve a
aplicar y la corrección se refleja en la reconciliación.
Competencia
Una actividad de control bien diseñada, generalmente, no puede llevarse a cabo sin personal
competente con la autoridad suficiente para realizar la actividad de control. El nivel de com-
petencia necesario para realizar una actividad de control dependerá de factores tales como la
complejidad de la actividad de control y de la complejidad y volumen de las transacciones
correspondientes. Por otra parte, el procedimiento no será útil si se realiza por rutina, sin una
fuerte y constante atención a los riesgos a los que se dirige la política. La autoridad suficiente,
puede ser necesaria, para cumplir plenamente todos los aspectos del control, tales como la
adopción de medidas correctivas.
Revaluación periódica
La gerencia debe revaluar periódicamente las políticas, los procedimientos y actividades de

control relacionados para mantener su relevancia y eficacia, además de ser sensible a los
cambios significativos en los riesgos o los objetivos de la entidad. Los cambios significativos
se evalúan a través del proceso de evaluación del riesgo. Los cambios en las personas,
procesos y tecnología pueden reducir la eficacia de las actividades de control o hacer que
algunas actividades de control se tornen redundantes. Cada vez que uno de estos cambios
ocurre, la gerencia debe revaluar la relevancia de los controles existentes y actualizarlos
cuando sea necesario. Por ejemplo, la gerencia puede actualizar el módulo de compra de un
sistema ERP para introducir actividades de control de transacciones automatizadas que cau-
san que las anteriores actividades de control manual sean redundantes, y por lo tanto, ya no
sean necesarias.
127

128

8. Información y Comunicación
La información es necesaria para que la entidad pueda ejecutar su responsabilidades de

control interno para apoyar el logro de sus objetivos. La gerencia obtiene o genera
información relevante y de calidad, tanto de fuentes internas como externas, para apoyar el
funcionamiento del control interno. La comunicación es el proceso iterativo de proporcionar,
compartir y obtener la información necesaria. Comunicación interna es el medio por el cual la
información se disemina en la organización, fluyendo hacia arriba, hacia abajo y a través de
la entidad. Esta permite que el personal reciba un mensaje claro de la alta gerencia indicando
que las responsabilidades de control deben tomarse seriamente. La comunicación externa es
de dos vías: permite la comunicación entrante de información externa relevante y
proporciona información a las partes externas en respuesta a Requerimientos y expectativas.
Principios relativos al componente Información y Comunicación
13. La organización obtiene o genera, y utiliza, información relevante y de calidad

para apoyar el funcionamiento de los otros componentes del control interno.
14. La organización comunica internamente la información, incluyendo los objetivos y
responsabilidades de control interno, necesarios para apoyar el funcionamiento de los
otros componentes del control interno.
15. La organización se comunica con partes externas sobre asuntos que
afectan el funcionamiento de los otros componentes del control interno.
129

Utiliza Información Relevante
Principio 13: La organización obtiene o genera, y utiliza, información
relevante y de calidad para apoyar el funcionamiento de los otros
componentes del control interno.
Puntos de Enfoque
este principio:
• Identifica los Requerimientos de Información: Existe un proceso para identificar la

información requerida y esperada para apoyar el funcionamiento de los otros
componentes del control interno y el logro de los objetivos de la entidad.
• Captura de Fuentes de Datos Internas y Externas: Los sistemas de información
capturan fuentes internas y externas de datos.
• Procesa Datos Relevantes en Información: Los sistemas de información procesan y
transforman los datos en información relevante.
• Mantiene la Calidad a lo Largo del Procesamiento: Los sistemas de información
producen información oportuna, actualizada, precisa, íntegra, accesible, protegida, así
como verificable y retenida. La información se revisa para determinar su relevancia en
el apoyo a los componentes del control interno.
• Considera Costos y Beneficios: La naturaleza, la cantidad y la precisión de la
información comunicada son proporcionales con su apoyo al logro de los objetivos.
Requerimientos de Información
La información es necesaria para que la organización realice sus responsabilidades de

control interno para apoyar el logro de los objetivos. La información sobre los objetivos de la
entidad es obtenida de las actividades de la alta gerencia y el Consejo, y se resume de forma
tal que la gerencia y otros puedan entender los objetivos y su papel en su logro.
Por ejemplo, un distribuidor mayorista encontró que sus gerentes no tienen una sólida
comprensión de los objetivos clave de la organización. El plan de negocios era detallado y
difícil de comunicar de forma concisa. El Consejo ha trabajado con la alta gerencia para
resumir los objetivos clave de la entidad en un documento narrativo claro que acompaña los
131

estados financieros distribuidos internamente. Además, el Consejo presentó un cuadro de
mando integral que asigna estas metas a indicadores y resultados reales, tanto financieros
como no financieros, sobre una base mensual. La retroalimentación obtenida de una
encuesta posterior a los empleados, indicó que el personal de gerencia y otros entienden
mejor los objetivos de la organización.
La obtención de información relevante requiere que la gerencia identifique y defina las
necesidades de información al nivel que corresponda y con la especificidad requerida.
Identificar las necesidades de información es un proceso iterativo y continuo que se produce
durante el desempeño de un sistema de control interno efectivo.
La gerencia desarrolla e implementa controles relativos a la identificación de la información
relevante que apoye el funcionamiento de los componentes. Los siguientes ejemplos ilustran
cómo se identifica y define la información en apoyo del funcionamiento de otros componentes
del control interno.
Componente de Control Interno Ejemplo de Información Utilizada
Ambiente de Control La gerencia realiza una encuesta anual de sus empleados en toda la
entidad para recopilar información acerca de su conducta personal en
relación con el código de conducta de la entidad. La encuesta es parte
de un proceso que genera información para apoyar el componente de
ambiente de control y también puede proporcionar información para la
selección, desarrollo, implementación o mantenimiento de las
actividades de control.
Evaluación del Riesgo Como resultado de los cambios en las demandas de clientes, la entidad
cambia su gama de productos y mecanismos de entrega. Las ventas en
línea ampliadas han causado que las transacciones de tarjetas de
crédito aumenten de manera significativa. Para evaluar el riesgo de
incumplimiento con la normativa de seguridad y privacidad relacionada
con la información de tarjetas de crédito, la gerencia recopila
información sobre el número de transacciones, el valor global y la
naturaleza de los datos conservados para el último año fiscal, y evalúa
su importancia en realizar su análisis del riesgo.
Actividades de Control Cierto tipo de equipo utilizado en un entorno de producción de gran

volumen se deteriora si opera por más de un período de tiempo
especificado. Para maximizar la vida útil del equipo, la gerencia obtiene
y revisa los registros del tiempo de funcionamiento diario, y los compara
con los rangos establecidos por la alta gerencia. La información apoya
las actividades de control que abordan los procedimientos de mitigación
requerida cuando se exceden los límites máximos de tiempo de
actividad.
Actividades de Supervisión Una gran empresa de servicios públicos recopila, procesa y reporta los
registros de accidentes y lesiones relacionados con el equipo de
operación de generación de energía. Al comparar estos datos con la
evolución de las demandas de indemnización de seguro de salud de los
132

trabajadores, identifican variaciones contra las expectativas
establecidas. Esto puede indicar que las actividades de control sobre la
identificación, procesamiento, informes, investigación y resolución de
eventos de accidentes y lesiones no funciona según lo previsto.
Los controles enmarcados en los cinco componentes establecen requerimientos de informa-

ción. Estos requerimientos facilitan y dirigen al personal de gerencia y otros para identificar
las fuentes pertinentes y fiables de información, así como los datos subyacentes. La cantidad
de información y datos básicos a disposición de la gerencia pueden ser más de lo necesario,
debido al aumento de las fuentes de información y los avances en la recopilación,
procesamiento y almacenamiento de datos. En otros casos, los datos pueden ser difíciles de
obtener al nivel correspondiente o especificidad requerida. Por lo tanto, una clara compren-
sión de las necesidades de información dirige a la gerencia y otro personal para identificar las
fuentes pertinentes y fiables de información y datos.
Lograr el equilibrio adecuado entre los beneficios y los costos para obtener y gestionar la
información, y los sistemas de información, es un factor clave en el establecimiento de un
sistema de información que satisfaga las necesidades de la entidad.
Datos de Fuentes Relevantes
La información se recibe a partir de una variedad de fuentes y en una variedad de formas. En

la siguiente tabla se resumen ejemplos de datos y fuentes internas y externas de la cual la
gerencia puede generar información útil relevante para los controles internos.
Ejemplos de Fuente de Datos Interna Ejemplos de Datos Internos
• Correo electrónico de comunicaciones • Cambios organizacionales
• Inspecciones de procesamiento de planta de • Experiencia de Producción a tiempo y su

producción calidad
• Minutas o notas de las reuniones del comité • número de unidades vendidas en un mes
de operación
• Acciones en respuesta al consumo de energía
• Sistemas de información de tiempo de
personal • Factores que afectan las tasas de deserción
de clientes
• Informes de los sistemas de fabricación
• Horas incurridas en proyectos basados en el
• Respuestas a encuestas a clientes tiempo
• Líneas directa para denuncias • Quejas sobre comportamiento de la gerencia
133

Ejemplos de Fuente de Datos Externa Ejemplos de Datos Externos
• Datos recibidos de proveedores de servicios • Información de producto de la competencia

subcontratados
• Indicadores de mercado y la industria
• Informes de investigación de la industria
• Requerimientos nuevos o ampliados
• Reportes trimestrales de empresas pares
• Productos enviados desde fabricante
• Organismos reguladores contratado
• Medios de comunicación social u otros blogs • Opiniones sobre la entidad
• Ferias comerciales • Evolución de preferencias de clientes
• Líneas directa para denuncias • Reclamo de malversación de fondos, soborno
La gerencia considera un alcance amplio de posibles eventos, actividades y fuentes de datos,

disponibles internamente y de fuentes externas confiables, y selecciona lo más relevante y
útil para la actual estructura organizacional, modelo de negocio, o los objetivos. En la medida
que se producen cambios en la entidad, los requerimientos de información también cambian.
Por ejemplo, las entidades que operan en un negocio y entorno económico muy dinámico ex-
perimentan cambios continuos, tales como competidores altamente innovadores y de rápido
movimiento, expectativas cambiantes de los clientes, evolución de requerimientos normativos,
globalización e innovación tecnológica. Por lo tanto, la gerencia reevalúa las necesidades de
información y se ajusta para satisfacer sus necesidades actuales.
Procesando Datos a través de Sistemas de Información
Las organizaciones desarrollan sistemas de información para obtener, capturar y procesar

grandes volúmenes de datos procedentes de fuentes internas y externas y convertirlas en in-
formación significativa que apoya sus decisiones para satisfacer las necesidades de informa-
ción definidas. Los sistemas de información abarcan una combinación de personas, procesos,
datos y tecnología que apoya los procesos de negocio administrados internamente, así como
aquellos que son apoyados a través de relaciones con proveedores de servicios externos y
otras partes que interactúan con la entidad.
La información puede ser obtenida a través de una variedad de formas, incluyendo la
compilación o entrada manual, o mediante el uso de tecnología de la información, tales como
intercambio electrónico de datos (Electronic Data Interchange - EDI) o interfaces de progra-
mación de aplicaciones (Application Programming Interfaces - API). Las conversaciones con
los clientes, proveedores, reguladores y empleados, también son fuentes de datos críticos, y
producen información necesaria para identificar y evaluar los riesgos y las oportunidades. En
algunos casos, la información y los datos subyacentes capturados requieren una serie de pro-
134

cesos manuales y automatizados para asegurarse que están al nivel correspondiente y con
la especificidad requerida. En otros casos, la información puede ser obtenida directamente de
una fuente interna o externa. La gerencia desarrolla e implementa las actividades de control
sobre la integridad de los datos introducidos en los sistemas de información, así como sobre
la integridad y precisión del procesamiento de esos datos en información utilizada por otros
controles.
El volumen de información accesible a la organización presenta tanto oportunidades como
riesgos. Un mayor acceso a la información puede mejorar el control interno. Por otro lado, el
aumento de volumen de información y datos subyacentes puede generar riesgos adicionales,
tales como los riesgos operativos causados por la ineficiencia debido a la sobrecarga de
datos, los riesgos de cumplimiento asociados con las leyes y regulaciones acerca de la
protección de datos y su retención, y los riesgos de privacidad y seguridad derivados de la
naturaleza de los datos almacenados por, o en nombre, de la entidad.
La naturaleza y alcance de los requerimientos de información, la complejidad y el volumen de
la información, y la dependencia en partes externas impactan el rango de sofisticación de los
sistemas de información, incluyendo el alcance de la tecnología implementada.
Independientemente del nivel de sofisticación adoptado, los sistemas de información
representan el procesamiento de información de extremo a extremo de las transacciones y
los datos que permiten a la entidad recopilar, almacenar y resumir información de calidad y
consistente a través de los procesos pertinentes, ya sean manuales, automáticos o una
combinación de ambos.
Los sistemas de información desarrollados con procesos integrados, habilitados con
tecnología, ofrecen oportunidades para mejorar la eficiencia, la velocidad y accesibilidad de
la información a los usuarios Adicionalmente, estos sistemas de información pueden mejorar
el control interno de los riesgos de seguridad y privacidad relacionados con la información
obtenida y generada por la organización. Los sistemas de información diseñados e
implementados para restringir el acceso a la información sólo a aquellos que la necesitan, y
para reducir el número de puntos de acceso, aumentan la eficacia de la mitigación de riesgos
asociados a la seguridad y privacidad de la información.
Los sistemas de planificación de recursos empresariales (Enterprise Resource Planning -
ERP), los sistemas de gestión de asociación (Association Management Systems – AMS), las
intranets corporativas, las herramientas de colaboración, los medios sociales interactivos, los
almacenes de datos, los sistemas de inteligencia de negocios, los sistemas operativos (por
ejemplo, los sistemas de uso de energía y automatización de fábricas), las aplicaciones
basadas en la web, y otras soluciones tecnológicas, presentan oportunidades para que la
gerencia aproveche la tecnología en el desarrollo e implementación de sistemas de
información eficaces y eficientes.
135

Calidad de la Información
Mantener la calidad de la información es necesario para un sistema de control interno eficaz,

sobre todo con el volumen actual de datos y la dependencia en sistemas de información
sofisticados y automatizados. La capacidad de generar información de calidad comienza con
la procedencia de los datos. Los datos inexactos o incompletos, y la información derivada de
estos datos, pueden resultar en juicios, estimaciones u otras decisiones de la gerencia
potencialmente erróneas.
La calidad de la información depende de la información sea:
• Accesible: La información es fácil de obtener por los que la necesitan. Los usuarios
saben qué información está disponible y en qué parte del sistema de información es
accesible.
• Correcta: Los datos subyacentes son precisos e íntegros. Los sistemas de información
incluyen controles de validación que abordan su precisión e integridad, incluyendo los
procedimientos necesarios para la resolución de excepciones.
• Actualizada: Los datos recopilados son de fuentes actualizadas y se recopilan con la
frecuencia necesaria.
• Protegida: El acceso a la información sensible está restringido a personal autorizado.
La clasificación de datos (por ejemplo, confidencial y secreto) apoya la protección de
la información.
• Retenida: La información está disponible durante un período prolongado de tiempo
para consultas e inspecciones por partes externas.
• Suficiente: Hay suficiente información al nivel adecuado de detalle correspondiente
para las necesidades de información. Los datos extraños son eliminados para evitar la
ineficiencia, mal uso o mala interpretación.
• Oportuna: La información está disponible en el sistema de información cuando es
necesaria. La información oportuna ayuda con la identificación temprana de eventos,
tendencias y problemas.
• Válida: La información se obtiene de fuentes autorizadas, se recopila de acuerdo con
los procedimientos establecidos, y representa eventos que realmente ocurrieron.
• Verificable: La información se apoya en evidencia de la fuente. La gerencia establece
políticas de gestión de la información con responsabilidades claras por la calidad de la
información.
136

La gerencia establece políticas de gestión de la información con responsabilidades claras por la
calidad de la información. Estas políticas abordan las expectativas de control de datos que
orientan los procesos para definir las categorías o clases de datos, y asignar los requerimientos
para su manipulación física, almacenamiento, seguridad y privacidad. Estas políticas apoyan las
responsabilidades de la gerencia y las de otro personal para proteger los datos y la información
de acceso o cambio no autorizado, y para cumplir con los requerimientos de retención.
Por ejemplo, en un caso, la alta gerencia de una agencia gubernamental descentralizada,
dispersa geográficamente, identificó un riesgo específico para el logro de un objetivo de
operaciones asociado con la calidad de los datos operativos recopilados de sus 2.000 unidades
de campo. La gerencia elaboró una serie de requerimientos de datos específicos y un formato
para ser utilizado por todas las unidades de campo. La alta gerencia sistemáticamente realizó
exámenes mensuales de indicadores clave derivados de los datos en todas las unidades. Las
unidades con mejor y peor desempeño fueron obligadas a explicar el origen de sus datos a un
equipo de auditoría interna. Además, la gerencia de la agencia utilizó los informes de los datos
de operación de la unidad y los indicadores en sus visitas de campo, y comenzaron a preguntar
para evaluar la comprensión de la unidad de los datos de sus informes. Después de seis meses
de aplicar este sistema de información, revisiones mensuales, visitas de campo y
retroalimentación relacionada que fue compartido durante todo el proceso, la calidad de la
información mejoró hasta un nivel aceptable para la gerencia. Para mantener este nivel, la
gerencia implementó políticas y procesos modificados para informar los datos operativos, así
como tecnologías de inteligencia de negocios para permitir la presentación oportuna y
consistente de la información.
La información que se obtiene de los proveedores externos de servicios que gestionan los
procesos de negocio en nombre de la entidad, así como de otras partes externas sobre las que
depende la entidad, está sujeta a las mismas expectativas de control interno. Los requerimientos
de información son desarrollados por la organización y comunicados a los proveedores de
servicios externos y otras partes externas similares. Los controles apoyan la capacidad de la
organización para contar con dicha información, incluyendo el control interno sobre los
proveedores de servicios subcontratados, tales como la debida diligencia con proveedores, el
ejercicio de las cláusulas de derecho a auditar, y la obtención de una evaluación individual sobre
los controles del proveedor de servicios.
La gerencia considera sus necesidades para mantener las comunicaciones, en particular las
comunicaciones con las partes externas o aquellas que se relacionan con el cumplimiento por
parte de la entidad con las leyes y reglamentos. Dado el volumen potencial y la capacidad de
almacenar y recuperar la información, este requisito, puede ser un reto cuando la gerencia se
basa en comunicación a tiempo real, habilitada por tecnología. Los controles sobre la retención
de la información de control interno considera los retos de los avances en la tecnología,
incluyendo la comunicación y las tecnologías de colaboración utilizadas para apoyar a otros
componentes del control interno, así como el logro de los objetivos de la entidad.
137

138

Se Comunica Internamente.
Principio 14: La organización comunica internamente la información, incluyendo

los objetivos y responsabilidades de control interno, necesarios para apoyar el
funcionamiento del control interno.
Puntos de Enfoque
este principio
• Comunica Información de Control Interno: Un proceso está colocado para comunicar
la información necesaria para que todo el personal comprenda y realice sus
responsabilidades de control interno.
• Se Comunica con el Consejo: Existe comunicación entre la gerencia y el Consejo, por
lo que ambos tienen la información necesaria para cumplir sus funciones con respecto
a los objetivos de la entidad.
• Proporciona Líneas de Comunicación independientes: Los canales de comunicación
independientes, tales como líneas directas para denuncias, están colocadas y sirven
como mecanismos a prueba de fallas para permitir la comunicación anónima o
confidencial cuando los canales normales son inoperantes o ineficaces.
• Selecciona el Método Pertinente de Comunicación: El método de comunicación
considera la oportunidad, la audiencia y la naturaleza de la información.
Comunicación del Control Interno
La comunicación de la información transmitida a través de la entidad incluye:

• Las políticas y procedimientos que apoyan al personal en el desempeño de sus
responsabilidades de control interno
• Objetivos Especificados
• Importancia, relevancia y beneficios del control interno eficaz
• Las funciones y responsabilidades de la gerencia y otro personal en la ejecución de
controles
139

• Las expectativas de la organización para comunicar hacia arriba, hacia abajo, y a
través de la entidad, todas las cuestiones de importancia en relación con el control
interno, incluyendo los casos de debilidad, deterioro o incumplimiento
La organización establece e implementa políticas y procedimientos que facilitan la
comunicación interna eficaz. Esto incluye la comunicación específica y dirigida que se ocupa
de las distintas autoridades y responsabilidades individuales, así como las normas de
conducta a través de la entidad. La alta gerencia comunica los objetivos de la entidad
claramente a través de la organización para que la gerencia y otro personal, incluidos los que
no son empleados tales como contratistas, entiendan sus roles individuales en la
organización. Esta comunicación se produce independientemente de la ubicación del
personal, su nivel de autoridad o su responsabilidad funcional. La comunicación interna se
inicia con la comunicación de los objetivos especificados. En la medida que la gerencia baja
en cascada la comunicación de los objetivos específicos de la entidad en toda la
organización, es importante que los sub-objetivos relacionados o los requerimientos
específicos se comuniquen al personal de manera tal que les permita comprender cómo sus
roles y responsabilidades impactan el logro de objetivos de la entidad.
Todo el personal también recibe un mensaje claro de la alta gerencia que sus responsabili-
dades de control interno deben ser tomadas en serio. A través de la comunicación de los
objetivos y sub-objetivos, el personal comprende cómo sus funciones, responsabilidades y
acciones se relacionan con el trabajo de otros en la organización, cuáles son las re-
sponsabilidades que tienen de control interno, y que se considera comportamiento aceptable
e inaceptable. Tal como se discutió en Ambiente de Control, mediante el establecimiento de
estructuras, autoridades y responsabilidades apropiadas, se efectúa la comunicación con el
personal de las expectativas para el control interno. Sin embargo, la comunicación acerca de
las responsabilidades de control interno no podrá, por si misma, ser suficiente para asegurar
que la gerencia y otro personal acepte su responsabilidad y responda como se pretende. A
menudo, la gerencia debe tomar las medidas oportunas que sean consistentes con la comu-
nicación para reforzar los mensajes transmitidos.
La gerencia selecciona, desarrolla e implementa controles que ayudan a asegurar que la
información se comparte a través de la comunicación interna, y ayuda a la gerencia y otro
personal a realizar las responsabilidades de control a través de múltiples funciones, unidades
operativas o divisiones. Por ejemplo:
• El personal de servicio de campo en el departamento de ventas de una entidad reúne
información sobre las tasas de defectos en ciertas partes. Esta información también es
útil para los directores de fabricación y de ingeniería, ya que puede indicar la calidad
de la producción o un problema de diseño de producto. Además, los resultados de las
actividades de seguimiento se comunican al resto del personal para ayudar a
identificar la causa raíz de un problema y tomar medidas correctivas.
• El departamento de auditoría interna realiza una auditoría sobre las comités pagadas
a los distribuidores en una ubicación internacional. La auditoría revela casos de
informes fraudulentos de las ventas a través de determinados distribuidores. Más
investigación expone los pagos hechos por el distribuidor al representante de ventas
140

responsable de los distribuidores vinculados. Esta información es compartida con los
responsables de responder a un posible fraude y con la gerencia de ventas en otros
destinos internacionales, lo que les permite analizar la información de manera más
crítica para determinar si el problema es más generalizado y tomar las acciones
necesarias.
Comunicación del Control Interno con el Consejo
La comunicación entre la gerencia y el Consejo proporciona al Consejo la información

necesaria para ejercer sus funciones de vigilancia del control interno. La información
relacionada con el control interno comunicada al Consejo, incluye asuntos importantes
acerca del cumplimiento del sistema de control interno, cambios en tal sistema, o problemas
originados allí. La frecuencia y el nivel de detalle de la comunicación entre la gerencia y el
Consejo debe ser suficiente para que el Consejo comprenda los resultados de las
evaluaciones individuales y continuas de la gerencia, y el impacto de los resultados en el
logro de los objetivos. Además, la frecuencia y el nivel de detalle que debe ser suficiente para
que el Consejo responda a las indicaciones de un control interno ineficaz en tiempo y forma.
La comunicación directa con el Consejo por otro personal también es importante. Los miem-
bros del Consejo deben tener acceso directo a los empleados sin interferencia de la gerencia.
Por ejemplo, algunas organizaciones animan a los miembros del Consejo a reunirse con la
gerencia y el personal sin la presencia de la alta gerencia. Esto permite que los miembros del
Consejo hagan preguntas de forma independiente y evalúen cuestiones importantes que los
empleados no se sienten cómodos compartiendo de otra manera, tales como la adhesión al
código de conducta, la competencia del personal, o la posibilidad que la gerencia eluda los
controles. Además, el sistema general de control interno se ve reforzado por el departamento
de auditoría interna que es independiente de la gerencia. La comunicación de auditoría inter-
na con el Consejo, generalmente, es directa, libre de sesgo de la gerencia, y si es apropiado,
confidencial.
Comunicación Más Allá de los Canales Normales
Para que la información fluya hacia arriba, hacia abajo y a través de la organización, deben
haber canales abiertos de comunicación y una clara disposición para informar y escuchar. La
gerencia y otro personal deben creer que sus supervisores realmente quieren saber acerca de
los problemas y que se ocuparán de ellos según sea necesario. En la mayoría de los casos,
las líneas de subordinación normales establecidas en una entidad son canales de comuni-
cación adecuados. Sin embargo, el personal reconoce rápidamente las señales si la gerencia
no tiene el tiempo, el interés o los recursos para abordar los problemas que han descubierto.
Para agravar el problema, un gerente poco receptivo o no disponible suele ser el último en
enterarse que el canal de comunicación normal es inoperante o ineficaz.
141

En algunos casos, se necesitan líneas de comunicación independientes para establecer un
mecanismo seguro de comunicación anónima o confidencial cuando los canales normales
son inoperantes o ineficaces. Muchas entidades ofrecen y comunican a los empleados sobre
la disponibilidad de un canal para que el Consejo o un delegado del Consejo, tal como un
miembro del comité de auditoría, reciba este tipo de comunicaciones. En algunos casos, las
leyes y los reglamentos exigen que las empresas establezcan esos canales alternativos de
comunicación (por ejemplo, líneas directas de ética y denuncias). Los sistemas de
información deben incluir mecanismos para la denuncia anónima o confidencial. Los
empleados deben entender completamente el funcionamiento de estos canales, la forma en
que se deben utilizar, y cómo serán protegidos para tener la confianza necesaria en
utilizarlos. Existen políticas y procedimientos requiriendo que toda comunicación a través de
estos canales sea evaluada, priorizada e investigada. Los procedimientos de escalamiento
garantizan que se hará la comunicación necesaria a un miembro específico del Consejo,
encargado de garantizar que se llevan a cabo las evaluaciones, investigaciones y acciones,
oportunas y adecuadas.
Estos mecanismos independientes, que animan a los empleados a denunciar presuntas
violaciones del código de conducta de la entidad sin temor a represalias, envían un mensaje
claro de que la alta gerencia se ha comprometido a abrir canales de comunicación y actuará
según la información que en ellos se reporta.
Método de Comunicación
Tanto la claridad como la eficacia de la información que se comunica son importantes para
garantizar que se los mensajes se reciben de la forma prevista. Las formas activas de
comunicación, como las reuniones cara a cara, son a menudo más eficaces que las formas
pasivas, tales como correos electrónicos y mensajes de difusión por la intranet. La
evaluación periódica de la eficacia de la comunicación ayuda a asegurar que los métodos
funcionan. Esto se puede hacer a través de una variedad de procesos existentes, tales como
las evaluaciones de desempeño del empleado, la revisión anual de la gerencia y otros
programas de retroalimentación.
La gerencia selecciona el método de comunicación, considerando la audiencia, la naturaleza
de la comunicación, la oportunidad, el costo y los requerimientos legales o regulatorios. La
comunicación puede adoptar la forma de:
• Cuadros de mando
• Mensajes de correo electrónico
• Adiestramiento en vivo o en línea
• Memorandos
• Debates individuales
142

• Evaluaciones de desempeño
• Políticas y procedimientos
• Presentaciones
• Publicaciones en medios sociales
• Mensajes de texto
• Webcasts y otras formas de vídeo
• Sitio web o publicaciones en sitio de colaboración
Al elegir un método de comunicación, la gerencia considera lo siguiente:

• Cuando se transmiten mensajes por vía oral, ya sea a grupos grandes, en pequeñas
reuniones o sesiones individuales, el tono de voz y las señales no verbales de la
persona enfatizan lo que se dice y mejoran la comprensión y la oportunidad para que
los destinatarios respondan a la comunicación.
• Las diferencias culturales, étnicas y generacionales pueden afectar la forma en que se
reciben los mensajes, y deben ser factores considerados en el método de
comunicación para apoyar una variedad de audiencias (por ejemplo, mediante la
traducción de los mensajes en varios idiomas, la celebración de reuniones individuales
que respetan la intimidad en ciertos asuntos, y el uso de los medios de comunicación
basados en la tecnología).
• Las comunicaciones directamente pertinentes a la eficacia del control interno pueden
requerir un método que permite su retención a largo plazo. En algunos casos, el
reconocimiento del empleado y su comprensión de ciertas políticas deberían retenerse
(por ejemplo, el código de conducta, contra el lavado de dinero y seguridad de la
empresa).
• Las comunicaciones sensibles al tiempo entregadas a través de métodos informales,
tales como correo electrónico, mensajes de texto y mensajes de redes sociales puede
ser suficiente y más rentable, sobre todo cuando la confidencialidad o la retención no
es necesaria.
• La gerencia el y personal que se comunica únicamente a través de medios formales
(por ejemplo, notas oficiales de la oficina) pueden no llegar a su público objetivo y
pueden no recibir comunicaciones de retorno de aquellos que están más
acostumbrados al uso de medios de comunicación informales (por ejemplo, correo
electrónico, mensajes de texto, o anuncios de medios de comunicación social).
La comunicación de información relativa a las responsabilidades de control interno por sí
143

sola, puede no ser suficiente para asegurar que la gerencia y otro personal reciba y responda
como se espera. Las acciones coherentes y oportunas adoptadas por la gerencia en
combinación con la comunicación refuerzan los mensajes transmitidos.
144

Se Comunica Externamente
Principio 15: La organización se comunica con partes externas sobre

asuntos que afectan el funcionamiento del control interno.
Puntos de Enfoque
este principio:
• Se Comunica a las Partes Externas: Se han establecido procedimientos para

comunicar información pertinente y oportuna a las partes externas incluyendo
accionistas, socios, propietarios, reguladores, clientes, analistas financieros y otras
partes externas.
• Permite Comunicaciones Entrantes: Los canales de comunicación abiertos permiten la
entrada de información proveniente de clientes, consumidores, proveedores, auditores
externos, reguladores, analistas financieros y otros, proporcionando a la gerencia y al
Consejo información pertinente.
• Se Comunica con el Consejo: La información relevante como resultado de las
evaluaciones llevadas a cabo por el personal externo se comunica al Consejo.
• Proporciona Líneas independientes de Comunicación: Los canales de comunicación
independientes, tales como líneas directas para denuncias, están colocados y sirven
como mecanismos a prueba de fallas para permitir la comunicación anónima o
confidencial cuando los canales normales son inoperantes o ineficaces.
• Selecciona el Método de Comunicación Relevante: El método de comunicación
considera la oportunidad, la audiencia y la naturaleza de la comunicación, así como
las necesidades y expectativas legales, regulatorias y fiduciarias.
Comunicación Externa
La comunicación se produce dentro de la entidad, y también con los que están fuera de ella.
Con canales de comunicación externos abiertos se puede proporcionar información
importante sobre los objetivos de la entidad a los accionistas u otros propietarios, socios
145

comerciales, clientes, reguladores, analistas financieros, entidades gubernamentales y otras
partes externas. La comunicación saliente debe ser claramente distinguida de los informes
externos analizados en el Capítulo 2 Objetivos, Componentes y Principios.
La organización desarrolla e implementa controles que facilitan la comunicación externa.
Estos pueden incluir políticas y procedimientos para obtener o recibir información de las
partes externas y para compartir esa información internamente, permitiendo que la gerencia y
otro personal identifique tendencias, eventos o circunstancias que pueden afectar el logro de
los objetivos. Por ejemplo, las quejas o preguntas de clientes o proveedores sobre envíos,
recibos, facturas u otras actividades inusuales pueden indicar problemas operativos,
actividades fraudulentas o errores.
Comunicación Saliente
La comunicación a las partes externas permite que comprendan fácilmente los eventos,
actividades, u otras circunstancias que puedan afectar la forma en que interactúan con la
entidad. La comunicación de la gerencia a las partes externas envía un mensaje acerca de la
importancia del control interno de la organización mediante la demostración de las líneas de
comunicación abiertas. La comunicación a los proveedores externos y clientes apoya la
capacidad de la entidad para mantener un ambiente de control adecuado. Los proveedores y
clientes deben comprender plenamente los valores y culturas de la entidad. Se les informa
del código de conducta de la entidad y reconocen sus responsabilidades para ayudar a
garantizar el cumplimiento del código de conducta. Por ejemplo, la gerencia comunica los
controles relativos a las relaciones comerciales con los proveedores para la aprobación de un
nuevo proveedor y requiere que el proveedor reconozca su adhesión antes de aprobar una
orden de compra inicial con ese proveedor.
Las herramientas tecnológicas y de comunicación permiten que las partes externas tengan
acceso a foros públicos para publicar y hablar de los negocios, las actividades y los controles
de la entidad. Cuando una organización usa o autoriza a sus empleados a utilizar los foros
públicos, tales como las redes sociales y herramientas de comunicación sin restricciones
similares, la gerencia desarrolla e implementa controles que orientan las expectativas sobre
su uso adecuado para evitar poner en peligro los objetivos de la entidad.
Comunicación Entrante para la Gerencia y el Consejo
Las comunicaciones de partes externas también pueden proporcionar información importante

sobre el funcionamiento del sistema de control interno de la entidad. Estas pueden incluir:
• Una evaluación individual de los controles internos en un proveedor de servicios
subcontratado relacionados con los objetivos de la organización
146

• La evaluación de un auditor independiente del control interno sobre la información
financiera y no financiera de la entidad
• Comentarios de los clientes en relación con la calidad del producto, cobros indebidos,
ingresos perdidos o erróneos
• Nuevas o modificaciones a leyes, normas, reglamentos y otros requerimientos de
organismos normativos
• Resultados de revisiones del cumplimiento normativo, tales como banca, valores o
autoridades fiscales
• Preguntas de proveedores relacionadas con pagos a tiempo o faltantes
• Publicaciones en sitios web patrocinados por organizaciones, o apoyados por medios
sociales o herramientas de comunicación
La información resultante de las evaluaciones externas sobre las actividades de la

organización que se relacionan con asuntos de control interno son evaluadas por la gerencia,
y si es apropiado, comunicadas al Consejo. Por ejemplo, la gerencia ha llegado a un acuerdo
que permite a la organización utilizar periódicamente los servicios de tecnología gestionados
externamente para realizar el procesamiento de transacciones en lugar de contratar personal
y comprar e implementar hardware y software interno adicional. La organización utiliza los
datos confidenciales de clientes en ciertos procesos. Para mantener el cumplimiento con las
políticas de la entidad y las leyes, regulaciones y normas externas, una tercera parte realiza
una evaluación del control interno sobre la seguridad y privacidad de los datos transmitidos
externamente (incluyendo los datos transmitidos a través de Internet). Los resultados de la
evaluación revelan debilidades en el control interno que podrían afectar la seguridad y
privacidad de los datos. La gerencia evalúa la importancia de las debilidades e informa al
Consejo para permitirle realizar sus responsabilidades de vigilancia.
La interdependencia de los procesos de negocio entre la entidad y los proveedores de
servicios subcontratados puede confundir las líneas de responsabilidad entre el sistema de
control interno de la entidad y el sistema de control interno de los proveedores de servicios
subcontratados. Esto crea la necesidad de controles más rigurosos sobre la comunicación
entre las partes. Por ejemplo, la gestión de la cadena de suministro de una empresa
minorista mundial se produce a través de un intercambio dinámico e interactivo de
actividades entre la empresa, proveedores, proveedores de logística y fabricantes por
contrato. El control interno sobre los procesos de extremo a extremo se convierte en una
responsabilidad compartida, pero puede haber incertidumbre sobre qué entidad es
responsable en una etapa particular del proceso. La comunicación con los proveedores de
servicios subcontratados responsables de las actividades de apoyo a los objetivos de la
entidad puede facilitar el proceso de evaluación del riesgo, la supervisión de las actividades
empresariales, la toma de decisiones, así como la identificación de la responsabilidad por el
control interno en todo el proceso, independientemente de donde se produzcan las
actividades.
147

Comunicación Más Allá de los Canales Normales
La complejidad de las relaciones comerciales entre la entidad y las partes externas puede
surgir a través de proveedores de servicios y otros acuerdos de subcontratación, las
empresas conjuntas y alianzas, y otras transacciones que crean dependencias mutuas entre
las partes. Esta complejidad puede crear preocupaciones sobre cómo se realizan los
negocios entre las partes. En este caso, la organización crea canales separados de
comunicación a disposición de los clientes, proveedores y proveedores de servicios
subcontratados para que puedan comunicarse directamente con la gerencia y otro personal.
Por ejemplo, un cliente para productos desarrollados a través de una empresa conjunta
puede saber que uno de los socios de la empresa vendió productos en un país fuera de los
acuerdos del marco suscrito con la empresa conjunta. Tal incumplimiento puede afectar la
capacidad de los clientes para usar o vender los productos, lo que afecta el negocio del
cliente. El cliente necesita un canal por donde pueda comunicar sus preocupaciones a otros
en la organización sin interrumpir sus operaciones continuas.
Método de Comunicación
El medio por el cual la gerencia se comunica externamente afecta la capacidad de obtener la

información necesaria, así como para garantizar que recibe y comprende los mensajes clave
sobre la organización. La gerencia considera el método de comunicación utilizado, que
puede tomar muchas formas, considerando la audiencia, la naturaleza de la comunicación, la
puntualidad, y todos los requerimientos legales o regulatorios. Por ejemplo, los clientes que
acceden regularmente a información sobre la entidad a través de un portal de clientes
pueden recibir mensajes a través de publicaciones en la web corporativa.
Los comunicados de prensa emitidos por inversionistas o canales de relaciones públicas
suelen ser eficaces para llegar a una amplia audiencia de las partes externas, lo que
garantiza una amplia distribución y aumenta la probabilidad de que se reciba la información.
Los blogs, redes sociales, carteleras electrónicas y correo electrónico también son formas
comunes de comunicación externa, ya que pueden adaptarse y dirigirse a una parte
específica, ayudan a controlar la información obtenida por agentes externos, y apoyan las
expectativas de que la información puede enviarse y recibirse rápidamente con un mayor uso
de dispositivos de comunicación móviles.
148

9. Actividades de Supervisión

Las evaluaciones continuas, evaluaciones individuales, o alguna combinación de ambas se
utilizan para confirmar si cada uno de los cinco componentes de control interno, incluyendo
los controles que efectúan los principios dentro de cada componente, están presentes y en
funcionamiento. Las evaluaciones continuas incorporadas a los procesos del negocio en
diferentes niveles de la entidad, proporcionan información oportuna. Las evaluaciones
individuales conducidas periódicamente, variarán en su alcance y frecuencia dependiendo de
la evaluación del riesgo, la eficacia de las evaluaciones continuas y otras consideraciones de
la gerencia. Los hallazgos son evaluados contra criterios establecidos por reguladores,
organismos normativos, la gerencia o el Consejo, y las deficiencias se comunican a la
gerencia y al Consejo, según el caso.
Principios relacionados al componente Actividades de Supervisión
16. La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o in-
dependientes para determinar si los componentes del control interno están
presentes y en funcionamiento.
17. La organización evalúa y comunica las deficiencias de control interno, de manera
oportuna, a las partes responsables de tomar acciones correctivas, incluyendo la alta
gerencia y el Consejo, según sea el caso.
149

automáticamente como actividades de seguimiento, y puede ser una cuestión de juicio si una
opinión es clasificada como una actividad de control o como una actividad de supervisión.
Por ejemplo, la intención de una actividad de control de integridad mensual sería para
detectar y corregir errores, donde una actividad de supervisión preguntaría por qué se han
producido errores y asignaría responsabilidad a la gerencia para corregir el proceso y así
evitar errores en el futuro. En términos simples, una actividad de control responde a un riesgo
específico, mientras que una actividad de supervisión evalúa si los controles dentro de cada
uno de los cinco componentes del control interno están funcionando según lo previsto.
Los siguientes ejemplos ilustran la relación entre las actividades de control y las actividades
de supervisión de la reconciliación por pagar.
Actividades de Control Actividades de Supervisión
• El empleado de cuentas por pagar (CP) en la • La gerencia, independiente de los implicados

División A reconcilia las cuentas por pagar en en realizar la actividad de control:
el libro auxiliar de la División A con el libro
mayor de forma periódica. Las partidas de • Inspecciona documentación que
reconciliación son investigadas y resueltas de soporta que las reconciliaciones
manera oportuna. fueron realizadas en todas las
divisiones o subsidiarias.
• Examina tendencias identificables en

el volumen y / o la naturaleza de las
partidas de reconciliación
mencionadas.
• La gerencia evalúa si las fuentes y la calidad

de la información utilizada para la
reconciliación de las cuentas por pagar son las
adecuadas.
• La gerencia evalúa si nuevos riesgos

relacionados con cambios en los factores
internos y externos, se identifican evalúan y
abordan en la reconciliación de las cuentas
por pagar.
• El supervisor de CP revisa y aprueba • Semestralmente, la gerencia evalúa si los

periódicamente la reconciliación de las supervisores que realizan la revisión y
cuentas por pagar en el libro auxiliar con el aprobación están adecuadamente capacitados
libro mayor. y bien informados, y si los supervisores se
desempeñan de acuerdo con el diseño del
proceso de CP.
151

152

Conduce Evaluaciones Continuas y/o Individuales
Principio 16: La organización selecciona, desarrolla y lleva a cabo evaluaciones

continuas y / o independientes para determinar si los componentes del
control interno están presentes y en funcionamiento.
Puntos de Enfoque
este principio:
• Considera una Mezcla de Evaluaciones Continuas e Individuales: La gerencia incluye

un balance de evaluaciones continuas e individuales.
• Considera la Tasa de Cambio: La gerencia considera la tasa de cambio en los
procesos comerciales y de negocios para la selección y desarrollo de las evaluaciones
continuas e individuales.
• Establece una Base de Entendimiento: El diseño y el estado actual de un sistema de
control interno se utiliza para establecer una línea de base para las evaluaciones
continuas e individuales.
• Utiliza Personal Bien Informado: Los evaluadores que realizan las evaluaciones
continuas e individuales poseen los conocimientos suficientes para entender lo que
está siendo evaluado.
• Se Integra a los Procesos de Negocios: Las evaluaciones continuas se incorporan a
los procesos de negocio y se adaptan a las condiciones cambiantes.
• Ajusta Alcance y Frecuencia: La gerencia varía el alcance y la frecuencia de las
evaluaciones en función de los riesgos.
• Evalúa Objetivamente: Las evaluaciones individuales se llevan a cabo periódicamente
para proporcionar información objetiva.
Evaluaciones Continuas e Individuales
El seguimiento se puede hacer de dos maneras: a través de evaluaciones continuas o

evaluaciones individuales, o una combinación de las dos. Las evaluaciones continuas son
153

generalmente operaciones de rutinas definidas integradas en los procesos de negocio y real-
izadas en tiempo real, en respuesta a condiciones cambiantes. Las evaluaciones individuales
se llevan a cabo periódicamente por personal objetivo de la gerencia, auditoría interna y/o en-
tidades externas, entre otros. El alcance y la frecuencia de las evaluaciones es una cuestión
de juicio de la gerencia.
Las evaluaciones individuales pueden emplear las mismas técnicas como la supervisión con-
tinua, pero están diseñadas para evaluar los controles periódicamente y no están arraigadas
en las operaciones ordinarias de la entidad. Dado que las evaluaciones individuales se llevan
a cabo periódicamente, a menudo, los problemas se identifican con mayor rapidez en las evalu-
aciones continuas. Muchas entidades con evaluaciones continuas sensatas, también realizan
evaluaciones individuales de los componentes del control interno para reconfirmar las conclu-
siones de las evaluación continuas. Una entidad que percibe una necesidad de evaluaciones
individuales frecuentes puede considerar formas para mejorar las evaluaciones continuas.
La gerencia selecciona, desarrolla y realiza una mezcla de actividades de supervisión, y ge-
neralmente incluye tanto evaluaciones continuas como individuales para determinar si cada
uno de los cinco componentes del control interno está presente y en funcionamiento. Como
parte del seguimiento de los cinco componentes, la gerencia utiliza estas evaluaciones para
determinar si los controles que efectúan los principios a través de la entidad y de sus sub-
unidades han sido seleccionados, desarrollados y desplegados. La decisión de realizar eva-
luaciones continuas e individuales, o alguna combinación de los dos, puede ocurrir en dife-
rentes niveles de la entidad. Para esto se analiza el alcance y la naturaleza de las operaciones
de la entidad, los cambios en los factores internos y externos, así como los riesgos asociados
al desarrollo de las evaluaciones continuas e individuales.
Tasa de Cambio
La gerencia considera la tasa que una entidad, o la industria de la entidad, prevé que
cambiará. Una entidad en una industria que está cambiando rápidamente puede necesitar
evaluaciones individuales más frecuentes y puede reconsiderar la mezcla de las
evaluaciones continuas e individuales durante el período de cambio. Por ejemplo, los bancos
sometidos a reformas regulatorias financieras seleccionan y desarrollan actividades de
supervisión que se anticipan a los cambios y reaccionan al cambiante entorno regulatorio
futuro. Por lo general, una combinación de evaluaciones continuas e individuales validará si
los componentes del control interno se mantienen presentes y en funcionamiento.
Las actividades de supervisión pueden ser utilizadas para apoyar los informes externos
incluyendo afirmaciones de la gerencia sobre el sistema de control interno de la entidad, u
otras formas de informes de cumplimiento. Los requerimientos de informes externos o la
afirmaciones de la gerencia por lo general afectan la combinación de evaluaciones continuas
e individuales, y la manera cómo se seleccionan, desarrollan y realizan.
154

Información de Base
Entender el diseño y el estado actual de un sistema de control interno proporciona

información de referencia útil para el establecimiento de evaluaciones continuas e
individuales. Al utilizar las actividades de supervisión, es necesario tener una comprensión de
cómo la gerencia ha diseñado el sistema de control interno y de cómo los controles en cada
uno de los cinco componentes efectúan los principios. En la medida que la gerencia gana
experiencia con las actividades de supervisión, su comprensión se desarrollará sobre la base
de los resultados de tales actividades. Si una entidad no tiene una comprensión básica en
áreas con riesgos de mayor importancia, es posible que deba realizar una evaluación
individual de las áreas para establecer la línea de base. Cuando el cambio se produce en
cualquiera de los cinco componentes del control interno, la línea de base debe ser evaluada
para asegurarse de que las actividades de supervisión siguen siendo adecuadas o
actualizadas para que estén alineadas con los otros componentes del control interno de la
línea de base.
Evaluaciones Continuas
Las evaluaciones continuas manuales y automatizadas supervisan la presencia y el

funcionamiento de los componentes del control interno en el curso ordinario de la gestión del
negocio. Las evaluaciones continuas generalmente se llevan a cabo por los gerentes
operativos o funcionales de línea, que son competentes y tienen el conocimiento suficiente
para entender lo que se está evaluando, dando una consideración cuidadosa a las
implicaciones de la información que reciben. Al centrarse en las relaciones, inconsistencias u
otras implicaciones relevantes, se plantean cuestiones y seguimiento con el personal que
corresponda para determinar si es necesaria una acción correctiva o de otra naturaleza.
Las entidades con frecuencia utilizan la tecnología para apoyar las evaluaciones continuas.
Las técnicas computarizadas de supervisión continua tienen un alto nivel de objetividad (una
vez programadas y probadas) y permiten la revisión eficaz de grandes volúmenes de datos a
un bajo costo. Estas técnicas, junto con una robusta revisión y análisis de los resultados por
parte de personal experto y responsable, pueden dar lugar a un programa eficiente y eficaz
de evaluaciones continuas.
Los siguientes ejemplos ilustran evaluaciones continuas.
155

________________________________________________________
Una entidad de fabricación de tamaño medio ha puesto en marcha un proceso para realizar
una reunión de producción mensual a la que asistieron el supervisor de producción, el
gerente de inventario y el supervisor de planificación de demanda para revisar los niveles de
producción actuales y modificaciones al producto. El oficial de calidad asiste a esta reunión
de rutina. Como parte de la evaluación continua de los controles en el proceso de
planificación de la producción, el oficial de calidad evalúa la información obtenida en la
reunión para plantear preguntas de sondeo a la gerencia y otro personal para determinar si
se llevan a cabo los análisis y acciones apropiadas, dando seguimiento oportuno e
identificando tendencias inusuales o anomalías que pueden justificar investigaciones
inmediatas. Este oficial también utiliza la información obtenida y analizada durante la reunión
para recomendar modificaciones en las actividades de control relacionadas con el proceso de
planificación de la producción.
________________________________________________________
Las actividades de control integradas al proceso de procura usan software para automatizar
el análisis de todas las transacciones de pago. Una rutina de software integrada al proceso
de pago identifica inmediatamente cualquier transacción inusual en base a parámetros
preestablecidos (por ejemplo, posibles pagos duplicados). El supervisor de cuentas por pagar
investiga a diario las anomalías señaladas, determina las causas raíz, y evalúa y comunica
cualquier deficiencia de control interno a las personas responsables de tomar acciones
correctivas en el proceso de procura.
________________________________________________________
El departamento de recursos humanos ha desarrollado políticas y prácticas que apoyan el
compromiso de la organización para atraer, desarrollar y retener personal competente. Estas
prácticas incluyen el adiestramiento, tutoría, evaluación y otras que fomenten el desarrollo y
la promoción de los puestos gerenciales. Como parte de las políticas y prácticas de recursos
humanos de la entidad, los mentores del personal preparan y presentan semestralmente a
los supervisores de recursos humanos una revisión del desempeño real contra los niveles de
desempeño esperados y las normas de conducta de la persona asignada. El director de
personal asiste a estas presentaciones semestrales como parte de la evaluación continua de
las políticas y prácticas de recursos humanos y proporciona información objetiva y en tiempo
real de parte de supervisores y tutores acerca de la efectividad del proceso de revisión, el
cumplimiento de las leyes laborales, y las recomendaciones para la mejora de procesos
posteriores.
________________________________________________________
Una entidad autoriza a sus empleados de cuentas por pagar para procesar las facturas de
contratistas con un máximo de una variación del 5% de las cantidades especificadas para los
servicios de conformidad con los contratos ejecutados sin buscar la aprobación del
156

supervisor. El gerente de cuentas por pagar supervisa esta actividad de control al final de
cada mes, mediante la revisión de la actividad de desembolso y centrándose concretamente
en dos tendencias: el volumen de los desembolsos en los que hay diferencias respecto de
los contratos, así como la frecuencia con la que un proveedor particular procesa pagos con
variaciones. El gerente de cuentas por pagar investiga cualquier caso con una variación
excesiva o frecuencia o tendencia anormal, tanto desde el punto de vista operacional como
de fraude potencial, y toma medidas para evaluar y resolver las causas fundamentales.
Evaluaciones Individuales
Las evaluaciones individuales, generalmente, no están arraigadas en el negocio, pero

pueden ser útiles para dar una nueva mirada para determinar si cada uno de los cinco com-
ponentes del control interno está presente y en funcionamiento. Estas evaluaciones incluyen
observaciones, preguntas, comentarios y otros exámenes, según el caso, para determinar si
los controles para efectuar principios en toda la entidad y sus sub-unidades están diseñados,
implementados y llevados a cabo. Las evaluaciones individuales de los componentes del con-
trol interno varían en alcance y frecuencia, dependiendo de la importancia de los riesgos, las
respuestas al riesgo, los resultados de las evaluaciones continuas y los impactos esperados
sobre los componentes de control en la gestión de los riesgos. Los riesgos y las respuestas a
los riesgos de mayor prioridad deben ser evaluados, a menudo, en mayor profundidad y/o con
más frecuencia que los riesgos de baja prioridad. Mientras que los riesgos de mayor prioridad
pueden ser evaluados tanto con evaluaciones continuas como con evaluaciones individuales,
la evaluación individual puede proporcionar información sobre los resultados de las evaluaciones
continuas y el número de evaluaciones individuales se puede aumentar según sea necesario.
Una evaluación individual del sistema de control interno en general, o de los componentes
específicos de control interno, puede ser adecuada para una serie de razones: una estrategia
importante o grandes cambios en la gerencia, las adquisiciones o disposiciones, los cambios
en condiciones económicas o políticas, o cambios en las operaciones o métodos de proce-
samiento de información. El alcance de la evaluación se determina dependiendo de cual de
las tres categorías de objetivos se está abordando: operaciones, informes o cumplimiento.
Personal Bien Informado
Las evaluaciones individuales , a menudo , se realizan a través de la f unción de audi-

toría interna, y aun cuando no es un requisito de control interno tener una función de
157

auditoría interna, ésta puede mejorar el alcance, la frecuencia y la objetividad de dichas eval-
uaciones.25 Dado que las evaluaciones individuales se llevan a cabo periódicamente por gerentes,
empleados o revisores externos independientes para proporcionar información con mayor ob-
jetividad, los evaluadores deben estar bien informados sobre las actividades de la entidad, la
forma en que funcionan las actividades de supervisión y entender lo que se está evaluando.
Los procedimientos diseñados para operar de una manera particular, pueden ser modificados
con el tiempo para operar de manera diferente, o tal vez ya no se puedan realizar. A veces,
se establecen nuevos procedimientos, pero son desconocidos para quienes describieron el
proceso y no se incluyen en la documentación disponible. Determinar el funcionamiento real
se puede lograr mediante conversaciones con el personal que realiza o se ve afectado por
los controles, mediante el examen de los registros de desempeño, o por una combinación de
procedimientos.
El evaluador analiza la presencia y el funcionamiento de los componentes de control interno,
y los resultados de las evaluaciones. El análisis se lleva a cabo en el marco de las normas
establecidas por la gerencia para cada componente, con el objetivo final de determinar si el
proceso proporciona un aseguramiento razonable con respecto a los objetivos establecidos.
Enfoques de Evaluación Individual y Objetividad
Hay una variedad de enfoques disponibles para realizar evaluaciones individuales. El

alcance, la naturaleza, la frecuencia y la formalidad de los enfoques varían de acuerdo con la
importancia relativa de las respuestas a los riesgos y sus componentes y los principios de
control interno que se están evaluando. Las evaluaciones individuales pueden incluir:
• Evaluaciones de Auditoría Interna: Los auditores internos son a menudo recursos
objetivos y competentes, ya sea dentro de la empresa o subcontratados, y realizan
evaluaciones individuales como parte de sus tareas ordinarias, o previa solicitud
específica de la alta gerencia o del Consejo. Normalmente, cada año la función de
auditoría interna desarrolla un plan de auditoría interna de proyectos que se
seleccionan sobre la base de un enfoque basado en el riesgo alineado con los
objetivos organizacionales y las prioridades de las partes interesadas. Por ejemplo, las
áreas de revisión pueden incluir el cumplimiento del código de conducta, el diseño del
proceso de evaluación del riesgo, los informes de calidad de los datos y la notificación
de transacciones y controles específicos. Los informes se distribuyen a la alta
gerencia, el Consejo o su comité de auditoría, y otras partes posicionadas para actuar
según las recomendaciones del informe.
25 Algunos organismos externos pueden requerir que una entidad tenga una función de auditoría interna. Por ejemplo, la
Bolsa de Valores de Nueva York requiere que todas las empresas que lista sus valores en la bolsa deben tener una
función de auditoría interna (Manual para Compañías que Cotizan en NYSE 303A07 (d)).
158

• Otras Evaluaciones Objetivas: Para las entidades que carecen de un grupo de
auditoría interna o para aquellas que tienen otras funciones de calidad que llevan a
cabo actividades similares a las de auditoría interna (por ejemplo, un grupo de
cumplimiento de controles), la gerencia puede utilizar otras opiniones objetivas
internas o externas, tales como funcionarios de cumplimiento, especialistas en
operaciones, especialistas en seguridad informática o consultores. Por ejemplo, un
especialista en seguridad de TI de una entidad puede evaluar periódicamente el
cumplimiento de la entidad con las normas de seguridad de información relevantes. 26
• Evaluaciones Cruzadas de Unidad Operativa o Funcional: Una entidad puede utilizar
personal de diferentes unidades operativas o áreas funcionales para evaluar los
componentes del control interno. Por ejemplo, el personal de auditoría de la calidad de
la unidad operativa A puede evaluar periódicamente los controles internos de la
unidad operativa B. Además, la adición de personal de diferentes unidades operativas
o áreas funcionales en las evaluaciones puede mejorar la comunicación entre el
equipo de operación o área funcional.
• Evaluaciones Comparativas / Pares: Algunas entidades comparan o realizan análisis
comparativo de componentes de control interno con los de otras entidades. Estas
comparaciones pueden hacerse directamente con otra entidad o bajo los auspicios de
asociaciones de comercio o industria. Otras entidades pueden ser capaces de
proporcionar información comparativa. Una palabra de precaución: a la hora de
realizar comparaciones, considere que siempre existen diferencias en los objetivos,
hechos y circunstancias.
• Auto-evaluaciones: Las evaluaciones individuales pueden tomar la forma de auto-
evaluaciones (también llamadas auto-revisiones), donde los responsables de una
unidad o función en particular evaluarán la presencia y el funcionamiento de los
componentes del control interno en relación con sus actividades. Por ejemplo, en una
empresa, el primer ejecutivo de la división de productos de alimentos dirige la
evaluación de sus actividades de control interno relacionadas con las normas de
seguridad alimentaria. Ella evalúa personalmente los controles asociados a las
decisiones estratégicas y los objetivos de alto nivel, así como los componentes del
entorno interno, y las personas a cargo de las distintas actividades de operación de la
división evalúan la presencia y el funcionamiento de los componentes relativos a sus
ámbitos de responsabilidad. Debido a que las auto-evaluaciones pueden tener menos
objetividad que otros métodos de evaluación individual, según la persona que realice
la autoevaluación, el evaluador o quienes utilizan el informe, determinarán el peso y el
valor que se coloca en los resultados.
26 Una entidad puede utilizar la norma ISO / IEC 27002. publicada por la Organización Internacional de Normalización
(International Organization for Standardization - ISO) y la Comisión Electrotécnica Internacional (International
Electrotechnical Commission - IEC), que establecen prácticas recomendadas para la gestión de seguridad de la
información para ser usadas por los responsables del diseño, implementación o mantenimiento de sistemas de gestión de
seguridad de la información.
159

Proveedores de Servicios Subcontratados
Las entidades que utilizan proveedores de servicios externos para servicios, tales como alo-
jamiento de terceros, alojamiento de Internet, procesamiento de reclamos de salud, gestión
de plan de jubilación o servicios de préstamo, deben comprender las actividades y controles
asociados a los servicios y cómo el sistema de control interno del proveedor de servicios
subcontratado afecta el sistema de control interno de la entidad.
Las entidades podrán utilizar los siguientes métodos para entender el sistema de control
interno del proveedor de servicios subcontratados:
• El usuario de servicios subcontratados puede realizar sus propias evaluaciones indivi-
duales del sistema de control interno del proveedor de servicios subcontratados relevante
para la entidad. En estas circunstancias la entidad debe incorporar una cláusula en su
contrato con cualquier proveedor de servicio subcontratado para el derecho a auditoría
que permita su propia evaluación individual y acceso para visitar el proveedor.
• La información pertinente, en materia de control interno sobre un proveedor de
servicios subcontratados, se puede alcanzar mediante la revisión de una auditoría o
informe in-dependiente.27 Al revisar dichos informes, las organizaciones consideran el
contenido de las afirmaciones y testimonios para estar satisfechos que los controles
del proveedor de servicios subcontratados interactúan con los controles de la entidad.
y que las pruebas y los resultados de los controles de los proveedores de servicios
subcontratados ofrecen suficiente comodidad a la entidad usuaria. Las entidades tam-
bién consideran el período de tiempo cubierto por una auditoría o informe de examen
independiente, ya que podría no coincidir o proporcionar la cobertura completa que
necesita la entidad. En estas circunstancias, la entidad debe incorporar en su contrato
con cualquier proveedor de servicios subcontratados un requisito de una auditoría o in-
forme de examen independiente.
• Al considerar circunstancias tales como la naturaleza y el alcance de la información
transferida entre las partes y la naturaleza del procesamiento y de los informes que re-
aliza al proveedor de servicios subcontratados, la entidad podría ser capaz de deter-
minar que el control interno sobre el procesamiento proporcionado por el proveedor de
servicios subcontratados es suficiente sin documentación adicional.
27 Ejemplos de afirmaciones para informes financieros externos incluyen un informe de Control de Organización de
Servicios (Service Organization Control - SOC) emitido de conformidad con la Declaración sobre Normas para
Compromisos de Atestación No 16 (SSAE 16 o SOC 1) del AICPA o el informe según la Norma Internacional sobre
Contratos de Aseguramiento 3402 (ISAE 3402).
160

Evalúa y Comunica las Deficiencias
Principio 17: La organización evalúa y comunica las deficiencias de control

interno de manera oportuna a las partes responsables de tomar acciones
correctivas, incluyendo la alta gerencia y el Consejo, según el caso.
Puntos de Enfoque
este principio:
• Evalúa las Resultados: La gerencia y el Consejo, según s e a el caso,

evalúan los resultados de las evaluaciones continuas e individuales.
• Comunica las Deficiencias: Las deficiencias son comunicadas a los responsables
de tomar medidas correctivas y a la alta gerencia y el Consejo, según sea el caso.
• Supervisa Acciones Correctivas: La gerencia hace seguimiento para verificar que las
deficiencias son remediadas oportunamente.
Evaluar Resultados
Al realizar las actividades de supervisión, la organización puede identificar asuntos que

merecen atención. Los que representan un defecto potencial o real en algún aspecto del
sistema de control interno que tiene el potencial de afectar negativamente a la capacidad de
la entidad para lograr sus objetivos se conocen como deficiencias de control interno.
Además, la organización puede identificar oportunidades para mejorar la eficacia del control
interno, o áreas donde los cambios en el actual sistema de control interno pueden
proporcionar una mayor probabilidad de que se alcancen los objetivos de la entidad. Aunque
la identificación y evaluación de oportunidades potenciales no forma parte del sistema de
control interno, la organización generalmente desea capturar todas las oportunidades
identificadas, y comunicar aquellas relevantes para la estrategia o los procesos de fijación de
objetivos.
En los componentes de control interno de una entidad y los principios subyacentes pueden
revelarse deficiencias a partir de una variedad de fuentes:
• Las actividades de supervisión, incluyendo:
161

• Evaluaciones continuas de la entidad, incluidas las actividades de gerencia y la
supervisión diaria de los empleados, que generan puntos de vista de aquellos
que están directamente involucrados en las actividades de la entidad. Estos
conocimientos se obtienen en tiempo real y pueden identificar rápidamente las
deficiencias.
• Evaluaciones individuales realizadas por la gerencia, los auditores internos,
gerentes funcionales, y otro personal, que pueden destacar las áreas que
necesitan ser mejoradas.
• Otros componentes del control interno proporcionan información relativa a la
operación de ese componente.
• Las partes externas, tales como clientes, proveedores, auditores externos y
reguladores, con frecuencia proporcionan información importante acerca de los
componentes de control interno de una entidad.
Comunicando Deficiencias de Control Interno
Los informes sobre deficiencias de control interno dependen de los criterios establecidos por
los reguladores, organismos normativos, y la gerencia y Consejos, según sea el caso. Los
resultados de las evaluaciones continuas e individuales se evalúan según los criterios para
determinar a quién informar y qué se informa. Por otra parte, los criterios establecidos por el
Consejo o la gerencia normalmente se basan en los hechos y circunstancias de la entidad,
así como en las leyes, reglamentos y normas establecidas.
Comunicar las deficiencias de control interno a las partes apropiadas para tomar acciones
correctivas es fundamental para que las entidades alcancen sus objetivos. Además, el
alcance y el enfoque de las evaluaciones, así como las deficiencias de control interno, deben
ser comunicadas a quienes realicen la evaluación global de la eficacia del control interno.
La naturaleza de los asuntos a ser comunicados varía en función de cómo se evalúa la
deficiencia de los criterios apropiados, la autoridad de los individuos para abordar las
circunstancias que se presentan y las actividades de vigilancia de los altos ejecutivos. Las
deficiencias pueden ser reportadas a la alta gerencia y al Consejo en función de los criterios
de notificación establecidos por los reguladores, organismos normativos o la entidad, según
el caso. Las deficiencias de control interno generalmente se reportan, tanto a los
responsables de tomar acciones correctivas, como a la gerencia que se encuentre al menos
un nivel por encima de esa persona.
Este mayor nivel de gerencia proporciona apoyo necesario o la vigilancia de la adopción de
las medidas correctivas, y está posicionada para comunicarse con otras personas en la
entidad cuyas actividades puedan verse afectadas. Cuando los hallazgos trascienden las
fronteras organizacionales, se presentan las deficiencias a todas las partes interesadas
pertinentes y a un nivel suficientemente alto para impulsar las medidas adecuadas. Por
162

ejemplo, las deficiencias relativas a que un miembro del Consejo o sub-comité no haya ac-
tuado de forma independiente en la medida requerida, o cuando el Consejo no proporciona
suficiente vigilancia, se informan según lo prescrito por los protocolos de informes de la enti-
dad al Consejo en pleno, al presidente del Consejo, al director principal y/o al comité de no-
minación/gobernabilidad, u otros comités del Consejo que correspondan.
Al considerar lo que necesita ser comunicado, se deben considerar las implicaciones de los
hallazgos y las directrices de informes de la entidad. Es esencial que se informe no sólo una
transacción o evento en particular, sino también los procedimientos relacionados defectuosos
a ser revaluados. Deben existir canales de comunicación alternativos para la comunicación
de información sensible, como un hecho ilícito o inadecuado. Además, es posible que las
deficiencias se deban informar externamente según el tipo de entidad y la reglamentación, la
industria u otros requerimientos de cumplimiento a los que está sujeta.
Supervisando Acciones Correctivas
Después de evaluar las deficiencias de control interno y comunicarlas a las partes

responsables por tomar acciones correctivas, la gerencia hace seguimiento para determinar
si los esfuerzos de remediación se llevan a cabo en el momento oportuno. Los responsables
de tomar acciones correctivas son diferentes a los que realizan las actividades de
supervisión. La organización ejerce juicio para determinar qué deficiencias han sido
remediadas y tal juicio debe ser aplicado por aquellos responsables por la selección,
desarrollo e implementación de los controles que efectúan los principios.
Como es el caso de la comunicación inicial de las deficiencias de control interno, las

deficiencias que no son remediadas a tiempo suelen ser comunicadas a por lo menos un
nivel de gerencia por encima de la parte responsable de adoptar las medidas correctivas.
Además, la gerencia puede necesitar volver a la selección y el despliegue de las actividades
de supervisión, incluyendo una combinación de evaluaciones continuas e individuales, hasta
que las acciones correctivas hayan remediado las deficiencias de control interno.
163

164

10. Limitaciones del Control Interno
El control interno, no importa que tan bien se diseñe, implemente y realice, solo puede
proporcionar aseguramiento razonable a la gerencia y al Consejo del logro de los objetivos
de una entidad. La posibilidad del logro es afectada por las limitaciones inherentes a todos
los sistemas de control interno. Estas incluyen las realidades de que el juicio humano para la
toma de decisiones puede tener fallas, que pueden surgir eventos externos ajenos al control
de la organización, y que pueden ocurrir averías debido a fallas humanas tales como cometer
errores. Además, los controles pueden ser eludidos por dos o más personas actuando en
colusión, y porque la gerencia puede anular el sistema de control interno.
El control interno ha sido visto por algunos observadores como un sistema que asegura que
la entidad no fallará, es decir, la entidad siempre alcanzará sus objetivos de operaciones, informes
y cumplimiento. En este sentido, el control interno, a veces, es visto como una panacea para
todos los males empresariales reales y potenciales. Este punto de vista es erróneo. El control
interno no es una panacea.
Al considerar las limitaciones del control interno, hay que reconocer dos conceptos distintos.
La primera serie de limitaciones reconoce que ciertos eventos o condiciones simplemente
están fuera del control de la gerencia. La segunda reconoce que ningún sistema de control
interno hará siempre lo que está diseñado para hacer. Lo mejor que se puede esperar en
cualquier sistema de control interno es que se obtenga un aseguramiento razonable, que es
el foco de este capítulo. Además, el control interno no puede proporcionar aseguramiento
absoluto para ninguna de las categorías de objetivos.
El aseguramiento razonable no implica que los sistemas de control interno, con frecuencia,
fallarán. Hay muchos factores que, individual y colectivamente, sirven para reforzar el concepto de
aseguramiento razonable. Los controles que admiten varios objetivos o que efectúan varios
principios dentro, o a través, de componentes, reducen el riesgo de que una entidad no logre
sus objetivos. Por otra parte, las actividades y responsabilidades de operación cotidianas de
las personas que funcionan en diferentes niveles de la organización están dirigidas a alcanzar
los objetivos de la entidad. De hecho, es probable que estas actividades informen a la geren-
cia sobre el proceso que se sigue hacia los objetivos de operaciones de la entidad, y apoyen
el logro de los objetivos de cumplimiento e informes. Sin embargo, debido a las limitaciones
inherentes discutidas aquí, no hay garantía de que nunca ocurrirá, por ejemplo, un evento in-
controlable, un error o un incidente inadecuado. En otras palabras, incluso un sistema eficaz
de control interno puede experimentar fracasos. El aseguramiento razonable no es un asegu-
ramiento absoluto.
A pesar de estas limitaciones inherentes, la gerencia debe estar consciente de ellas en la
selección, desarrollo e implementación de controles que pueden, en la medida de lo posible,
minimizarlas.
165

Requerimientos Previos de Control Interno
El Marco especifica varias áreas que forman parte del proceso de gerencia, pero que no forman
parte del control interno. Entre ellas están las áreas que se relacionan con el proceso de
gobernabilidad que amplía el papel del Consejo más allá del control interno y la que establece
que los objetivos son requerimientos previos al control interno. Hay una dependencia establecida
en estas áreas, entre otras, para que también sea eficaz. Por ejemplo, los procesos de
gobernabilidad débiles de la entidad para la selección, desarrollo y evaluación de los miembros
del Consejo pueden limitar su capacidad de proporcionar una vigilancia adecuada del control
interno. Del mismo modo, los procesos ineficaces para la fijación de estrategia o el
establecimiento de objetivos, podrían desafiar la capacidad de la entidad para identificar
objetivos mal especificados, poco realistas o inadecuados. Un sistema de control interno no
puede abarcar todas las actividades realizadas por la entidad, y las deficiencias en estas áreas
pueden impedir que la organización tenga un control interno eficaz.
Juicio
La eficacia del control interno está limitada por las realidades de la fragilidad humana en la
toma de decisiones empresariales. Tales decisiones deben ser tomadas con juicio humano
en el tiempo disponible, basado en la información a la mano, sujeto a sesgos de gerencia y
bajo las presiones de conducir el negocio. Algunas decisiones basadas en el juicio humano
pueden más tarde, con la claridad de la retrospectiva, encontrarse que producen resultados
menos que deseables, y pueden ser necesario cambiarlas.
Eventos Externos
El control interno, incluso el control interno eficaz, opera en diferentes niveles para diferentes
objetivos. Para los objetivos relativos a la eficacia de las operaciones de la entidad, tales
como el logro de su misión, propuestas de valor (por ejemplo, la productividad, la calidad y el
servicio al cliente, los objetivos de rentabilidad y similares), el control interno no puede
proporcionar un aseguramiento razonable del logro cuando hay acontecimientos externos
que pueden tener un impacto significativo en el logro de los objetivos, y tal impacto no puede
ser mitigado a un nivel aceptable. En estas situaciones, el control interno sólo puede
proporcionar un aseguramiento razonable de que la organización está consciente del
progreso de la entidad, o su falta de progreso, hacia el logro de esos objetivos.
166

Averías
Un sistema de control interno bien diseñado se puede averiar. El personal puede entender
mal las instrucciones, cometer errores de juicio, o cometer errores por descuido, distracción,
o porque se les pide centrarse en demasiadas tareas. Por ejemplo, un supervisor del
departamento responsable de investigar las excepciones puede simplemente olvidar o dejar
de perseguir una investigación lo suficiente como para ser capaz de hacer las correcciones
pertinentes. El personal temporal que ejecuta controles por vacaciones o enfermedad de los
empleados pueden no realizarlos correctamente. Los cambios en los controles de aplicación
de tecnología de información pueden ser implementados antes que el personal haya sido
entrenado para reconocer los indicadores de que algo puede no estar funcionando como se
diseñó.
Una entidad con un sistema eficaz de control interno puede tener un gerente que esté dispuesto
y es capaz de anular el control interno. El término "anulación por la gerencia" se usa aquí con
el significado de que se invalidan las políticas o procedimientos establecidos, para fines
ilegítimos, con la intención de obtener beneficios personales o una presentación mejorada del
desempeño o cumplimiento de una entidad. Un gerente de una división o unidad operativa, o
un miembro de la alta gerencia, puede anular el control por muchas razones, tales como:
• Aumentar ingresos reportados para cubrir una disminución inesperada en la cuota de
mercado
• Mejorar ganancias reportadas para cubrir presupuestos poco realistas
• Aumentar el valor de mercado de la entidad antes de su oferta pública o venta
• Cumplir las proyecciones de ventas o ganancias para reforzar los pagos de bonos
atados al desempeño
• Cubrir violaciones de obligaciones asumidas con acreedores
• Ocultar la falta de cumplimiento de requerimientos legales
Las prácticas de anulación incluyen hacer, deliberadamente, declaraciones falsas a banqueros,

abogados, contadores y proveedores, así como la emisión intencional de documentos falsos
tales como órdenes de compra y facturas de venta.
La anulación por la gerencia no debe confundirse con la intervención de la gerencia, que
167

representa acciones de la gerencia para apartarse de los controles establecidos para fines
legítimos. La intervención de la gerencia es necesaria para abordar transacciones o eventos
no recurrentes y anormales que de otra manera podrían ser manejados inadecuadamente.
La disposición para la intervención de la gerencia es necesaria ya que ningún proceso puede
ser diseñado para anticipar todos los riesgos y todas las condiciones. Las acciones de la
gerencia para intervenir son generalmente abiertas y sujetas a las políticas y procedimientos,
y son divulgadas o reveladas de cualquier otra manera al personal apropiado. Las acciones
para anular los controles usualmente no son documentadas o reveladas, y tienen la intención
de encubrir tales acciones.
Colusión
La colusión puede dar lugar a deficiencias de control interno. Los individuos que actúan colec-
tivamente para perpetrar y ocultar una acción de detección, a menudo, pueden alterar la in-
formación financiera o de otro tipo, de forma tal que no se puede detectar o prevenir mediante
el sistema de control interno. La colusión puede ocurrir, por ejemplo, entre un empleado que
realiza controles y un cliente, proveedor, u otro empleado de ventas y/o gerencia de la unidad
operativa, quienes podrían conspirar para eludir los controles, de manera que los resultados
informados cumplan con los objetivos de presupuestos o incentivos.
168

Apéndices
A. Glosario
• Actividad de Control: Una acción establecida a través de políticas y procedimientos

que ayuda a asegurar que se llevan a cabo las directrices de la gerencia para mitigar
los riesgos para el logro de los objetivos.
• Alta Gerencia: Director ejecutivo o líder de la organización equivalente, y el equipo de
la alta gerencia.
• Anulación por la Gerencia: Omisión de políticas o procedimientos establecidos por
parte de la gerencia, para fines ilegítimos, con el propósito de obtener beneficios
personales o de una mejor presentación de la situación financiera o estado de cumpli-
miento de una entidad.
• Aseguramiento Razonable: Concepto de que el control interno, no importa lo bien
diseñado y operado que esté, no puede garantizar que se cumplirán los objetivos de la
entidad. Esto es debido a las Limitaciones Inherentes en todos los sistemas de control
interno.
• Categoría: Uno de los tres grupos de objetivos de control interno. Las categorías se
relacionan con operaciones, informes y cumplimiento.
• Consejo: Cuerpo de gobernabilidad de una entidad, que puede tomar la forma de un
Consejo o junta de vigilancia de una corporación, consejo de fiduciarios de una orga-
nización sin fines de lucro, junta de gobernadores o comisionados para entidades gu-
bernamentales, socios generales para una asociación, o propietario de una pequeña
empresa.
• Control: (1) Como un sustantivo (es decir, existencia de un control), una política o
procedimiento que es parte del control interno. Existen controles en cada uno de los
cinco componentes. (2) Como verbo (es decir, controlar), establecer o aplicar una
política o procedimiento que efectúa un principio.
• Control de Detección: Un control diseñado para descubrir un evento indeseado o el
resultado después que se ha producido el procesamiento inicial pero antes que el ob-
jetivo final se haya concluido (contrasta con Control Preventivo).
• Control Interno: Un proceso, efectuado por el Consejo, la gerencia y otro personal
de una entidad, diseñado para proporcionar un aseguramiento razonable en cuanto
al logro de los objetivos relacionados con las operaciones, informes y cumplimiento.
• Control Interno Eficaz: Un sistema eficaz de control interno ofrece aseguramiento
razonable de lograr los objetivos de la entidad. Se requiere que cada uno de los cinco
componentes del control interno y los principios relevantes estén presentes y en
169

funcionamiento, y que los cinco componentes del control interno están operando juntos.
• Control Preventivo: Un control diseñado para evitar un evento indeseado o resultado
en el momento de la aparición de la anomalía (contraste con Control de Detección).
• Controles de Aplicación: Procedimientos programados en el software de aplicación y
en los procedimientos manuales relacionados, diseñados para ayudar a garantizar la
integridad y exactitud del procesamiento de información.
• Controles Automáticos: Actividades de control realizadas en su mayoría o en su
totalidad a través de la tecnología (por ejemplo, funciones de control automáticas pro-
gramados en software para computadores; contrasta con Controles Manuales).
• Controles Generales sobre Tecnología: Actividades de control que ayudan a garantizar
la continuidad y el funcionamiento adecuado de la tecnología. Incluyen los controles
sobre la infraestructura tecnológica, la gestión de la seguridad y la procura, desarrollo
y mantenimiento de tecnología. Otros términos que también se usan para describir los
controles generales sobre tecnología son "controles generales sobre computación" y
"controles de tecnología de la información."
• Controles Manuales: Controles que se realizan de forma manual, no a través de la
tecnología (contrasta con Controles Automáticos).
• Controles de Transacción: Actividades de control que apoyan directamente las ac-
ciones para mitigar los riesgos de procesamiento de transacciones en los procesos de
negocio de la entidad. Los controles de transacción pueden ser manuales o automáti-
cos, y es probable que cubran los objetivos de integridad, exactitud y validez de proce-
samiento de información.
• Componente: Uno de los cinco elementos de control interno. Los componentes del
control interno son Ambiente de Control, Evaluación del Riesgo, Actividades de Con-
trol, Información y Comunicación y Actividades de Seguimiento.
• COSO: Comité de Organizaciones Patrocinadoras de la Comisión Treadway. COSO
es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a
proporcionar el liderazgo de pensamiento a través de la creación de marcos y orien-
taciones para la gestión del riesgo empresarial, el control interno y la disuasión del
fraude (ver www.coso.org)
• Cumplimiento: Relacionado con la conformidad con las leyes y reglamen-
tos aplicables a la entidad.
• Deficiencia de Control: Un sinónimo de Deficiencia de Control Interno. Una defi-
ciencia de control también puede describir una deficiencia con respecto a un control
determinado o una actividad de control.
• Deficiencia de Control Interno: Un defecto en un componente o componentes y
principios relevantes que reduce la posibilidad de que la entidad pueda alcanzar sus
objetivos.
170

• Deficiencia Importante: Una deficiencia de control interno o una combinación de defi-
ciencias que reduce considerablemente la posibilidad de que la entidad pueda alcanzar
sus objetivos.
• Diseño: (1) Intención; tal como se utiliza en la definición de control interno, el diseño
del sistema de control interno tiene la intención de proporcionar aseguramiento razona-
ble del logro de los objetivos; cuando realiza la intención, el sistema puede conside-
rarse eficaz. (2) Plan; la forma en que un sistema se supone que funciona, en contraste
con la forma en que realmente funciona.
• Efectuado: Usado con un sistema de control interno: diseñado y mantenido.
• Entidad: Una persona jurídica o modelo operativo de gerencia de cualquier tamaño
establecido para un propósito particular. La persona jurídica puede ser, por ejemplo,
una empresa, una organización sin fines de lucro, organismo gubernamental o institu-
ción académica. El modelo operativo de gerencia puede seguir las líneas de productos
o servicios, división o unidad operativa, donde los mercados geográficos pueden crear
nuevas subdivisiones o agregaciones de desempeño.
• En Toda La Entidad: Actividades que se aplican a través de la entidad: con mayor
frecuencia en relación con los controles en toda la entidad.
• Estados Financieros: Por lo general un estado de situación financiera, estado de
resultados, estado de cambios en el patrimonio neto, el estado de flujo de caja, y las
notas a los estados financieros.
• Integridad: Calidad o estado de ser de principio moral sólido; rectitud, honestidad y
sinceridad, el deseo de hacer lo correcto, a profesar y vivir de acuerdo con un conjunto
de valores y expectativas.
• Intervención de la Gerencia: Omisión de políticas o procedimientos establecidos por
parte de la gerencia, para fines legítimos, cuando maneja transacciones o eventos no
recurrentes o anormales que de otra manera podrían ser manejados inadecuada-
mente.
• Limitaciones Inherentes: Limitaciones de todos los sistemas de control interno. Las
limitaciones se refieren a los requerimientos previos de control interno, los aconte-
cimientos externos que escapan al control de la entidad, los límites del juicio humano,
la realidad de que pueden producirse averías, y la posibilidad de que la gerencia anule
controles y actúe en colusión.
• Nivel de Entidad: Niveles más altos de la entidad, distintos y separados de otras partes
de la entidad, incluyendo subsidiarias, divisiones, unidades operativas y funciones.
• Operando Juntos: Determinación de que los cinco componentes reducen
colectivamente, a un nivel aceptable, el riesgo de no alcanzar un objetivo.
• Operaciones: Se utiliza con "objetivos" o "controles": tienen que ver con la eficacia de
las operaciones de la entidad, incluyendo metas de desempeño y rentabilidad, y
171

la salvaguarda de recursos.
• Organización: Personas, incluyendo el Consejo, alta gerencia y demás personal.
• Partes Interesadas: Partes que son afectadas por la entidad, tales como accionistas,
comunidades en las que opera una entidad, empleados, clientes y proveedores.
• Política: Declaración de la gerencia o del Consejo sobre lo que se debe hacer para
efectuar control. Tales declaraciones pueden ser documentadas, declaradas explícita-
mente en comunicaciones, o implícitas a través de acciones y decisiones. Una política
sirve como la base para los procedimientos.
• Presente y En Funcionamiento: Se aplica a componentes y principios. "Presente" se
refiere a la determinación de que existen componentes y principios pertinentes en el
diseño e implementación del sistema de control interno para lograr los objetivos especifica-
dos. "En Funcionamiento" se refiere a la determinación de que los componentes y los
principios pertinentes siguen existiendo en la ejecución del sistema de control interno
para lograr los objetivos especificados.
• Principio Relevante: Los principios representan conceptos fundamentales relaciona-
dos con los componentes. Puede haber una industria, o situación operativa o regulato-
ria poco frecuente, donde la gerencia ha determinado que un principio no es relevante
para un componente.
• Procedimiento: Una acción que implementa una política.
• Proceso de Gestión: Serie de medidas adoptadas por la gerencia para gestionar una
entidad. Un sistema de control interno es parte de un proceso de gestión integrado.
• Respuesta al Riesgo: Decisión de aceptar, evitar, reducir o compartir los riesgos.
• Riesgo: Posibilidad de que ocurra un evento y afecte negativamente el logro de los
objetivos.
• Riesgo Inherente: Riesgo para el logro de los objetivos en la ausencia de cualquier
medida de la gerencia que podría modificar, ya sea la probabilidad, o el impacto del
riesgo.
• Riesgo Residual: Riesgo para el logro de los objetivos que queda remanente
después que la respuesta de la gerencia ha sido diseñada e implementada.
• Tecnología: Aplicaciones de software que se ejecutan en un computador, sistemas de
control de fabricación, etc.
• Tolerancia al riesgo: Variación aceptable en relación con el desempeño en el logro
de los objetivos.
• Valores Éticos: Valores morales que permiten una toma de decisiones para deter-
minar el curso apropiado de la conducta. Estos valores deben basarse en lo que es co-
rrecto, lo que puede ir más allá de lo legal.
172

B. Roles y Responsabilidades
Introducción
El control interno es realizado por personal interno de la organización, incluyendo el Consejo

u órgano de control equivalente y sus comités, la gerencia y personal, las funciones que
habilitan el negocio y los auditores internos. En conjunto, todos contribuyen a proporcionar un
aseguramiento razonable de que se cumplen los objetivos especificados. Cuando los
proveedores de servicios externos realizan controles en nombre de la entidad, la gerencia
tiene la responsabilidad de los controles.
Una organización puede ver el control interno a través de tres líneas de defensa:
• La gerencia y otro personal en la línea frontal proporcionan la primera línea de
defensa, ya que son responsables de mantener un control interno eficaz día a día.
Ellos son compensados en función del desempeño en relación con todos los objetivos
aplicables.
• Las funciones que habilitan el negocio, tales como riesgo, control, legal y
cumplimiento, proporcionan la segunda línea de defensa, ya que clarifican los
requerimientos de control interno y evalúan el cumplimiento de las normas definidas.
Aun cuando están funcionalmente alineadas con el negocio, su compensación no está
directamente relacionada con el desempeño del área a la que brindan su
asesoramiento experto.
• Los auditores internos proporcionan la tercera línea de defensa, ya que evalúan e
informan sobre el control interno, y recomiendan acciones correctivas o mejoras para
que la gerencia las considere y ponga en práctica. Su posición y compensación son
separados y distintas de las áreas de negocio que ellos revisan.
Partes Responsables
Cada individuo dentro de una entidad tiene un papel en la realización del control interno. Los
roles varían en la responsabilidad y el nivel de participación, como veremos a continuación.
El Consejo y sus Comités
Dependiendo de la jurisdicción y de la naturaleza de la organización, se pueden establecer

diferentes estructuras de gobernabilidad, tales como un Consejo, Consejo de vigilancia,
síndicos y / o socios generales, con comités, según proceda. En el Marco, estas estructuras
173

de gobernabilidad se conocen comúnmente como el Consejo.
El Consejo es responsable de la supervisión del sistema de control interno. Con el poder de
designar o terminar al director ejecutivo, el Consejo tiene un papel clave en la definición de
las expectativas sobre la integridad y los valores éticos, la transparencia y la responsabilidad
por el desempeño del control interno. Los miembros del Consejo son objetivos, capaces e
inquisitivos. Tienen conocimiento práctico de las actividades de la entidad y su entorno, y
dedican el tiempo necesario para cumplir con sus responsabilidades de gobernabilidad.
Ellos utilizan los recursos, según sea necesario, para investigar cualquier problema, y tienen
un canal de comunicación abierto y sin restricciones con todo el personal de la entidad, los
auditores internos, auditores independientes, revisores externos y asesores legales.
Los Consejos suelen realizar ciertas funciones a través de comités, cuyo uso varía en función
de los requerimientos regulatorios y otras consideraciones. Los comités del Consejo podrán
ser utilizados para la supervisión de auditoría, la compensación, las nominaciones y
gobernabilidad, el riesgo y otros temas importantes para la organización. Cada comité puede
aportar énfasis específico a ciertos componentes del control interno. Cuando no se haya
establecido un comité específico, las funciones relacionadas se llevan a cabo por el propio
Consejo.
Los comités a nivel del Consejo pueden incluir los siguientes:
• Comité de Auditoría: Los órganos normativos profesionales y reguladores, a menudo,
requieren el uso de comités de auditoría. La función y el alcance de la autoridad de un
comité de auditoría puede variar dependiendo de la jurisdicción de la organización
reguladora, norma de la industria u otras variables. A veces, es llamado comité de
auditoría y riesgo para enfatizar la importancia de la vigilancia del riesgo. La gerencia
es responsable de la fiabilidad de los estados financieros, pero un comité de auditoría
efectivo juega un papel fundamental en la vigilancia. El Consejo, a menudo, a través
de su comité de auditoría, tiene la autoridad y la responsabilidad de cuestionar a la
alta gerencia sobre cómo están llevando a cabo sus responsabilidades de informes
internos y externos, y para verificar que se toman las medidas correctivas oportunas,
cuando sea necesario.
Como resultado de su independencia, el comité de auditoría junto con una fuerte fun-
ción de auditoría interna, a menudo, está mejor posicionado para identificar y actuar
rápidamente en situaciones en que la alta gerencia anula controles o se desvía de las
normas de conducta esperadas. El comité de auditoría interactúa con los auditores
externos, reuniéndose regularmente para discutir el alcance de los procedimientos de
auditoría planificados y los resultados de los procedimientos de auditoría. Las
reuniones con los auditores externos incluyen sesiones ejecutivas sin la presencia de
la gerencia para proporcionar un foro con un mayor diálogo entre los auditores exter-
nos y los comités de auditoría. Si bien los requerimientos de composición del Consejo
varían, los directores independientes son importantes, ya que pueden proporcionar una
perspectiva objetiva. Por ejemplo, los códigos de gobernabilidad corporativa del Reino
Unido, Alemania y otros países, así como los requerimientos de cotización en la Bolsa
de Valores de Nueva York (NYSE) y NASDAQ, definen el número y los criterios para
174

para que los miembros del comité de auditoría sean independientes de la gerencia y
posean cultura financiera (por ejemplo, al menos un miembro debe poseer experiencia
en contabilidad o gestión financiera).
• Comité de Compensación: Establece la compensación para el director general o
equivalente, y proporciona supervisión de los acuerdos de compensación para motivar
sin proporcionar incentivos que promuevan una indebida asunción de riesgos con el
fin de proteger y promover, en última instancia, el interés de los accionistas y otros
propietarios de la entidad. Este comité supervisa a la alta gerencia en su función de
equilibrar las medidas de desempeño, incentivos y recompensas con las presiones
creadas por los objetivos de la entidad, y ayuda a estructurar prácticas de
compensación para apoyar el logro de los objetivos de la entidad, sin enfatizar
excesivamente los resultados a corto plazo sobre el desempeño a largo plazo.
• Comité de Nominación/Gobernabilidad: Proporciona control sobre la selección de los
candidatos a consejeros y alta gerencia. Este comité evalúa y nombra periódicamente
a los miembros del Consejo, hace recomendaciones sobre la composición, operaciones
y desempeño del Consejo, supervisa el proceso de planificación de la sucesión para el
Director General y otros ejecutivos clave, y desarrolla la disciplina, procesos y estruc-
turas de vigilancia. Promueve orientaciones y adiestramiento a directores, y evalúa las
estructuras y procesos de vigilancia (por ejemplo, las evaluaciones del Consejo/
comité).
• Otros Comités: Otros comités del Consejo que vigilan áreas específicas. Estos comités
a menudo se establecen en grandes organizaciones, o debido a circunstancias
particulares de la entidad. Por ejemplo, en un sector donde el cumplimiento de ciertas
leyes y reglamentos es fundamental para la supervivencia y desarrollo de la
organización, puede ser necesario un comité de cumplimiento a nivel del Consejo. Los
comités de riesgo se forman para centrarse en los cambios en los niveles de riesgo y
los impactos relacionados, y la vigilancia a las respuestas al riesgo. Además de los
comités del Consejo que proporcionan vigilancia, los comités a nivel gerencial a
menudo existen para proporcionar orientación en la ejecución en áreas específicas,
tales como comités de cumplimiento, comités de nuevos productos, entre otros.
Alta Gerencia
Director Ejecutivo
El director ejecutivo (CEO) es responsable ante el Consejo por el diseño, implementación y
realización de un sistema eficaz de control interno. En las entidades de propiedad privada,
sin fines de lucro u otras, el papel equivalente puede tener un título diferente, pero en general
cubre las mismas responsabilidades como se describe a continuación. Más que cualquier
otra persona, el CEO marca la pauta en la parte superior que afecta el ambiente de control y
todos los demás componentes del control interno.
175

Las responsabilidades del director ejecutivo en relación con el control interno son:
• Con el apoyo de la gerencia, proporcionar liderazgo y dirección a la alta gerencia, dar
forma a los valores, las normas, las expectativas de competencia, la estructura organi-
zativa y la responsabilidad que forman las bases del sistema de control interno de la
entidad (por ejemplo, especificando los objetivos y las políticas globales de la entidad)
• Mantener la vigilancia y control sobre los riesgos que enfrenta la entidad (por ejemplo,
dirigir a toda la gerencia y otro personal para identificar de forma proactiva los riesgos
para el sistema de control interno, considerando la creciente velocidad del cambio y la
interacción en red de socios de negocios, proveedores de servicios subcontratados,
clientes, empleados y otras personas, y los factores de riesgo resultantes)
• Orientar el desarrollo y ejecución de las actividades de control a nivel de entidad, y dele-
gar en distintos niveles de la gerencia el diseño, ejecución, realización y evaluación de
los controles internos en los diferentes niveles de la entidad (por ejemplo, los procesos
y controles que se establezcan)
• Comunicar las expectativas (por ejemplo, integridad, competencia, políticas clave) y los
requerimientos de información (por ejemplo, el tipo de planificación y los sistemas de
informes que utilizará la entidad)
• Evaluar las deficiencias de control y el impacto en la eficacia continua y a largo plazo
del sistema de control interno (por ejemplo, reuniones periódicas con los gerentes de
cada una de las unidades operativas, tales como investigación y desarrollo, produc-
ción, mercadeo, ventas, y las funciones más importantes que habilitan los negocios
tales como finanzas, recursos humanos, cumplimiento, gestión del riesgo y legal, para
evaluar cómo se están llevando a cabo sus responsabilidades de control interno)
Otros Miembros de la Alta Gerencia

La alta gerencia no sólo comprende al director general, sino también otros altos ejecutivos
que conducen las unidades operativas y funciones clave que habilitan los negocios. Algunos
ejemplos son:
• Jefe Administrativo
• Director Ejecutivo de Auditoría
• Jefe Oficial de Cumplimiento
• Director Financiero
• Jefe de Información
176

• Director Legal
• Director de Operaciones
• Director de Riesgos
• Otros papeles de liderazgo de alto nivel, según la naturaleza de la empresa
Estas funciones de alta gerencia apoyan el CEO con respecto al control interno, en particular:
• Proporcionan liderazgo y dirección a la gerencia en términos del dar forma a los

valores, las normas, las expectativas de competencia, la estructura organizativa y la
responsabilidad que forman la base del sistema de control interno de la entidad (por
ejemplo, especificando los objetivos y las políticas globales de la entidad)
• Mantienen vigilancia sobre los riesgos que enfrenta la entidad (por ejemplo, dirigiendo
a toda la gerencia y otro personal para identificar de forma proactiva los riesgos para
el sistema de control interno, considerando la creciente velocidad del cambio y la
interacción en red de socios de negocios, proveedores de servicios subcontratados,
clientes, empleados y otras personas, y los factores de riesgo resultantes)
• Orientan el desarrollo y la realización de los controles a nivel de entidad, y delegan en
distintos niveles de la gerencia el diseño, la ejecución, la realización y la evaluación de
los controles internos en los diferentes niveles de la entidad (por ejemplo, los procesos
y controles que se establezcan)
• Comunican las expectativas (por ejemplo, la integridad, la competencia, las políticas
clave) y los requerimientos de información (por ejemplo, el tipo de planificación y los
sistemas de informes que utilizará la entidad)
• Evalúan las deficiencias de control interno y el impacto en la eficacia continua y a
largo plazo del sistema de control interno (por ejemplo, sosteniendo reuniones
periódicas con finanzas, contraloría, gestión del riesgo, tecnología de la información,
recursos humanos y gestión de negocio en cada una de las unidades operativas para
evaluar cómo se están llevando a cabo sus responsabilidades de control interno)
La alta gerencia orienta el desarrollo e implementación de políticas y procedimientos de
control interno que se ocupan de los objetivos de su unidad operativa o funcional, y verifica
que son consistentes con los objetivos globales de la entidad. Ellos proporcionan dirección,
por ejemplo, en la estructura de una unidad organizativa y las prácticas de contratación y
adiestramiento de personal, así como los sistemas de información y presupuesto, así como
otros que promuevan el control sobre las actividades de la unidad. Como tal, a través de una
estructura de responsabilidad en cascada, cada ejecutivo es un CEO dentro de su alcance
de responsabilidad.
La alta gerencia asigna la responsabilidad de establecer procedimientos más específicos de
177

control interno al personal responsable de esas funciones o departamentos de la unidad.
Estos gestores de sub-unidades pueden desempeñar un papel más práctico sobre la
elaboración y ejecución de determinados procedimientos de control interno. A menudo, estos
gerentes son directamente responsables de determinar las necesidades de recursos,
necesidades de adiestramiento y los procedimientos de control interno para los objetivos de
la unidad de gerencia, tales como el desarrollo de los procedimientos de autorización para la
compra de materias primas, la aceptación de nuevos clientes, o la revisión de los informes de
producción para controlar la salida del producto. Ellos también hacen recomendaciones
sobre los controles, supervisan su aplicación en los procesos, y se reúnen con los gerentes
de nivel superior para informar sobre el funcionamiento de los controles.
Dependiendo del número de capas de la gerencia que existan, estos gestores de sub-unidades o
personal de supervisión de nivel inferior, están directamente involucrados en la ejecución de
las políticas y procedimientos a un nivel detallado. Es su responsabilidad ejecutar las acciones
correctivas, en la medida que se plantean excepciones de control u otros problemas. Esto
puede implicar, la investigación de errores de entrada de datos, transacciones marcadas en
los informes de excepción, variaciones del presupuesto de gastos departamentales, pedidos
pendientes de los clientes, o posiciones de inventario de productos. Las cuestiones se comu-
nican hacia arriba según la estructura de subordinación de la organización, de acuerdo con el
nivel de severidad. Las cuestiones que requieren mayor vigilancia de la gerencia incluyen los
resultados financieros, la calidad del producto, la seguridad del producto, la seguridad en el
trabajo, la participación comunitaria, el cumplimiento de los objetivos de emisión, u otras
áreas relacionadas con el logro de los objetivos de la entidad.
Las responsabilidades de la gerencia vienen con la autoridad y la responsabilidad específica.
Cada gerente es responsable ante el nivel inmediato superior por su porción del sistema de
control interno, donde el director general es responsable, en última instancia, ante el Consejo,
y el Consejo es responsable ante los accionistas u otros propietarios de la entidad.
El director financiero (CFO) apoya al director general en sus responsabilidades de línea
frontal, incluyendo el control interno sobre la información financiera. En algunas jurisdicciones
de informes, es requerido por ley que el CFO certifique la efectividad del control interno sobre
la información financiera, junto con el director general.
Funciones que Habilitan los Negocios
Varias funciones o unidades operativas de la organización apoyan a la entidad a través de

técnicas especializadas, como la gestión del riesgo, finanzas, gestión de la calidad del pro-
ducto/servicio, tecnología, cumplimiento, legal, recursos humanos, entre otros. Ofrecen orien-
tación y evaluación del control interno relacionado con sus áreas de especialización, y son
responsables de compartir y evaluar cuestiones y tendencias que trascienden a las unidades
o funciones organizacionales. Mantienen a la organización informada de los requerimientos
pertinentes a medida que evolucionan con el tiempo (por ejemplo, leyes y reglamentos nuevos
178

o cambiantes a través de una multitud de jurisdicciones). A tales funciones que habilitan los
negocios, se les conoce como la segunda línea de defensa, mientras que el personal de
primera línea ejecuta sus actividades de control.
Mientras que todos los controles funcionan con un propósito, sus esfuerzos son coordinados
e integrados según el caso. Por ejemplo, el nuevo proceso de aceptación de clientes de una
empresa puede ser revisado por la función de cumplimiento desde el punto de vista
normativo, por la función de gestión del riesgo desde una perspectiva de riesgo de
concentración, y por la función de auditoría interna para evaluar el diseño y la eficacia de los
controles. Las interrupciones en el proceso de negocio se minimizan cuando la oportunidad y
el enfoque de las revisiones y la gestión de las cuestiones se coordinan dentro de lo posible.
La integración de los esfuerzos ayuda a crear un lenguaje común y una plataforma para la
evaluación y el tratamiento de las cuestiones de control interno, ya que las funciones que
habilitan los negocios orientan a la organización en el logro de sus objetivos.
Personal de Riesgo y Control
Las funciones de riesgo y control son parte de la segunda línea de defensa. Dependiendo del
tamaño y la complejidad de la organización, el personal dedicado a riesgo y control puede
apoyar a la gerencia funcional en manejar diferentes tipos de riesgos (por ejemplo, operativos,
financieros, cuantitativos, cualitativos), proporcionando habilidades y orientación especializa-
da a la gerencia de primera línea y otro personal, así como evaluar el control interno. Estas
actividades pueden ser parte de una organización centralizada o corporativa de una entidad,
o se pueden configurar con una "línea punteada" subordinada a los jefes funcionales. Las
funciones de riesgo y control son fundamentales para la forma como la gerencia mantiene el
control de las actividades comerciales.
Las responsabilidades del personal de riesgo y control incluyen la identificación de riesgos
conocidos y emergentes, ayudando a la gerencia a desarrollar los procesos para gestionar
tales riesgos, comunicar y educar sobre estos procesos en toda la organización, y evaluar e
informar sobre la eficacia de tales procesos. El director de control/riesgos es responsable de
informar a la alta gerencia y al Consejo de los riesgos significativos para el negocio y si estos
riesgos se gestionan dentro de los niveles de tolerancia establecidos por la entidad, con un
adecuado control interno colocado. A pesar de estas importantes responsabilidades, el per-
sonal de riesgo y control no es responsable de la ejecución de los controles, pero en general
apoyan la realización de los controles internos.
Personal de Legal y Cumplimiento
La asesoría de los profesionales del derecho es clave para definir controles eficaces para
el cumplimiento de normativas y gestionar posibles demandas en organizaciones grandes
179

y complejas. Los profesionales de cumplimiento especializados pueden ser útiles para definir
y evaluar los controles de cumplimiento tanto de requerimientos internos como externos. El
director de cumplimiento / legal es responsable de asegurar que los requerimientos legales,
regulatorios y otros se entienden y se comunican a los responsables de efectuar el cumpli-
miento.
Una estrecha relación de trabajo entre la gerencia empresarial y el personal de legal y
cumplimiento proporciona una sólida base para el diseño, implementación y realización del
control interno con el objeto de administrar resultados adversos, tales como sanciones
regulatorias, responsabilidad legal y la falta de cumplir con las políticas y procedimientos
internos de cumplimiento. En organizaciones más pequeñas, las funciones de legal y
cumplimiento pueden ser compartidas por el mismo profesional, o una de estas funciones se
pueden subcontratar con estrecha supervisión por la gerencia.
Otro Personal
El control interno es responsabilidad de todos los miembros de la entidad, por lo que

constituye una parte explícita o implícita de la descripción del trabajo de todos. El personal de
línea frontal constituye la primera línea de defensa en el desempeño de las
responsabilidades de control interno. Algunos ejemplos son:
• Ambiente de Control: Lectura, comprensión y aplicación de las normas de conducta de
la organización
• Evaluación del Riesgo: Identificación y evaluación del riesgo para el logro de los
objetivos, y comprensión de la tolerancia al riesgo establecida en relación con sus
áreas de responsabilidad
• Actividades de Control: Realizando reconciliaciones, haciendo seguimiento a informes
de excepción, realizando inspecciones físicas, e investigando las causas de
variaciones de costos u otros indicadores de desempeño
• Información y Comunicación: Produciendo y compartiendo información utilizada en el
sistema de control interno (por ejemplo, registros de inventario, datos de trabajo en
proceso, informes de ventas o gastos) o tomar otras acciones necesarias para
efectuar el control
• Actividades de Seguimiento: Apoyando los esfuerzos para identificar y comunicar a la
alta gerencia los problemas de operaciones, el incumplimiento del código de conducta
u otras violaciones de las políticas o acciones ilegales
El cuidado con el que se realizan tales actividades afecta directamente la eficacia del sistema
de control interno. El control interno depende de controles y equilibrios, incluyendo la
segregación de funciones y empleados que no "miran hacia otro lado." El personal
comprende la necesidad de resistir la presión de sus superiores para participar en
180

actividades impropias, y existen canales disponibles fuera de las líneas normales de
subordinación para permitir la comunicación de dichas circunstancias.
Auditores Internos
Como la tercera línea de defensa, los auditores internos proporcionan aseguramiento y

asesoramiento a la gerencia sobre el control interno. Dependiendo de la jurisdicción, el
tamaño de la entidad, y la naturaleza de la empresa, esta función puede ser necesaria u
opcional, interna o externa, grande o pequeña. En todos los casos, se espera que las
actividades de auditoría interna se realicen con recursos competentes y profesionales
alineados con los riesgos relevantes de la entidad.
La actividad de auditoría interna incluye la evaluación de la adecuación y efectividad de los
controles, en respuesta a los riesgos dentro de la vigilancia, las operaciones y los sistemas
de información de la organización. Por ejemplo:
• Fiabilidad y la integridad de la información financiera y operativa
• Eficacia y eficiencia de las operaciones y los programas
• Salvaguarda de activos
• Cumplimiento de las leyes, normas, reglamentos, políticas, procedimientos y contratos
Todas las actividades de una organización están potencialmente dentro del alcance de la
responsabilidad del auditor interno. En algunas entidades, la función de auditoría interna está
muy involucrada con los controles sobre las operaciones. Por ejemplo, los auditores internos
pueden controlar periódicamente la calidad de producción, prueban la puntualidad de los
envíos a los clientes, o evalúan la eficiencia de la distribución de la planta. En otras
entidades, la función de auditoría interna puede centrarse principalmente en el cumplimiento
de las actividades financieras o informes relacionados. En todos los casos, demuestran los
conocimientos necesarios sobre el negocio y la independencia necesaria para proporcionar
una evaluación significativa del control interno.
Por lo general, se espera que el alcance de auditoría interna incluya la vigilancia, gestión del
riesgo y control interno, y ayude a la organización en el mantenimiento de un control eficaz
mediante la evaluación de su eficacia y promoviendo la mejora continua. Auditoría interna
comunica sus hallazgos e interactúa directamente con la gerencia, el comité de auditoría, y/o
el Consejo.
Los auditores internos mantienen una visión imparcial de las actividades que auditan a través
de sus habilidades y su autoridad dentro de la entidad. Los auditores internos reportan fun-
cionalmente al comité de auditoría y/o el Consejo, y reportan administrativamente al director
ejecutivo u otros miembros de la alta gerencia.
Los auditores internos son objetivos cuando no se les coloca en una posición donde su juicio
181

se subordine a otros en asuntos de auditoría, y cuando están protegidos de otras amenazas
a su objetividad. Las principales protecciones contra estas amenazas son una línea de sub-
ordinación y asignaciones de personal apropiadas. Estas asignaciones se hacen para evitar
conflictos potenciales y reales de interés y parcialidad. Los auditores internos no asumen res-
ponsabilidades de operación, ni son asignados para auditar actividades con las que estaban
involucrados recientemente en relación con asignaciones operativas anteriores.
Partes Externas
Varias partes externas pueden contribuir con el logro de los objetivos de la entidad, ya sea
mediante la realización de actividades como proveedores de servicios subcontratados o pro-
porcionando datos o análisis al personal funcional/operativo. En ambos casos, la gerencia
funcional/operativa siempre conserva toda la responsabilidad por el control interno.
Proveedores de Servicios Subcontratados
Muchas organizaciones subcontratan las funciones de negocio, delegando sus funciones y

responsabilidades para la gestión del día a día a proveedores de servicios externos.
Operaciones administrativas, financieras, de recursos humanos, tecnología, legal, e incluso
operaciones internas selectas, pueden ser ejecutadas por partes fuera de la organización,
con el objetivo de obtener acceso a capacidades mejoradas a un costo menor. Por ejemplo,
una institución financiera puede subcontratar su proceso de revisión de préstamos a un
tercero, una empresa de tecnología puede subcontratar la operación y mantenimiento de su
tecnología de procesamiento de información, y una compañía de venta al detal puede
subcontratar su función de auditoría interna. Si bien estas partes externas ejecutan las
actividades para, o en nombre de, la organización, la gerencia no puede renunciar a su
responsabilidad de gestionar los riesgos asociados. Se debe implementar un programa para
evaluar las actividades realizadas por otros en su nombre, y evaluar la eficacia del sistema
de control interno sobre las actividades realizadas por los proveedores de servicios
subcontratados.
Otras Partes que Interactúan con la Entidad
Los clientes, proveedores y otras partes comerciales de la entidad son una importante fuente
de información utilizada en la realización de las actividades de control. Por ejemplo:
• Un cliente puede informar a una empresa sobre retrasos de envíos, calidad de
producto inferior, o si falla en satisfacer las necesidades del cliente para el producto o
182

servicio. O un cliente puede ser más proactivo y trabajar con una entidad en el
desarrollo de mejoras de los productos.
• Un proveedor puede proporcionar declaraciones o información sobre los envíos y
facturaciones realizadas o pendientes, que pueden utilizarse para identificar y corregir
discrepancias y conciliar saldos.
• Un proveedor potencial puede notificar a la alta gerencia sobre la solicitud de un pago
indebido hecha por un empleado.
• Los expertos pueden proporcionar datos de mercado para ayudar a que la
organización adapte su modelo de negocio, procesos y controles de apoyo a nuevos
retos y oportunidades.
• Una organización no gubernamental o un periódico puede publicar informes sobre las
condiciones de trabajo o del medio ambiente en un proveedor o subcontratista.
Dicho intercambio de información entre la gerencia y las partes externas puede ser impor-
tante para la entidad en el logro de sus objetivos de operaciones, informes y cumplimiento. La
entidad cuenta con mecanismos colocados para recibir tal información y tomar las medidas
adecuadas en el momento oportuno. Es decir, no sólo aborda la situación particular que le
han informado, sino que también investiga la fuente subyacente del problema y la corrige.
Además de los clientes y proveedores, otras partes tales como los acreedores, pueden pro-
porcionar información sobre el logro de los objetivos de la entidad. Un banco, por ejemplo,
puede solicitar informes sobre el cumplimiento de la entidad con ciertas obligaciones de deu-
da y recomendar indicadores de desempeño u otros objetivos o controles deseados.
Auditores Independientes
En algunas jurisdicciones, un auditor independiente, se dedica a auditar o examinar la efec-

tividad del control interno sobre la información financiera externa, además de auditar los es-
tados financieros de la entidad. (En algunas jurisdicciones, el auditor también está legalmente
obligado a expresar una opinión sobre la efectividad del control interno sobre la información
financiera externa, además de su opinión sobre los estados financieros). Los resultados de estas
auditorías permiten al auditor proporcionar información a la gerencia que será de utilidad en
la realización de sus funciones de vigilancia. Estos informes y comunicaciones pueden incluir:
• Observaciones, incluida información analítica y recomendaciones para el uso en la
toma de medidas necesarias para alcanzar los objetivos establecidos
• Hallazgos de deficiencias de control interno que llegan a la atención del auditor, así
como recomendaciones para mejoras
A pesar de la profundidad y la naturaleza del trabajo de los auditores externos, esto no es un
183

sustituto o un complemento de un adecuado sistema de control interno, que se mantiene bajo
la plena responsabilidad de la gerencia.
Esta información se relaciona con frecuencia no sólo a la información financiera, sino también
a información sobre las operaciones y las actividades de cumplimiento. La información se di-
vulga a la gerencia que actúa en consecuencia, y al Consejo o al comité de auditoría en fun-
ción de su importancia.
Revisores Externos
Los especialistas en la materia pueden ser solicitados o recibir el mandato de examinar áreas
específicas de control de la organización. Reconociendo los distintos requerimientos o
expectativas de sus partes interesadas, una organización a menudo busca el asesoramiento
de expertos para traducirlas en políticas y procedimientos, así como en comunicaciones y
adiestramiento, y para evaluar el cumplimiento de los requerimientos y normas. Las prácticas
de seguridad en el trabajo, las preocupaciones ambientales y de comercio justo son algunos
ejemplos de áreas en las que una organización busca asegurar en forma proactiva que
cumple con los reglamentos y normas que la rigen. Ciertas áreas funcionales también pueden
ser revisadas para promover una mayor eficacia y eficiencia de las operaciones, tales como
las revisiones de cumplimiento, las pruebas de penetración de los sistemas de información y
las evaluaciones de las prácticas de contratación de personal.
Legisladores y Reguladores
Los legisladores y los reguladores pueden afectar los sistemas de control interno a través de
requerimientos específicos para establecer el control interno a través de la organización y/o por
medio de exámenes de determinadas unidades operativas. Muchas entidades han sido obje-
to de requerimientos legales para el control interno. Por ejemplo, se espera que las empresas
que cotizan en la bolsa de valores de EE.UU. establezcan y mantengan un sistema de control
interno, y la legislación exige que los altos ejecutivos de las empresas que cotizan en bolsa
certifiquen la efectividad del control interno sobre la información financiera de su empresa.
Varias regulaciones requieren que las empresas públicas establezcan y mantengan sistemas
de control interno sobre la contabilidad que cumplan los objetivos especificados. Varias leyes
y reglamentos aplicables a los programas de asistencia financiera, que abordan una gran
variedad de actividades desde derechos civiles hasta la gestión de tesorería, especifican los
procedimientos o prácticas de control interno. Varias agencias reguladoras examinan directa-
mente las entidades sobre las que tienen responsabilidad de supervisión. Por ejemplo, ciertos
examinadores bancarios federales y estatales realizan exámenes de los bancos, y a menudo
se centran en determinados aspectos de los sistemas de control interno de los bancos. Estas
agencias hacen recomendaciones y con frecuencia tienen la facultad de adoptar medidas
184

ejecutivas. Por lo tanto, los legisladores y los reguladores afectan a los sistemas de con-
trol interno de varias maneras:
• Establecen reglamentos que proporcionan el impulso necesario para que la gerencia

establezca un sistema de control interno que cumpla con los requerimientos legales y
regulatorios.
• A través del examen de una entidad en particular, proporcionan información utilizada
por el sistema de control interno de la entidad y proporcionan cartas de comentarios,
recomendaciones, e incluso directivas para la gerencia, con el objeto de mejorar el
sistema de control interno.
• Pueden recibir denuncias e investigarlas.
Analistas Financieros, Agencias de Calificación de Bonos y Medios de Noticias
Los analistas financieros, agencias de calificación de bonos y el personal de los medios de

comunicación analizan el desempeño de la gerencia frente a las estrategias y objetivos al
considerar los estados financieros históricos y la información financiera prospectiva, las
medidas adoptadas en respuesta a las condiciones de la economía y el mercado, el potencial
para el éxito en el corto y largo plazo, y las comparaciones de desempeño del grupo de pares
y de la industria, entre otros factores. Tales actividades de investigación pueden proporcionar
información, entre muchos otros resultados, sobre el estado del control interno y sobre cómo
la gerencia está respondiendo a la mejora del control interno.
185

186

C. Consideraciones para Entidades Más Pequeñas
Características de las Entidades Más Pequeñas
Existen muchas opiniones diferentes sobre lo que constituye una entidad "más pequeña".
Algunos piensan que una ferretería local propiedad de una familia o la panadería de la
esquina son una pequeña empresa típica. Otros pueden pensar en una entidad sin fines de
lucro que genera varios millones de dólares en donaciones anuales. Otros pueden considerar
una pequeña entidad dentro del contexto de una empresa que ha sido pública desde hace
muchos años en la fabricación de un producto innovador, y que ahora genera ingresos
anuales de varios cientos de millones de dólares con la esperanza de que el crecimiento
futuro la catapulte a la categoría Fortune 500. Dependiendo de la perspectiva, cualquiera, o
todas éstas, pueden ser consideradas entidades "más pequeñas".
El Marco no proporciona una definición en términos de ingresos, capitalización, o de otros
factores, esta es la función de los reguladores y otras partes. En cambio, el término "más
pequeña" en lugar de "pequeña", sugiere que hay una amplia gama de entidades a las que
se aplican estas consideraciones. El documento se centra en las entidades más pequeñas
que tienen muchas de las características siguientes:
• Menos líneas de negocio y un menor número de productos dentro de las líneas
• Concentración de enfoque de mercadeo por canal o geografía
• Liderazgo gerencial con participación accionaria o con derechos significativos
• Menos niveles de gerencia con alcances más amplios de control
• Sistemas de procesamiento de transacciones menos complejas
• Menos personal, muchos con una gama más amplia de funciones
• Capacidad limitada para mantener recursos profundos en línea, así como puestos de
personal de apoyo, tales como recursos humanos, legal, contabilidad y auditoría inter-
na
La última línea de la lista, una capacidad limitada para mantener recursos profundos, es una
explicación frecuente del por qué las entidades más pequeñas se encuentran más bajas en
la curva de economías de escala. A menudo, pero no siempre, las entidades más pequeñas
tienen un mayor costo por unidad de producción de un producto o prestación de un servicio.
Por otro lado, muchas entidades más pequeñas logran una ventaja competitiva en el ahorro
de costos a través de la innovación, un menor costo fijo (mediante la retención de un menor
número de personas y la sustitución de costos fijos por variables a través de una fuerza de
trabajo a tiempo parcial o con planes de compensación variable), y el enfoque más estrecho
en términos de producto, ubicación y complejidad.
187

Las economías de escala, a menudo, son un factor que afecta las funciones de apoyo, incluyen-
do las que apoyan directamente el control interno. Por ejemplo, la fijación de una función de
auditoría interna dentro de una entidad de cien millones de dólares, probablemente requeriría
un mayor porcentaje de los recursos económicos que una entidad de miles de millones de
dólares. Desde luego, la función de auditoría interna de la entidad más pequeña sería más
pequeña, y podría depender de la subcontratación para proporcionar las habilidades nece-
sarias, mientras que la función de la entidad más grande puede tener una amplia gama de
personal con experiencia en casa. Sin embargo, con toda probabilidad, el costo relativo de la
entidad más pequeña sería mayor que para la más grande.
Ninguna de las anteriores características, por sí solas, son definitivas. Ciertamente, el
tamaño, cualquiera que sea la medida: activos, ingresos, gastos, personal u otra, afecta y se
ve afectado por estas características y formas de pensamiento sobre lo que constituye "más
pequeño".
Enfrentando los Desafíos de Lograr un Control Interno Rentable
Las características de las entidades más pequeñas tienden a proporcionar desafíos

significativos para el control interno rentable. A menudo, los gerentes de las entidades más
pequeñas ven el control como una carga administrativa adicional a los procesos de negocio
existentes, en lugar de reconocer la necesidad empresarial de usar y beneficiarse de un
control interno eficaz que se integra dentro de tales procesos.
Entre los retos están:
• Obtener los recursos suficientes para lograr una adecuada segregación de funciones
• Equilibrar la capacidad de la gerencia para dominar las actividades, con oportunidades
significativas para que una gerencia inapropiada anule los procesos con el fin de
simular que se han alcanzado las metas de desempeño de negocio
• Contratar personas con la experiencia necesaria para servir con eficacia en el Consejo
y los comités
• Contratar y retener al personal con suficiente experiencia y habilidad en las
operaciones, la información, el cumplimiento y otras disciplinas
• Quitar atención fundamental de la gerencia sobre el funcionamiento de la empresa con
el fin de proporcionar suficiente atención al control interno
• Controlar la tecnología de la información y mantener los controles generales y de
aplicación adecuados de los sistemas de información con recursos técnicos limitados
A pesar de las limitaciones de recursos, las entidades más pequeñas, por lo general, pueden
responder a estos desafíos y tener éxito en el logro de un control interno eficaz de una ma-
nera razonablemente rentable.
188

Segregación de Funciones
Muchas entidades más pequeñas tienen un número limitado de empleados que realizan
diversas funciones, que a veces se traduce en la inadecuada segregación de funciones. Sin
embargo, hay acciones que la gerencia puede tomar para compensar esta circunstancia. Los
siguientes son algunos tipos de controles que se pueden implementar:
• Revisar informes de transacciones detalladas: Los gerentes revisan en forma regular y
oportuna los informes del sistema de las transacciones detalladas.
• Revisión de Transacciones Seleccionados: Los gerentes seleccionan operaciones
para revisar los documentos justificativos.
• Observar Periódicamente los Activos: Los gerentes conducen periódicamente
recuentos de inventario físico, equipo y otros activos y los comparan con los registros
contables.
• Verificar Reconciliaciones: De vez en cuando, los gerentes revisan las reconciliaciones
de saldos de cuentas, tales como efectivo, cuentas por pagar y cuentas por cobrar, o
las realizan de forma independiente.
La segregación de funciones no es un fin en sí mismo, sino un medio de mitigar el riesgo

inherente en el procesamiento. Al desarrollar o evaluar los controles enfocados en los riesgos
de una entidad con capacidad limitada para segregar funciones, la gerencia debería
considerar si otros controles abordan satisfactoriamente estos riesgos y se aplican a
conciencia lo suficiente para reducir el riesgo.
Muchas entidades más pequeñas están dominadas por el fundador o un líder que ejerce una
gran discreción y proporciona orientación personal a otros miembros del personal. Esta
posición puede ser clave para permitir a la entidad cumplir con su crecimiento y otros
objetivos, y también puede contribuir significativamente al control interno eficaz. Con el
profundo conocimiento que este líder posee de las diferentes facetas de la entidad, sus
operaciones, procesos, políticas y procedimientos, compromisos contractuales y los riesgos
del negocio, él o ella está en condiciones de saber qué esperar en los informes generados
por el sistema y hacer el seguimiento según sea necesario. Tal concentración de
conocimiento y autoridad, sin embargo, viene con un inconveniente: el líder normalmente
también es capaz de eludir los controles.
Hay algunas cosas básicas pero importantes que pueden ayudar a mitigar el riesgo de que la
gerencia eluda los controles:
189

• Mantener una cultura corporativa donde los valores de integridad y ética se tienen en
gran estima, integrados en toda la organización, y se practican diariamente. Esto
puede ser apoyado y reforzado por la contratación, compensación y promoción de las
personas en las que tales valores están debidamente reflejados en su
comportamiento.
• Implementar un programa de denuncias, donde el personal se sienta cómodo
reportando cualquier irregularidad, con independencia del nivel en donde pueda
cometerse. Es importante que pueda ser capaz de mantener el anonimato, tenga la
confianza de que los asuntos reportados serán investigadas a fondo y que se actuará
en consecuencia, de forma apropiada y sin represalias. Es importante que los asuntos
debidamente justificados se puedan reportar directamente al Consejo o al comité de
auditoría.
• Colocar una función de auditoría interna eficaz para detectar casos de irregularidades
y fallas a nivel de entidad y sub-unidad. El fácil acceso a la información, y la capacidad
de comunicarse directamente con la alta gerencia y el comité del Consejo o de
auditoría son factores clave.
• Atraer y retener a miembros del Consejo calificados que asuman sus
responsabilidades para realizar la función esencial de prevención o detección de
casos de anulación por parte de la gerencia.
Estas prácticas reducen el riesgo de impropiedad y promueven la responsabilidad del

liderazgo, al tiempo que obtienen las ventajas únicas del control interno rentable en un
entorno de una entidad más pequeña.
Consejo de Directores
La discusión anterior pone de relieve la necesidad de un Consejo con la experiencia

necesaria para realizar bien sus funciones de vigilancia. Con los conocimientos, atención y
comunicación adecuados, el Consejo está en condiciones de proporcionar un medio eficaz
para contrarrestar los efectos de que la inadecuada gerencia anule los controles. En
entidades más pequeñas, el Consejo por lo general tiene un conocimiento profundo de las
operaciones del negocio relativamente simples y se comunica más con un mayor número de
personal.
Sin embargo, resulta muy difícil para muchas entidades más pequeñas atraer a directores
independientes con los conocimientos y la experiencia deseada. Los desafíos típicos para
encontrar directores adecuados incluyen un conocimiento inadecuado de la entidad y de su
gente, la limitada capacidad de la entidad para proporcionar una compensación acorde con
las responsabilidades del Consejo, la sensación de que el director ejecutivo podría no estar
acostumbrado o no quiere compartir adecuadamente las responsabilidades de
190

gobernabilidad, o la preocupación por la potencial responsabilidad personal.
Algunas de las entidades abordan esas preocupaciones respecto a candidatos deseados
para el Consejo, y expanden su búsqueda de conocimientos valorados o experiencia
requerida, tales como financiera y contable. De esta manera, pueden conformar un Consejo
que no sólo vigila adecuadamente a la alta gerencia, sino que también proporciona consejos
de valor agregado.
Tecnología de la Información
Muchas entidades más pequeñas no tienen los amplios recursos técnicos necesarios para
seleccionar, desarrollar y desplegar aplicaciones de software de una manera controlada. Por
lo tanto, estas entidades consideran alternativas para satisfacer sus necesidades de
procesos de negocio y control interno.
Muchas pequeñas entidades utilizan software desarrollado y mantenido por otros. Estos
paquetes todavía requieren su implementación y operación controlada, pero se reducen
muchos de los riesgos asociados a los sistemas desarrollados internamente. Por ejemplo,
por lo general hay menos necesidad de controles de cambio de programa, ya que los
cambios se llevan a cabo exclusivamente por el desarrollador, y en general el personal de
una entidad más pequeña no tiene los conocimientos técnicos para intentar modificaciones
en el programa autorizado.
Los paquetes de software desarrollados comercialmente pueden aportar ventajas
adicionales. Estos paquetes pueden proporcionar servicio integrado para controlar que los
empleados puedan acceder o modificar datos especificados, realizar controles de integridad
y exactitud de procesamiento de datos, y mantener la documentación relacionada.
Las actividades de supervisión de rutina realizadas por los gerentes que manejan una
empresa pueden proporcionar información sobre la presencia y el funcionamiento de otros
componentes y principios relevantes. La gerencia de muchas entidades más pequeñas
realizan regularmente este tipo de actividades, pero no siempre han tenido suficiente crédito
por su contribución a la eficacia del control interno. Estas actividades, que generalmente se
realizan de forma manual y a veces con el apoyo de programas informáticos, deben
considerarse íntegramente en el diseño, implementación y realización de control interno y la
evaluación de la efectividad del control interno.
191

192

D. Metodología para la Modificación del Marco
Antecedentes
En noviembre del año 2010, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway

(COSO) anunció un proyecto para revisar y actualizar su Marco Integrado de Control Interno (marco
original). Se esperaba que esta iniciativa hiciera más relevante el marco original y sus herramientas
de evaluación en industrias, operaciones y entornos regulatorios cada vez más complejos, para que
las organizaciones en todo el mundo mejorasen el diseño, implementación y realización del control
interno y la evaluación de su eficacia. Como el autor de la estructura original, PwC llevó a cabo este
proyecto reuniendo conocimiento profundo del marco original y la justificación de las decisiones
tomadas en la creación del marco, y buscó información de los usuarios, las partes interesadas y los
recursos de alto nivel que proporcionaron perspectivas actuales sobre el control interno.
La estructura original ha sido ampliamente aceptada por las organizaciones en la implementación,
diseño, realización y evaluación del control interno en relación con los objetivos de operaciones,
cumplimiento e información financiera, y más recientemente con el control interno sobre la
información financiera de conformidad con la Ley Sarbanes-Oxley de EE.UU. del año 2002 (SOX) y
requerimientos regulatorios similares en otros países. La mejora proporcionada por este proyecto no
está diseñada para cambiar la forma en que se define, evalúa o administra el control interno, sino
más bien para proporcionar orientación conceptual relevante y ejemplos prácticos.
El Consejo de COSO formó un Consejo Consultivo integrado por representantes de la industria, la
academia, las agencias gubernamentales y entidades sin fines de lucro, así como observadores de
entes reguladores y organismos normativos para proporcionar información a medida que el proyecto
avanzaba. Además, el Marco fue expuesto al público para capturar información adicional. Dicho
proceso debido ayudó a que la actualización abordara adecuadamente los retos actuales de las
organizaciones dentro de su control interno.
Enfoque
El proyecto consistió en cinco fases:

• Evaluar y Visualizar: A través de revisiones de la literatura, estudios globales y foros públi-
cos, esta fase identificó desafíos actuales de las organizaciones en la implementación
del Marco. Durante esta fase, PwC analizó la información, revisó varias fuentes de
información e identificó problemas y preocupaciones fundamentales. COSO lanzó una
encuesta global, a disposición del público en general, para proporcionar información
sobre el marco original, solicitando más de 700 respuestas.
• Construir y Diseñar: PwC, con la vigilancia del Consejo de COSO, desarrolló el Marco
193

actualizado. Varios borradores de los documentos fueron revisados por el Consejo
Consultivo, y varios usuarios y partes interesadas entregaron perspectiva adicional sobre las
actualizaciones propuestas a través de su participación en conferencias, seminarios virtuales
y seminarios presenciales patrocinados por las organizaciones patrocinadoras de COSO.
• Preparar la Exposición Pública: Con la ayuda proporcionada por el Consejo Consultivo y la
vigilancia del Consejo de COSO, PwC preparó borradores y un cuestionario en línea para
facilitar la revisión por parte del público en general. El Consejo de COSO y PwC pidieron los
comentarios del público en general en muchos temas relevantes, incluyendo si:
• Los requerimientos de control interno eficaz están claramente establecidos en el
Marco
• Las funciones de los componentes, los principios relevantes y los puntos de enfoque
están claramente establecidos en el Marco
• El Marco es sólido, lógico y útil para la gerencia de las entidades de todos los
tamaños.
• Exponer al Público: En esta fase, PwC refinó la actualización a través de revisiones con el
público en general. El Marco fue emitido para su exposición pública durante un período de
comentarios de 104 días. Durante esta fase, PwC, los miembros del Consejo de COSO y los
miembros del Consejo Consultivo presentaron el Marco actualizado en numerosas
conferencias profesionales, seminarios, mesas redondas y reuniones con usuarios y partes
interesadas. El Marco actualizado también se puso a disposición para comentarios durante la
exposición pública de los documentos complementarios: Control Interno sobre la Información
Financiera Externa: Compendio de Enfoques y Ejemplos, y Herramientas Ilustrativas para
Evaluar la Eficacia de un Sistema de Control Interno. PwC revisó y analizó todos los
comentarios recibidos durante estos periodos de exposición pública, y examinó con el
Consejo de COSO y el Consejo Consultivo las cuestiones más importantes planteadas
durante la exposición al público sobre las resoluciones y modificaciones relacionadas.
• Finalización: PwC finalizó el Marco y las publicaciones relacionadas, y proporcionó los
documentos finales al Consejo de COSO para su revisión y aceptación.
Dentro de cada fase del proyecto y entre fases, como era de esperar, se expresaron muchas
observaciones o recomendaciones sobre cuestiones fundamentales relacionadas con el control
interno, a veces diferentes y a veces contradictorias. PwC, con la vigilancia del Consejo de COSO,
examinó cuidadosamente los méritos de las posiciones presentadas, tanto individualmente como
dentro del contexto de las cuestiones conexas, y revisó el marco para ayudar a la elaboración de
una publicación pertinente, lógica y coherente internamente sobre control interno.
194

E. Cartas de Comentarios Públicos
Como se indica en el Anexo D, Metodología para la Modificación del Marco, un borrador del
Marco que se publicó para comentarios del público desde el 19 de diciembre 2011 hasta el
31 de marzo de 2012. Hubo más de 100 respuestas públicas a la encuesta en línea y 96
cartas de comentarios públicos relacionados con este borrador. Estas cartas contenían más
de 1.000 comentarios sobre muchos aspectos del Marco actualizado y cada comentario fue
considerado en futuras modificaciones.
También se invitó a las partes interesadas a presentar observaciones sobre el Marco durante
los 78 días de exposición pública del Control Interno sobre Información Financiera Externa:
Un Compendio de Enfoques y Ejemplos. Recibiendo respuestas a las preguntas de la
encuesta en línea y veintitrés cartas de comentarios públicos relacionadas con la versión
posterior a la exposición pública del Marco.
Este apéndice presenta un resumen de las observaciones más importantes y las
modificaciones resultantes en el Marco derivadas de estos períodos de exposición. Muchos
de los encuestados estuvieron de acuerdo con COSO, sobre la expectativa de que los
cambios en el Marco ayudarán a fortalecer la gestión de los actuales sistemas de control
interno, respondiendo a muchos cambios en los entornos de negocio y operación en los
últimos veinte años, codificando los principios relacionados con los cinco componentes de
control interno, y ampliando el objetivo de informes para incluir otras formas importantes de
informes. Hubo opiniones divergentes en cuanto a si las actualizaciones del Marco
establecerían un umbral más alto para lograr un control interno eficaz, imponiendo cargas
adicionales a las entidades que reportan sobre el control interno, y si debería incorporar otros
aspectos de la gestión del riesgo empresarial.
Mientras que algunos de los encuestados buscaban cambios fundamentales en el Marco,
otros reconocieron que el Marco sigue siendo relevante y útil hoy en día, y se debe utilizar
como base para una actualización en las áreas seleccionadas, como veremos a
continuación.
Definición de Control Interno
Algunas personas sugirieron que se modificara la definición de diferentes maneras.

Sugerencias individuales incluyeron la alineación de la definición con otras normas, la
incorporación de los riesgos, la eliminación de categorías objetivas, aumentar el hincapié en
el Consejo, añadir expectativas de comportamiento anti-fraude/ético, eliminar el concepto de
aseguramiento razonable, ampliar el objetivo de informes para incluir otros aspectos como
puntualidad y transparencia, y disponer que la eficacia del control interno se alcanza
mediante la reducción a un nivel adecuadamente bajo del riesgo de no alcanzar un objetivo.
Otros encuestados, sin embargo, señalaron que la definición original ha ganado una amplia
195

aceptación (por ejemplo, normas de auditoría, legislación y orientación) y debe ser
conservada.
El Marco modifica la definición de quitar los modificadores de cada categoría de objetivos.
Las razones de este cambio es que los objetivos se discuten en detalle más adelante en el
capítulo 1, Definición de Control Interno, y con la ampliación de la categoría de informes, los
encuestados identificaron adecuadamente los aspectos relevantes adicionales del objetivo de
informes más allá de la fiabilidad.
Aparte de este cambio, el Marco mantiene una definición amplia, y otras sugerencias han
sido contempladas en la definición, ya sea en su versión modificada, o se tratan más
adecuadamente como parte de los componentes del control interno. Por último, la
incorporación de la idea de reducir el riesgo a un nivel potencialmente bajo se adelanta al
juicio de la gerencia, y puede ser demasiado restrictivo para algunos objetivos.
Objetivos de Informes, Operaciones y Cumplimiento
Algunos encuestados pidieron reconsiderar la ampliación de los objetivos de información

financiera y posibles implicaciones regulatorias, y reconsiderar la capacidad de medición del
logro de los objetivos de operaciones. El Marco conserva la descripción de las tres
categorías de objetivos y proporciona descripciones complementarias de los objetivos de
operaciones y cumplimiento.
Principios
Los encuestados reconocieron el beneficio de formalizar conceptos introducidos en el marco

original en los principios de control interno, proporcionando claridad a la gerencia sobre el
diseño, implementación y realización de control interno y la evaluación de la eficacia de los
sistemas de control interno.
Algunos encuestados sugirieron plegar el Principio 11, Selecciona y Desarrolla Controles
Generales sobre Tecnología, al Principio 10, Selecciona y Desarrolla Actividades de Control,
basados en la opinión que la selección y el desarrollo de los controles generales sobre tec-
nología es un subconjunto de la selección de las actividades de control en general, que son
parte del Principio 10.
Algunos también sugirieron combinar el Principio 8, Evalúa el Riesgo de Fraude, con el
Principio 7, Identifica y Analiza el Riesgo, considerando que el riesgo de fraude puede ser
visto como un solo tipo de riesgo que podría afectar los objetivos.
El Marco lleva adelante los diecisiete principios. Mantiene los principios que se centran en el
uso de la tecnología y la evaluación de los riesgos de fraude, reconociendo su importante
196

papel en el logro de un control interno eficaz. Algunos principios también se han mejorado o
se aclaran según los comentarios de los encuestados.
Eficacia
Logro de Objetivos de Operaciones
Algunas personas sugirieron que el control interno eficaz puede proporcionar a la gerencia y
al Consejo más de una comprensión de la medida en que las operaciones se gestionan con
eficacia. Algunos encuestados indicaron que si los objetivos de operaciones se especifican
con suficiente claridad, y las limitaciones impuestas por los acontecimientos externos no son
importantes o pueden ser mitigadas a un nivel aceptable, el control interno puede
proporcionar un aseguramiento razonable de lograr los objetivos de operaciones.
El Marco ha sido actualizado para reconocer que cuando se considera que es poco probable
que los acontecimientos externos tengan un impacto significativo en el logro de los objetivos,
o cuando la organización pueda predecir razonablemente la naturaleza y el calendario de eventos
externos y mitigar el impacto a un nivel aceptable, el control interno puede proporcionar un
aseguramiento razonable de que las operaciones se están gestionando con eficacia.
Sin embargo, todavía puede haber casos donde los acontecimientos externos pueden tener un
impacto significativo en el logro de los objetivos y el impacto no puede ser mitigado a un nivel
aceptable. En tales casos, el control interno eficaz sólo puede proporcionar a la gerencia y al
Consejo una comprensión de la medida en que las operaciones se gestionan con eficacia.
Principios Relevantes
Los comentarios sobre la versión posterior a la exposición se centraron en los requerimientos de

control interno eficaz y si la gerencia puede concluir que un sistema de control interno es eficaz
cuando los principios no están presentes y en funcionamiento. El Marco supone que los principios
son relevantes. Sin embargo, puede haber una situación poco frecuente de una industria, operación
o regulación donde la gerencia ha determinado que un principio no es relevante para el componente
asociado. Las consideraciones para aplicar este juicio pueden incluir la estructura de la entidad que
reconoce todas las disposiciones legales, regulatorias, de la industria o contractuales de
gobernabilidad de la entidad, así como el nivel de uso y la dependencia de la tecnología utilizada por
la entidad. El Marco aclara el requisito de que los principios relevantes deben estar presentes y en
funcionamiento para lograr un control interno eficaz.
197

Componentes Operando Juntos
Los encuestados también pidieron aclaraciones sobre el requisito de que los componentes
operen juntos. En el capítulo 3 se presenta una definición y mayor discusión sobre
componentes operando juntos.
Puntos de Enfoque
Algunos de los encuestados expresaron su preocupación de que la inclusión de los puntos

de enfoque (llamados atributos en el borrador inicial de exposición pública) podría
desencadenar una mentalidad indeseable de verificar las listas por parte de la gerencia, los
auditores y los reguladores. Otros encuestados pidieron claridad sobre si tales atributos
representan los requerimientos relativos a si los principios están presentes y en
funcionamiento, o si el Marco supone que los atributos están presentes y en funcionamiento.
El Marco ahora sustituye el término "atributos" con "puntos de enfoque", en consonancia con
el marco original, para reducir la percepción que el uso de puntos de enfoque es un requisito.
El Marco aclara la importancia de los puntos de enfoque al colocarlos como características
importantes de los principios. El Marco permite una mayor flexibilidad a la gerencia para
ejercer un juicio al considerar que los puntos de enfoque son relevantes para la entidad. El
Marco fue revisado para eliminar la presunción que los puntos de enfoque debe estar coloca-
dos y evaluarse por separado.
Los puntos de enfoque han sido retirados del capítulo 3, Control Interno Eficaz, para aclarar
que no son requerimientos asociados a los principios relevantes. En su lugar, se introducen y
se aclara su relevancia en el capítulo 4, Consideraciones Adicionales. Dentro de los capítulos
respectivos a los componentes, se enumeran según el principio al que se aplican.
Clasificación de Deficiencias de Control Interno
Algunos encuestados sugirieron eliminar las no conformidades mayores y menores, y el uso de una
terminología coherente para todas las categorías de objetivos en el Marco. Algunos sugirieron el uso
de términos "deficiencias significativas" y "debilidad material" para todas las categorías.
El Marco presenta una terminología revisada cuando se hace referencia en general a la severidad
de las deficiencias, y utiliza los términos "deficiencias de control interno" y "deficiencias importantes".
Sin embargo, para ciertos objetivos, el Marco reconoce que la gerencia debe utilizar solamente los
criterios relevantes establecidos en las leyes, reglamentos y normas con respecto a la clasificación
de la severidad de las deficiencias de control interno.
198

Fijación de Objetivos
Algunas personas sugirieron que el Marco incluye la fijación de objetivos como un

componente del control interno. Otros sugirieron que la fijación de objetivos sigue siendo una
condición previa del control interno, y que el Marco debe proporcionar mayor claridad sobre
la función de evaluar la idoneidad de los objetivos en el control interno.
El Marco conserva los cinco componentes y el concepto de que la fijación de objetivos es
una condición previa para el control interno. Se aclara la distinción entre la fijación de
objetivos (fuera del sistema de control interno) y la especificación de los objetivos (en el
sistema de control interno) en el Capítulo 2, Objetivos, Componentes y Principios. El Marco
amplía la discusión sobre la idoneidad de los objetivos y explica cómo la gerencia debe
responder cuando los objetivos especificados se consideran inadecuados (véase el capítulo
4, Evaluación del Riesgo).
Objetivos
Salvaguarda de Activos
Algunos encuestados sugirieron incluir la salvaguarda de los activos como una categoría de
objetivos basados en las leyes establecidas, normas y reglamentos. Otros sugirieron que la
salvaguarda de los activos es parte de cada categoría de objetivos.
El Marco conserva la salvaguarda de los activos como objetivo de operaciones, de acuerdo
con el marco original. El Marco Integrado de Control Interno, Anexo para Partes Informantes
(Mayo 1994) afirmó que la definición de control interno se refiere a los objetivos de
operaciones, cumplimiento e información financiera, según lo establecido en el marco original
y sigue siendo apropiado. El anexo también concluyó que cuando la gerencia informa del
control interno sobre la información financiera, existe una expectativa razonable de que tales
informes describen los controles para ayudar a preparar los estados financieros y evitar, o
detectar a tiempo, cualquier procura, uso o disposición de los activos.
El Marco reconoce que algunas leyes, reglamentos y normas han establecido la salvaguarda
de los activos como una categoría separada de objetivo. Cuando la gerencia informa sobre el
sistema de control interno de la entidad, pueden haber establecido objetivos o sub-objetivos
relacionados con la seguridad física, la prevención o detección oportuna de procura, uso o
disposición de los bienes. El Marco mantiene la opinión que la salvaguarda de los activos se
relaciona principalmente con las operaciones, pero puede ser visto dentro del contexto de las
categorías de objetivos de informes y cumplimiento.
199

Objetivos Estratégicos
Algunos encuestados sugirieron la incorporación de los objetivos estratégicos como una

categoría de objetivos. Algunos también sugirieron que este cambio ya estaba hecho en el
Marco Integrado de Gestión del Riesgo Empresarial (Marco GRE) y que el Marco debería
adoptar un cambio similar.
El Marco mantiene las categorías de objetivos de operaciones, informes y cumplimiento y el
concepto que los objetivos estratégicos no son parte del control interno. Incluir la fijación de
estrategia y los objetivos estratégicos requeriría la adición de otros conceptos, incluyendo el
apetito de riesgo y la tolerancia al riesgo, para proporcionar una descripción completa de esta
categoría de objetivos. Estos conceptos son más apropiados dentro del contexto de la gestión
del riesgo empresarial, como se explica a continuación.
Gestión del Riesgo Empresarial
Algunos encuestados pidieron una mayor integración de los conceptos de gestión del riesgo
empresarial dentro de control interno, en particular, la búsqueda de una discusión más
amplia de la tolerancia al riesgo y la adición del apetito de riesgo. Algunos también buscaron
una fusión del Marco GRE de COSO con el Marco. Otros apoyaron mantener las dos
estructuras independientes y distintas.
El Consejo de COSO consideró la fusión de los dos marcos y decidió mantenerlos separados
y distintos. En consecuencia, la estrategia de fijación de estrategia, los objetivos estratégicos
y el apetito de riesgo quedan como parte del Marco GRE. El Marco mantiene la definición del
apetito de riesgo y la aplicación de la tolerancia al riesgo, y conserva el establecimiento de
estrategias como condición previa del control interno.
El Marco amplía el Prólogo para reconocer que los dos marcos están diseñados para ser
complementarios, no sustituir al otro. El Marco incluye una discusión de los conceptos que se
solapan en el Apéndice G.
Entidades Más Pequeñas y Gobiernos
Algunos encuestados pidieron orientación expandida sobre las entidades más pequeñas y
los gobiernos. Algunos sugirieron que el Marco específicamente resaltara las diferencias de
aplicación a dichas entidades. Otros sugirieron que la longitud del documento es
potencialmente abrumadora para organizaciones más pequeñas.
200

El Marco contiene una discusión adicional en relación con el Principio 2, Ejerce
Responsabilidad de Vigilancia relativa a las entidades más pequeñas. Una discusión
adicional de la Guía para Entidades Públicas Más Pequeñas de COSO del año 2006 se
incluye en el Apéndice C. Este apéndice se ha ampliado para considerar las entidades más
allá de las empresas públicas más pequeñas y tiene relevancia para otras entidades más
pequeñas.
Tecnología
Algunos entrevistados comentaron, en general, sobre la expansión de la orientación sobre
tecnología en el Marco. Otros sugirieron incluir temas detallados de tecnología, como
respaldo y recuperación, en el Principio 11, Selecciona y Desarrolla Controles Generales
sobre Tecnología. Y otros sugirieron añadir riesgos detallados relacionados con las iniciativas
actuales de la tecnología, tales como la computación en nube o las técnicas de auditoría
continua. Algunos recomendaron hacer referencia a, o incorporar, otros marcos establecidos
específicamente referidos a controles de la tecnología y otras consideraciones.
El Marco incluye una mayor discusión sobre la tecnología, tanto en los puntos de enfoque
como en varios capítulos. El Marco no incluye un amplio debate sobre las iniciativas actuales
de la tecnología específica o los riesgos asociados a los mismos, debido a la naturaleza
cambiante de la tecnología y la preocupación de que el Marco puede llegar a ser anticuado.
El Marco no hace referencia explícita de otros marcos centrados en la tecnología por su
nombre.
Estructura y Diseño
Algunos de los encuestados expresaron su preocupación por la longitud del Marco y
sugirieron presentar únicamente los requerimientos de control interno. Otros sugirieron
modificar la estructura para destacar los requerimientos frente a la orientación suplementaria.
El Consejo de COSO sigue creyendo que el Marco comprende todos los capítulos. Sin
embargo, el Consejo reconoce la importancia de establecer claramente que los componentes
y principios relevantes son los requerimientos de un sistema eficaz de control interno.
Debido Proceso
Algunos de los encuestados pusieron en duda la suficiencia de las actividades del debido
proceso alrededor de la iniciativa de COSO para actualizar el Marco, sugiriendo por ejemplo,
que PwC y COSO realizan labores de divulgación adicional y consultas públicas antes de
publicar el Marco. El Consejo de COSO considera que el nivel amplio de actividades en los
últimos años han capturado un amplio abanico de puntos de vista sobre las modificaciones
propuestas al Marco que se describe en el Apéndice D, Metodología para la Modificación del
Marco. Como parte de este enfoque, PwC y COSO:
201

• Encuestaron a usuarios y partes interesadas en el marco original para captar
opiniones de los usuarios sobre la naturaleza y el alcance de las actualizaciones
necesarias, recibiendo más de 700 respuestas (diciembre 2010-septiembre 2011)
• Realizaron once reuniones con el Consejo Consultivo (entre cuyos miembros figuran
representantes de AICPA, AAA, FEI, IIA, IMA, firmas de contadores públicos, otras
organizaciones profesionales y varios observadores de regulación)
• Proporcionaron borradores del Marco actualizado para comentarios del público
(diciembre 2011 a marzo 2012)
• Pusieron a disposición una versión revisada del Marco para comentarios públicos, en
relación con la provisión de los borradores de la propuesta de Control Interno sobre
Información Financiera Externa: Un Compendio de Enfoques y Ejemplos, junto con el
Marco y Herramientas Ilustrativas para Evaluar la Eficacia de un Sistema de Control
Interno (septiembre a diciembre de 2012)
• Participaron en numerosos congresos, seminarios presenciales y seminarios en línea
con miembros de COSO para recabar opiniones adicionales de las partes interesadas
y los usuarios (enero 2011 a enero 2013)
COSO considera que ha habido un esfuerzo sustantivo en el debido proceso para capturar
puntos de vista sobre los cambios propuestos al Marco y Apéndices, a Control Interno sobre
Información Financiera Externa: Un Compendio de Enfoques y Ejemplos, y a Herramientas
Ilustrativas para Evaluar la Eficacia de un Sistema de Control Interno.
202

F. Resumen de Cambios al Marco Integrado de Control
Interno de COSO (1992)
Este apéndice resume los grandes cambios de la edición original publicada en 1992, así
como los cambios realizados dentro de cada uno de los cinco componentes del control
interno.
Cambios de Base Amplia

Los siguientes cambios significativos son evidentes en todas las áreas del Marco actualizado:
• Se aplica un enfoque basado en principios: El Marco centra más la atención en los
principios. Mientras que el marco original reflejaba implícitamente los principios
básicos de control interno, el Marco establece explícitamente los diecisiete principios
que representan los conceptos fundamentales relacionados con los componentes del
control interno. Estos principios siguen siendo amplios, ya que están destinados a
aplicarse a (1) cualquier categoría de objetivos y (2) cualquier tipo de entidad,
empresas con fines de lucro, tanto que cotizan en bolsa como privadas, entidades sin
fines de lucro, organismos gubernamentales y otras organizaciones. Apoyando cada
principio están los puntos de enfoque, que representan características importantes de
los principios.
• Aclara requerimientos para un control interno eficaz: Los componentes y principios
comprenden los criterios que ayudan a la gerencia a determinar si una entidad tiene
un control interno eficaz. El Marco establece que cada uno de los componentes y
principios relevantes estén presentes y en funcionamiento y que los cinco
componentes estén operando juntos.
• Expande la categoría de objetivos de informes: La categoría de objetivos de
información financiera se amplió para considerar otros informes externos más allá de
la información financiera, así como información interna, tanto financiera como no
financiera.
• Aclara el papel de la fijación de objetivos en el control interno: El marco original
declaró que la fijación de objetivos es un proceso de gerencia, y que la fijación de
objetivos es una condición previa para el control interno. El Marco conserva esa visión
y amplía el debate sobre la especificación de los objetivos y considera la idoneidad de
los objetivos establecidos. Esta discusión se incluye en el Capítulo 2, Objetivos,
Componentes y Principios.
• Considera la globalización de mercados y operaciones: Las organizaciones se
expanden más allá de los mercados nacionales en la búsqueda de valor, entrando en
los mercados internacionales, y ejecutando fusiones y adquisiciones. El Marco
describe los cambios en los modelos operativos de gerencia, en las estructuras
legales de las entidades, y en funciones y responsabilidades relacionadas con el
203

control interno a nivel de entidad y sub-unidad. Además, considera la identificación y el
análisis de los factores de riesgo internos y externos relativos a las fusiones y adquisi-
ciones.
• Mejora conceptos de gobernabilidad: El Marco incluye la discusión ampliada sobre la
gobernabilidad en relación con el Consejo y los comités del Consejo, incluyendo los
comités de auditoría, compensación y nominación/gobernabilidad.
• Considera diferentes modelos de negocio y estructuras organizativas: Los modelos y
estructuras de negocios han evolucionado a lo largo de los últimos veinte años,
muchas entidades ya amplían sus modelos de negocio para abarcar el uso de provee-
dores de servicios externos para los productos o servicios necesarios para el fun-
cionamiento operativo de la entidad. El panorama de la competición, la globalización,
la industria dinámica y los cambios tecnológicos, la evolución de los modelos de nego-
cio, la competición por el talento, la gestión de costos y otros factores, han exigido a la
gerencia mirar más allá de las operaciones internas para acceder a los recursos nece-
sarios. El Marco considera explícitamente el modelo de negocio ampliado, incluyendo
las responsabilidades de control interno de este modelo y el logro de un control interno
eficaz.
• Considera demandas y complejidades de las leyes, reglamentos y normas: Los regu-
ladores y emisores de normas promueven una mayor protección de las partes interesadas
y confianza en la información externa a través de cambios en las leyes, reglamentos y
normas. El Marco reconoce el papel de los reguladores y entes normativos en la fijación
de objetivos y en la definición de los criterios para evaluar la severidad y reportar las
deficiencias de control interno.
• Considera las expectativas por las competencias y responsabilidades: Las demandas
de mayor competencia y responsabilidad aumentan y esto hace que las orga-
nizaciones se vuelvan más complejas, adquieran entidades, hagan cambios en su es-
tructura, introduzcan nuevos productos y servicios, e implementen nuevos procesos y
tecnologías. Las organizaciones pueden aplanarse, cambiar los modelos operativos de
gerencia y delegar más autoridad y responsabilidad. El Marco amplía el debate sobre
estos temas.
• Refleja la creciente importancia de la tecnología: El número de entidades que usan o
dependen de la tecnología ha aumentado considerablemente desde 1992, junto con la
extensión con la cual se utiliza tecnología en la mayoría de las entidades. Las tec-
nologías han evolucionado a partir de grandes entornos de servidores independientes
que procesan transacciones por lotes hasta aplicaciones altamente sofisticadas, des-
centralizadas y móviles que implican múltiples actividades en tiempo real que pueden
atravesar muchos sistemas, organizaciones, procesos y tecnologías. El cambio en la
tecnología puede afectar cómo se implementan todos los componentes del control in-
terno.
• Mejora la consideración de las expectativas de lucha contra el fraude: El marco
original consideraba el fraude, aunque la discusión de las expectativas de lucha
204

contra el fraude y la relación entre fraude y control interno era menos prominente. El
Marco contiene considerablemente más debate sobre el fraude y también considera la
posibilidad de fraude como un principio de control interno.
Logro de Objetivos
El marco original observó que el control interno puede ser juzgado eficaz en cada una de las
tres categorías, respectivamente, si el Consejo y la gerencia tiene un aseguramiento
razonable de que:
• Ellos entienden el grado en que se están alcanzando los objetivos de operaciones de
la entidad
• Los estados financieros publicados se preparan de manera confiable
• Las leyes y reglamentos aplicables se cumplen
El marco original señaló que el logro de los objetivos de operaciones no está siempre dentro
del control de la entidad. Para estos objetivos de operaciones, el sistema de control interno
sólo puede proporcionar un aseguramiento razonable de que la gerencia, y en su función de
vigilancia, el Consejo, se hacen conscientes en el momento oportuno de la medida en que la
entidad está avanzando hacia esos objetivos.
El Marco reconoce que el logro de algunos objetivos de operaciones no está siempre dentro
del control de la organización y en tales casos mantiene la opinión expresada en el marco
original. El Marco también reconoce que cuando es poco probable que los eventos externos
tengan un impacto significativo en el logro de los objetivos especificados, una organización
puede ser capaz de obtener aseguramiento razonable de que esos objetivos se pueden
lograr.
Cambios a Componentes de Control Interno
Ambiente de Control
En las dos décadas transcurridas desde la publicación de la estructura original en 1992, una
serie de factores han señalado la necesidad de una actualización sobre lo que se debe
considerar al establecer un ambiente de control sensato. En la actualidad existe una mayor
complejidad en los modelos de negocio, con empresas que se extienden a una amplia red de
205

terceros y socios comerciales que no sólo son responsables de la entrega de resultados, sino
también de adherirse a las normas esperadas que la organización pretende cumplir. Las
múltiples estructuras que definen las organizaciones de hoy en día, ya sea por línea de
productos, geografía, persona jurídica, o algún otro factor, requieren un enfoque flexible y
multidimensional hacia la gobernabilidad y el control, así como la capacidad de informar en
consecuencia.
Hoy en día, existe una mayor necesidad de transparencia de la forma en que opera y se
gobierna la organización. Los informes ahora se extienden más allá de los resultados
financieros, se espera que los debates sobre el riesgo sean más sólidos y detallados, la
información sobre responsabilidad social de las empresas es más importante para las partes
interesadas, y el ritmo de publicación de dicha información se ha acelerado. Los cambios en
las expectativas de gobernabilidad como resultado de la evolución de la normativa, las
normas de cotización en bolsas de valores, y otros requerimientos de las partes interesadas,
han obligado ciertas estructuras y procesos. Estos incluyen la independencia de los
consejeros, la divulgación de perfiles de competencias, los procesos de evaluación del
Consejo y el comité de auditoría, y la alineación de los incentivos, las presiones y las
recompensas para garantizar que se promueve el comportamiento correcto y que se corrige
el comportamiento negativo. Todo está diseñado para mantener el ritmo con el perfil de
riesgo en evolución de la organización.
En las actualizaciones del Capítulo 5, Ambiente de Control, los cambios clave incluyen:
• Combinar en cinco principios los debates relativos a los valores de integridad y ética,
el compromiso con la competencia, el Consejo o el comité de auditoría, la filosofía de
gerencia y estilo de funcionamiento, la estructura organizativa, la asignación de
autoridad y responsabilidad, y las políticas y las prácticas de recursos humanos
• Explicar los vínculos entre los diversos componentes de control interno para demostrar
los aspectos fundamentales del ambiente de control para un sistema sólido de control
interno
• Ampliar la discusión de los roles de gobernabilidad en una organización, el
reconocimiento de las diferencias en las estructuras, los requerimientos y retos en
diferentes jurisdicciones, sectores y tipos de entidades
• Clarificar las expectativas de integridad y valores éticos para reflejar las lecciones
aprendidas y la evolución de la ética y cumplimiento (por ejemplo, códigos de
conducta, el proceso de certificación, los procesos de señales de alarma, la
investigación y la resolución, y el adiestramiento y el refuerzo tanto interno como con
terceros)
• Ampliar la noción de la vigilancia del riesgo y el fortalecimiento de los vínculos entre el
riesgo y el desempeño para ayudar a asignar recursos que apoyen el control interno
en el logro de los objetivos de la entidad
• Hacer hincapié en la necesidad de considerar el control interno a través de las
complejidades de la estructura organizativa que resultan de los diferentes modelos de
206

negocio y el uso de proveedores externos de servicios, socios comerciales y otros
socios externos
• Alinear las funciones y responsabilidades discutidas en la estructura organizativa con
la información que se presenta en el Apéndice B, Funciones y Responsabilidades, por
lo que las funciones principales son usadas consistentemente dentro del Marco.
Desde 1992, la atención que se presta al riesgo y al componente de evaluación del riesgo de
control interno ha seguido aumentando, con el riesgo y el control más estrechamente
alineados. Por consiguiente, muchas organizaciones han cambiado su forma de pensar lejos
de ser prescriptivas, para adoptar un enfoque de control interno más basado en el riesgo.
Algunos usuarios del marco inicial sugirieron que se necesitaban cambios para mejorar la
comprensión de los riesgos y su relación con el sistema general de control interno. En la
medida que las empresas adoptan programas de gestión del riesgo empresarial y gestión del
riesgo, también buscan una mayor claridad de cómo considerar las evaluaciones de riesgos
dentro del contexto del control interno, y qué aspectos de la gestión del riesgo siguen siendo
gradual con el control interno.
Los usuarios también observaron que casi la mitad del capítulo original sobre la evaluación
del riesgo se centró en los objetivos, y que este enfoque no era necesario si la fijación de
objetivos fuese verdaderamente una condición previa para el control interno. Muchas
organizaciones han ampliado sus esfuerzos de información, incluyendo muchos otros tipos
de información externa más allá de la información financiera. Por último, a menudo en
respuesta a los acontecimientos que ocurren dentro de sus organizaciones, la industria, o
dentro de la comunidad de negocios en general, y como resultado de la expansión de las
presiones legislativas en algunas jurisdicciones, muchas organizaciones también han
aumentado sus esfuerzos en materia de lucha contra el fraude.
Por lo tanto, el Capítulo 6, Evaluación del Riesgo, refleja estos cambios fundamentales a
través de:
• Reposicionar gran parte de la discusión sobre la fijación de objetivos, que se sigue
considerando como una condición previa a la evaluación del riesgo, al Capítulo 2,
Objetivos, Componentes y Principios, y ya no incluye la discusión sobre categorías de
objetivos, la vinculación entre los objetivos y el logro de los objetivos en el componente
de Evaluación del Riesgo
• Centrar el componente de Evaluación del Riesgo en la articulación de los objetivos
relacionados con las operaciones, informes y cumplimiento con la suficiente claridad
para que los riesgos hacia los objetivos puedan ser identificados y evaluados, y
considerando la necesidad de evaluar la idoneidad de los objetivos para su uso como
base para evaluar los eficacia
207

• Ampliar la categoría de objetivos de informes financieros para incluir otros aspectos de
informes externos e incluir información interna
• Reflejar la opinión de que la información no financiera se realiza en relación con un
requisito externo o norma
• Aclarar que la evaluación del riesgo incluye procesos para la identificación de riesgos,
análisis del riesgo y respuesta a los riesgos
• Ampliar la discusión sobre la severidad del riesgo más allá de impacto y probabilidad,
e incluir la velocidad y persistencia
• Incorporar la tolerancia al riesgo (establecida como una condición previa para el
control interno y perteneciente al nivel de variación aceptable en el desempeño y la
importancia relativa de los objetivos) en la evaluación de los niveles de riesgo
aceptables
• Ampliar la discusión sobre la necesidad de que la gerencia entienda los cambios
significativos en los factores internos y externos, y cómo pueden afectar el sistema
general de control interno
• Considerar el riesgo de fraude en relación con la omisión o declaración errónea
material de la información, la protección inadecuada de los activos y la corrupción,
como parte del proceso de evaluación del riesgo
Desde 1992, la evolución del papel de la tecnología en los negocios ha sido quizás más
evidente en la ejecución de las actividades de control. Mientras que los conceptos
fundamentales en torno a actividades de control establecidos en el marco original no han
cambiado, la tecnología ha cambiado muchos de los detalles. Hoy en día, la tecnología de la
información está mucho más integrada en los procesos de negocio a través de cualquier
entidad. La variedad de tecnologías que se utilizan en la mayoría de las entidades ha crecido
más allá de los sistemas de información centralizados en gran medida en el centro de datos
propio de una organización de innumerables tecnologías descentralizadas, móviles,
inteligentes y habilitadas para la web, cada vez más situadas en organizaciones de servicios
de terceros. Además, el reciente énfasis en la mejora de los controles en las organizaciones,
que ha sido provocada por el mercado y la regulación, ha llevado a una comprensión más
profunda de cómo las actividades de control son diseñadas e implementadas con eficacia.
Por lo tanto, en el Capítulo 7, Actividades de Control, los cambios clave incluyen:
• Ampliar el debate a fin de reflejar la evolución de la tecnología desde 1992 (por
ejemplo, reemplazando los conceptos de centro de datos con una discusión más
general sobre la infraestructura de la tecnología)
208

• Ampliar la discusión de la relación entre las actividades de control automatizado y los
controles generales sobre la tecnología para reforzar los vínculos con los procesos de
negocio, separando en secciones independientes los detalles de las actividades de
control automatizados y los controles generales sobre la tecnología para aclarar la
distinción entre los dos
• Ampliar la discusión sobre las actividades de control que constituyen una serie de
técnicas de control y a la vez proporcionar una descripción más detallada de estos
tipos y técnicas, y una manera de clasificarlas, realizar controles a nivel de transacción
distintos de los controles en otros niveles de la organización, y la discusión sobre
objetivos de procesamiento de información más detallada
• Actualizar la discusión sobre los controles generales sobre tecnología para centrarse
más en los conceptos universales de lo que hay que controlar en esta área y no
específicos aplicables a la tecnología del año 1992
• Aclarar que las actividades de control son las acciones que establecen las políticas y
procedimientos en lugar de ser políticas y procedimientos en sí mismas
La fuente, el volumen y forma de la información y la comunicación se han expandido

dramáticamente desde 1992. Las fuentes de información se han vuelto más diversas y
complejas, abarcando a los proveedores de servicios externos que apoyan la totalidad o
parte de los procesos de negocio de una organización (por ejemplo, los proveedores de
servicios subcontratados, las empresas mixtas) y las redes internas y externas destinadas a
crear mecanismos de intercambio de información no estructurada (medios sociales).
El volumen de información, en particular en la forma de datos brutos, accesibles a por las
organizaciones y recopilados por ellas, crea oportunidad y riesgo. El alcance de los
regímenes regulatorios ha creado una mayor demanda de información, mayores expectativas
de calidad y protección, y mayores necesidades de comunicación. Y a medida que las
organizaciones y los modelos de negocio se han vuelto más complejos en su estructura y
alcance geográfico, la información de calidad y su comunicación dentro de la organización se
ha convertido en un imperativo. Además, la importancia de la libre circulación de la
información dentro de la organización para que la gerencia y los empleados entiendan los
eventos o circunstancias nuevas o modificadas para re-evaluar los riesgos y modificar el
sistema de control interno, se ha vuelto más importante, así como también la gestión legal y
las estructuras funcionales de las entidades empresariales se han vuelto más complejas.
En el Capítulo 8, Información y Comunicación, los cambios clave incluyen:
• Hacer hincapié en la importancia de la discusión de la calidad de la información
• Ampliar la discusión sobre las expectativas para verificar una fuente y la retención
209

cuando la información se utiliza para apoyar los objetivos de informes a las partes
externas
• Ampliar la discusión sobre el impacto de los requerimientos regulatorios sobre
seguridad y protección de datos
• Ampliar la discusión sobre el volumen y las fuentes de información a la luz de la
creciente complejidad de los procesos de negocio, una mayor interacción con las
partes externas, y los avances tecnológicos
• Reflejar el impacto de la tecnología y otros mecanismos de comunicación en la
velocidad, los medios, y la calidad del flujo de información
• Agregar contenido a las necesidades de información y comunicación entre la entidad y
terceros, haciendo hincapié en la importancia de considerar cómo pueden ocurrir
procesos fuera de la entidad (por ejemplo, mediante el uso de proveedores de
servicios de terceros que gestionan procesos específicos) y cómo la entidad debe
obtener información y comunicarse con las partes que operan fuera de sus límites
legales y operativos
Al aplicar el marco original, los usuarios a menudo centraron sus esfuerzos de supervisión en
las actividades de control. Con el cambio en los requerimientos de informes regulatorios en
muchas jurisdicciones, las organizaciones han comenzado a considerar el seguimiento en su
contexto más amplio y pretendido: ayudar a la gerencia en la comprensión de cómo se están
aplicando todos los componentes del control interno y si el sistema general de control interno
funciona de manera eficaz. Para mejorar la coherencia interna entre los componentes en el
Marco y hacer la discusión más práctica, el título de este componente ha sido actualizado a
Actividades de Supervisión y la discusión se ha mejorado.
Los cambios en los principios del Marco no alterarán sustancialmente los enfoques
desarrollados para la Orientación sobre la Supervisión de Sistemas de Control Interno de
COSO.
En el capítulo 9, Actividades de Control, los cambios clave incluyen:
• Refinar la terminología, donde las dos categorías principales de las actividades de
supervisión ahora se conocen como "evaluaciones continuas" y "evaluaciones
individuales"
• Agregar la necesidad de una comprensión básica en el establecimiento y la evaluación
de las evaluaciones continuas e individuales
• Expandir la discusión sobre el uso de la tecnología y los proveedores de servicios externos
210

Formato General del Marco
El marco original contenía un capítulo que presentaba la definición de control interno, los
componentes del control interno, la relación de los objetivos y componentes, y la eficacia. En
el Marco, estos temas se tratan en tres capítulos diferentes: el capítulo 1, Definición de
Control Interno define el control interno, el Capítulo 2, Objetivos, Componentes y Principios,
se analizan los componentes del control interno y la relación de los objetivos, componentes y
principios; y en el Capítulo 3, Control Interno Eficaz, considera los requerimientos para
evaluar la eficacia de un sistema de control interno. Además, el Capítulo 4, Consideraciones
Adicionales, analiza el juicio de la gerencia, los puntos de enfoque, el costo en comparación
con los beneficios del control interno, la evolución del papel de la tecnología, la
documentación, y la aplicación del control interno en las entidades más grandes contra más
pequeñas.
211

212

G. Comparación con el Marco Integrado de Gestión del Ries-
go Empresarial de COSO
En 2004, COSO publicó Marco Integrado de Gestión del Riesgo Empresarial (Marco GRE),
que establece un marco para la gestión del riesgo empresarial y proporciona orientación a las
empresas y otras entidades para ayudar a desarrollar y aplicar sus actividades de gestión del
riesgo empresarial. Identifica y describe ocho componentes interrelacionados necesarios
para una gestión eficaz del riesgo empresarial.
El Marco GRE define la gestión del riesgo empresarial como un proceso, efectuado por el
Consejo de la entidad, la gerencia y otro personal, aplicado tanto en la fijación de la
estrategia y en toda la entidad, diseñado para identificar eventos potenciales que puedan
afectar a la entidad, para gestionar el riesgo y para proporcionar un aseguramiento razonable
de que se alcanzarán los objetivos de la entidad. Las organizaciones que han implementado
el Marco GRE es probable que vean un impacto mínimo en sus actividades de gestión del
riesgo empresarial derivadas de la emisión de este Marco Integrado de Control Interno:
Marco y Apéndices.
En este apéndice se describe la relación entre el Marco Integrado de Control Interno y el
Marco GRE.
Un Concepto Más Amplio
La gestión de riesgos empresariales es más amplia que el control interno, elaborando sobre
el control interno y centrándose más directamente en el riesgo. El control interno es una parte
integral de la gestión del riesgo empresarial, mientras que la gestión del riesgo empresarial
es parte del proceso general de gobernabilidad. Esta relación se muestra en la siguiente
ilustración.
213

la gestión del riesgo empresarial se centra en cómo una entidad crea, conserva y realiza el
valor, el control interno se centra principalmente en el logro de los objetivos especificados.
La gestión del riesgo empresarial a menudo es vista como una visión de futuro, considerando
el grado de riesgo que la organización está dispuesta a aceptar, cómo se crean y mitigan
riesgos por las decisiones estratégicas, y cómo los riesgos emergentes pueden afectar a la
organización. Por el contrario, el control interno se centra en si la organización está mitigando
los riesgos para el logro de los objetivos especificados. En este contexto, el control interno es
a menudo más que retrospectivo prospectivo.
Apetito de Riesgo y Tolerancia al Riesgo
El Marco GRE introduce los conceptos de apetito de riesgo y tolerancia al riesgo.

El apetito de riesgo es la cantidad de riesgo que una entidad está dispuesta a aceptar en el
cumplimiento de su misión/visión. Sirve como un hito en la estrategia de fijación y selección
de objetivos correspondientes.
La tolerancia al riesgo es el nivel aceptable de variación en el desempeño en relación con el
logro de los objetivos. Al establecer niveles de tolerancia al riesgo, la gerencia considera la
importancia relativa de los objetivos relacionados con la tolerancia al riesgo y se alinea con el
apetito de riesgo.
Operar dentro de la tolerancia al riesgo proporciona a la gerencia mayor aseguramiento de
que la entidad se mantiene dentro de su riesgo, lo que a su vez proporciona mayor
comodidad para que la entidad logre sus objetivos. El concepto de tolerancia al riesgo está
incluido en el Marco como una condición previa para el control interno, pero no como una
parte del control interno.
Visión de Cartera
La gestión del riesgo empresarial requiere considerar los riesgos compuestos desde la
perspectiva de la cartera. Este concepto no se contempla en el Marco Integrado de Control
Interno, que se centra en el logro de los objetivos de manera individual. El control interno no
exige que la entidad desarrolle una visión de cartera.
215

Los principios de cada componente contenido en el Marco se utilizan siempre que sea
posible para representar estas similitudes y diferencias.
Ambiente de Control
Común de GRE y IC Introducido en IC y ampliado Incrementado en GRE

en GRE
• Demuestra compromiso • Ejerce responsabilidad • Establece filosofía de

con la integridad y de vigilancia gestión del riesgo
valores éticos
• Establece la cultura de
• Establece estructuras, riesgo
autoridad y responsabi-
lidad • Establece apetito de
riesgo
• Demuestra compromiso
con la competencia
• Hace cumplir las
responsabilidades
Al analizar el componente Ambiente de Control, el Marco GRE trata (en el capítulo titulado
Entorno Interno) la filosofía de gestión del riesgo de la entidad, que es el conjunto de
creencias y actitudes que caracterizan cómo la entidad considera los riesgos compartidos, lo
que refleja sus valores y la influencia de su cultura y estilo de funcionamiento. Como se ha
descrito anteriormente, el Marco abarca el concepto de apetito de riesgo de la entidad, que
está apoyado por las tolerancias de riesgo más específicas.
Debido a la importancia crítica del Consejo y su composición, el Marco GRE amplía la
convocatoria por una masa crítica de directores independientes (normalmente al menos dos)
estableciendo que para que la gestión del riesgo empresarial sea eficaz, el Consejo debe
tener al menos una mayoría de consejeros externos independientes.
217


en GRE
• Evalúa el riesgo de • Identifica y analiza • Distingue riesgos y

fraude riesgos / eventos oportunidades
• Identifica y analiza • Desarrolla vista de
cambios significativos cartera
El Marco GRE y el Marco Integrado de Control Interno, ambos reconocen que los riesgos se
producen en todos los niveles de la entidad y son el resultado de una serie de factores
internos y externos. Ambos marcos consideran la identificación de riesgos dentro del
contexto del potencial impacto en el logro de los objetivos.
El Marco GRE analiza el concepto de eventos potenciales, y define evento como un incidente
o suceso procedente de fuentes internas o externas que afecta la implementación de
estrategias y el logro de los objetivos. Los eventos potenciales con impacto positivo
representan oportunidades, mientras que aquellos con impacto negativo representan riesgos.
El Marco se centra en la identificación de riesgos y no incluye el concepto de la identificación
de oportunidades como la decisión de buscar oportunidades como parte del proceso más
amplio de establecimiento de una estrategia.
Mientras que ambos marcos requieren la evaluación del riesgo, el Marco GRE sugiere ver la
evaluación del riesgo a través de una lente más nítida. Los riesgos se consideran como
inherentes y residuales, preferentemente expresados en la misma unidad de medida
establecida para los objetivos a los que los riesgos se relacionan. Los horizontes de tiempo
deben ser coherentes con las estrategias de la entidad, los objetivos, y cuando sea posible,
con los datos observables. El Marco GRE también llama la atención sobre los riesgos
relacionados entre sí, que describe cómo un solo evento que puede crear múltiples riesgos.
Como se ha señalado, la gestión del riesgo empresarial abarca la necesidad de tener una
vista de cartera a nivel de entidad, donde los gerentes de la unidad de negocio, función,
proceso, u otras actividades, tienen las responsabilidad de realizar una evaluación
compuesta del riesgo de las unidades individuales.
Al igual que el Marco Integrado de Control Interno, el Marco GRE identifica cuatro categorías
de respuesta al riesgo: evitar, reducir, compartir y aceptar. Sin embargo, la gestión del riesgo
empresarial requiere una consideración adicional: las respuestas potenciales de estas
categorías con la intención de alcanzar un nivel de riesgo residual alineado con la tolerancia
al riesgo de la entidad. La gerencia también considera como parte de la gestión del riesgo el
efecto agregado de sus respuestas a los riesgos a través de la entidad y en relación con el
apetito de riesgo de la entidad.
218


en GRE
• Selecciona y desarrolla • Ninguno • Ninguno

actividades de control
• Selecciona y desarrolla
controles generales
sobre la tecnología
• Se despliega a través
de políticas y
procedimientos
Ambos marcos presentan las actividades de control como aquellas que ayudan a asegurar
que las respuestas al riesgo de la gerencia se llevan a cabo. El Marco Integrado de Control
Interno presenta una visión más actual de la tecnología y su impacto en la gestión de una
entidad.

en GRE
• Se comunica • Utiliza información • Ninguno

internamente relevante
• Se comunica
externamente
El Marco GRE tiene una visión más amplia de la información y la comunicación, destacando
los datos derivados de eventos pasados, presentes y potenciales futuros. Los datos
históricos permiten a la entidad seguir los resultados reales contra los objetivos, planes y
expectativas, y proporciona información detallada sobre la forma en que la entidad se
desempeñó en los períodos bajo diversas condiciones. Los datos actuales proporcionan
importante información adicional y datos sobre posibles eventos futuros y los factores
219

subyacentes completan el análisis. La infraestructura de información produce y captura datos
en un plazo y con un grado de detalle coherente con las necesidades de la entidad para
identificar eventos, evaluar y responder a los riesgos, y permanecer dentro de su apetito de
riesgo. El Marco Integrado de Control Interno se centra más estrechamente en la calidad de
los datos y la información relevante necesaria para el control interno.

en GRE
• Realiza evaluaciones • Ninguno • Ninguno

continuas o
individuales
• Evalúa y comunica las
deficiencias
Ambos marcos presentan las actividades de supervisión como aquellas que ayudan a
asegurar que los componentes del control interno y de gestión del riesgo empresarial siguen
funcionando y se mantienen en el tiempo adecuado. El Marco Integrado de Control Interno
presenta una visión más actual de supervisión utilizando información de base y el
seguimiento de los proveedores de servicios externos.
220

221

Coso 2013 Marco Integrado y Apendices

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Coso 2013 Marco Integrado y Apendices

Uploaded by

Copyright:

Available Formats

Comité de Organizaciones Patrocinadoras de la Comisión Treadway

Marco Integrado de Control Interno

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

• Asociación Americana de Contabilidad (AAA)

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Marco Integrado de Control Interno

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

David L. Landsittel: Presidente de COSO

Miles E.A. Everson: Líder del Trabajo, Nueva York, EE.UU.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

COSO se complace en presentar su Marco Integrado de Control Interno actualizado (Marco).

El lector experimentado encontrará mucho de lo que es habitual en el Marco, que se construye en lo

Al mismo tiempo, el Marco incluye mejoras y aclaraciones destinadas a facilitar la utilización y

El Marco ha sido mejorado mediante la ampliación de la categoría de los objetivos de

• Expectativas de vigilancia sobre la gobernabilidad

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Previamente, COSO emitió la Orientación sobre la Supervisión de Sistemas de Control Interno

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

El propósito de este Marco Integrado de Control Interno (Marco) es ayudar a la gerencia a

Entendiendo el Control Interno

Control interno se define como sigue:

Control interno es un proceso, efectuado por el Consejo de la entidad, la gerencia y

Esta definición refleja ciertos conceptos fundamentales. El control interno:

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Orientado al Logro de Objetivos

El Marco proporciona tres categorías de objetivos, que permiten a las organizaciones

• Objetivos de Operaciones - Estos se refieren a la eficacia de las operaciones

Se espera que un sistema de control interno proporcione a una organización el aseguramien-

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

El control interno no es un evento o circunstancia, sino un proceso dinámico e iterativo2: ac-

2 Aunque referido como un proceso, el control interno comprende muchos procesos.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Proporciona Aseguramiento Razonable

Un sistema eficaz de control interno proporciona a la gerencia y al Consejo un aseguramiento

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

La categoría de objetivos de operaciones incluye la salvaguarda de los activos, es decir, la

• Objetivos de Informes No Financieros Externos, la gerencia puede reportar información no

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Solapamiento de Categorías de Objetivos

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Base de las Categorías de Objetivos

Algunos objetivos se derivan de los entornos regulatorios o la industria en que opera la

Estos objetivos se establecen en gran medida por la ley o el reglamento, y caen en la

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

• Las transacciones de venta se resumen con precisión y completamente en los libros y

• La presentación y revelaciones relativas a las ventas están bien descritas, ordenadas y

Componentes y Principios de Control Interno

Entorno o Ambiente de Control

El ambiente de control es el conjunto de normas, procesos y estructuras que sirven de base

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Evaluación del Riesgo

La evaluación del riesgo consiste en un proceso dinámico e iterativo para identificar y

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

La información es necesaria en la entidad para que se lleven a cabo las responsabilidades de

Las evaluaciones continuas, evaluaciones independientes, o una combinación de ambas, se

TRADUCCIÓN NO OFICIAL, SOLO PARA FINES EDUCATIVOS.

Control Interno y Fijación de Objetivos

No es práctico diseñar ni implementar un sistema de control interno, a menos que se