Informe COSO

Los nuevos conceptos
del control interno

(Informe COSO)
COOPERS & LYBRAND
-1-
Traducido de: Internal Control Integrated Framework
Traducción: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.
Revisión: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.
© Coopers & Lybrand e Instituto de Auditores Internos, 1997
© Committee of Sponsoring Organizations of the Treadway Commission,

con la autorización de American Institute of Certified Public Accountants,
Inc. New York, N.Y.
Reservados todos los derechos.
<<No está permitida la reproducción total o parcial de este libro,

ni su tratamiento informático, ni la transmisión de ninguna
forma o por cualquier medio, ya sea electrónico, mecánico,
por fotocopia, por registro u otros métodos, sin el permiso
previo y por escrito de los titulares del Copyright.»
Ediciones Díaz de Santos, S.A.

Juan Bravo, 3A
28006 MADRID
ISBN: 84-7978-295-1
Dep6sito legal: M. 11.863- 1997
Diseño de Cubierta: Angel Calvete

Fotocomposición: Díaz de Santos, S.A.
Imipresión: Lavel, S.A.
Encuadenación: Rústica-Hilo, S. L.
-2-
Autores y Promotores del Informe
Committee Of Sponsoring Organizations
Of the Treadway Commission (COSO)
ENTIDADES PROMOTORAS REPRESENTANTES
American Institute of Certified Public Accountants Robert L. May, Clairman

American Accounting Association Alvin A. Arens
The Institute of Internal Auditors Williams G. Bishop, III
Institute of Management Accountants Thomas M. O´Toole
Financial Executives Institute P. Norman Roy
GRUPO ASESOR DEL INFORME
Gaylen N. Larson, Clairman C. Perry Colwell John H. Stewart

Group Vice President, Seniro Vice President- Assistant Treasurer
Chief Accounting Officer Financial Management IBM Corporation
Household International AT&T
Andrew D. Bailey Willian J. Ihlanfeldt Howard L. Siers, Consult.

Professor, Department of Accounting Assistant Controller General Auditor
College of Business and Shell Oil Company I. Du Pont de Nemours and
Public Administratation Company, Inc.
The University of Arizona
Roger N. Carolus David L. Landsittel

Senior Vice President Managing director-Auditing
Nations Bank Arthur Andersen & Co.
AUTOR
Coopers & Lybrand
PRINCIPALES COLABORADORES
Vincent M. O´Reilly R. Malcolm Schwartz Riclard M. Steinberg

Deputy Clairman, Accounting Principal Partner
and Auditing New York Office National Office
Frank J. Tanki Robert J. Spear

Director, Accounting Partner
and SEC Technical Services Boston Office
-3-
Contenido
Prólogo IX
Sección primera: Resumen para la dirección

Resumen para la dirección 3
Sección segunda: Marco general de referencia

1. Definición 15
2. Entorno de control 27
3. Evaluación de los riesgos 43
4. Actividades de control 67
5. Información y comunicación 81
6. Supervisión
7. Limitaciones del control interno 107
8. Funciones y responsabilidades 113
Anexos:
A. Antecedentes y acontecimientos que condujeron a este estudio 127

B. La metodología 137
C. Interpretaciones de la definición 145
D. Análisis de los comentarios 153
E. Glosario 165
Sección tercera: Información a terceros

9. Información a terceros 173
Anexo: Análisis de los comentarios 203
Suplemento “Información a terceros” 209
Sección cuarta: Herramientas de evaluación

10. Introducción 219
11. Herramientas de evaluación: modelos de formularios 221
12. Manual de referencia 277
Ejemplos de formularios cumplimentados 285
-4-
Prólogo
Constituye para nosotros un motivo de gran satisfacción presentar a los lectores de habla
española y, concretamente a los profesionales de la auditoría, del control, de la administración y
gestión de las organizaciones, la traducción de la versión en inglés del Informe COSO sobre
Control Interno, publicación editada en los Estados Unidos en 1.992 tras un largo período de
discusión de más de cinco años y realizada por el grupo de trabajo que la Comisión Treadway
formó con el objetivo fundamental de definir un nuevo marco conceptual del control interno capaz
de integrar las diversas definiciones y conceptos que lasta ahora se han venido utilizando sobre este
tema.
El Informe COSO la pretendido, y creemos que ampliamente conseguido, por lo menos en los
Estados Unidos, que es donde el informe ha tenido lasta ahora mayor difusión, que cuando se
plantee cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas
como a nivel de auditoría interna o externa, o a los niveles académicos y legislativos, los
interlocutores tengan una referencia conceptual común, lo cual lasta ahora resultaba complejo, dada
la multiplicidad de definiciones y conceptos divergentes que la existido sobre el control interno.
Además, por la amplitud de los conceptos empleados y por la superación de los de las viejas
definiciones restrictivas y mecanicistas, esta nueva definición integradora se la convertido en una
herramienta eficaz para satisfacer la necesidad de un buen gobierno corporativo de las empresas.
El grupo de trabajo estaba constituido por representantes de la American Accounting
Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial
Executive Institute (FAI), Institute of Internal Auditors (IIA) e Institute of Management
Accountants (IMA), y sus siglas COSO corresponden al Committee of Sponsoring Organizations
de la Treadway Commission, National Commission on Fraudulent Financial Reporting, creada en
Estados Unidos en 1985 por las instituciones ya citadas, con la finalidad de identificar los factores
que originan la presentación de información
-5-
financiera falsa o fraudulenta y emitir las recomendaciones que garantizasen la máxima
transparencia informativa en tal sentido. La redacción del informe fue encomendada a Coopers &
Lybrand.
La diversidad y autoridad del grupo COSO, confieren al estudio que hoy publicamos gran
difusión y aceptación, que la tenido y alcanzara en los medios financieros y en los directorios y
consejos de administración de las organizaciones, resaltando la necesidad de que los
administradores y altos directivos presenten especial atención al control interno concebido tal como
el COSO lo define, enfatizando la necesidad de comités de auditoría y de una cualificada función
de auditoria tanto interna como externa y recalcando la necesidad de que el control interno sea un
proceso integrado que forme parte de los procesos de los negocios y no pesados mecanismos
burocráticos añadidos a los mismos.
Consecuentemente, el Instituto de Auditores Internos de España (IAI), y Coopers & Lybrand
España se han asociado para difundir en el mundo de habla hispana estos nuevos conceptos de
control interno, convencidos de que ello será beneficioso para la mejora de la filosofía y la práctica
del control interno y del efecto positivo que tendrá sobre las funciones de auditoria tanto interna
como externa. El Instituto de Auditores Internos de España esta asociado al Institute of Internal
Auditors y al mismo pertenecen los departamentos de auditoria interna de las principales
organizaciones y empresas del país. El Institute of Internal Auditors está implantado en mas de 100
países y agrupa a más de 54.000 auditores internos. Coopers & Lybrand reúne en España a más de
900 profesionales de auditoria, impuestos y consultoría. A nivel mundial está implantada en 120
países y cuenta con cerca de 70.000 profesionales.
El equipo que la llevado a cabo la traducción la estado encabezado por Antonio García López
(IAI) y Juan José Hierro González (C&L), quienes han contado, entre otros, con la colaboración de
Pelegrín García Martínez (IAI), Alfredo Hierro Cuenca (IAI), Xavier Valls Moré (C&L) y Carmen
Fabre Alegre (C&L).
Por ello agradecemos a todos los colaboradores el esfuerzo y dedicación en la traducción de
este informe, el cual, sin duda, constituirá una excelente guía práctica y una insustituible fuente de
consulta y ayuda para directores de empresas, consejeros, gestores y directivos, profesores
universitarios y de escuelas de negocios, auditores y, en general, para aquellos que estén interesa-
dos en la nueva cultura del control y de la gestión de las organizaciones, así como para los
reguladores y funcionarios públicos con responsabilidades en el control, auditoria e intervención de
las entidades gubernamentales y de la administración pública.
Eduardo Hevia Vázquez Ángel Luis Linares Martínez

Presidente del Instituto Presidente de Coopers & Lybrand, S.A.
de Auditores Internos de España (España)
-6-
Sección primera
Resumen para la dirección
-7-
Resumen para la dirección
Lace tiempo que los altos ejecutivos buscan maneras de controlar mejor las empresas que
dirigen. Los controles internos se implantan con el fin de detectar, en el plazo deseado, cualquier
desviación respecto a los objetivos de rentabilidad establecidos por la empresa y de limitar las
sorpresas. Dichos controles permiten a la dirección hacer frente a la rápida evolución del entorno
económico y competitivo, así como a las exigencias y prioridades cambiantes de los clientes y
adaptar su estructura para asegurar el crecimiento futuro. Los controles internos fomentan la
eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la fiabilidad de
los estados financieros y el cumplimiento de las leyes y normas vigentes.
Debido a que los controles internos son útiles para la consecución de muchos objetivos
importantes, cada vez es mayor la exigencia de disponer de mejores sistemas de control interno y
de informes sobre los mismos. El control interno es considerado cada vez más como una solución a
numerosos problemas potenciales.
Lo que se entiende por control interno
El control interno no tiene el mismo significado para todas las personas, lo cual causa
confusión entre empresarios y profesionales, legisladores, reguladores, etc. En consecuencia, se
originan problemas de comunicación y diversidad de expectativas, lo cual da origen a problemas
dentro de las empresas. Estos problemas se agravan cuando el término “control interno”, sin estar
claramente definido, se utiliza en leyes, normas o reglamentos.
-8-
El presente informe trata de las necesidades y las expectativas de los directores de empresa y
otros interesados. En este estudio se trata de:
 Establecer una definición común del control interno que responda a las necesidades de las
distintas partes.
 Facilitar un modelo en base al cual las empresas y otras entidades —grandes o pequeñas,
públicas o privadas y lucrativas o no— puedan evaluar sus sistemas de control y decidir
cómo mejorarlos.
En un sentido amplio, se define como un proceso efectuado por el consejo de administración,

la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes
categorías:
 Eficacia y eficiencia de las operaciones.

 Fiabilidad de la información financiera.
 Cumplimiento de las leyes y normas que sean aplicables.
La primera categoría se dirige a los objetivos empresariales básicos de una entidad,

incluyendo los objetivos de rendimiento y de rentabilidad y la salvaguarda de los recursos. La
segunda está relacionada con la elaboración y publicación de estados financieros fiables,
incluyendo estados financieros interinos y abreviados, así como la información financiera extraída
de dichos estados, como por ejemplo los comunicados sobre resultados, que sean publicados. La
tercera concierne al cumplimiento de aquellas leyes y normas a las que está sujeta la entidad.
Estas distintas pero, en parte, coincidentes categorías tratan diferentes necesidades y permiten un
enfoque dirigido lacia la satisfacción de las necesidades individuales.
Los sistemas de control funcionan en tres niveles distintos de eficacia. El control interno se
puede considerar eficaz en cada una de las tres categorías, respectivamente, si el consejo de
administración y la dirección tienen la seguridad razonable de que:
 Disponen de información adecuada sobre hasta qué punto se están logrando los objetivos
operacionales de la entidad.
 Se preparan de forma fiable los estados financieros públicos.
 Se cumplen las leyes y normas aplicables.
Si bien el control interno es un proceso, su eficacia es el estado o la situación del proceso en

un momento dado.
-9-
El control interno consta de cinco componentes relacionados entre sí. Se derivan de la
manera en que la dirección dirija la empresa y están integrados en el proceso de dirección.
Aunque los componentes son aplicables a todas las empresas, las pequeñas y medianas pueden
implantarlos de forma distinta que las grandes. Aunque sus sistemas de control pueden ser
menos formales y estructurados, una pequeña empresa también puede tener un control interno
eficaz. Los componentes son los siguientes:
 Entorno de control.— El entorno de control marca la pauta del funcionamiento de una

organización e influye en la concienciación de sus empleados respecto al control. Es la
base de todos los demás componentes del control interno, aportando disciplina y estructura.
Los factores del entorno de control incluyen la integridad, los valores éticos y la capacidad
de los empleados de la entidad, la filosofía de dirección y el estilo de gestión, la manera en
que la dirección asigna la autoridad y las responsabilidades y organiza y desarrolla
profesionalmente a sus empleados y la atención y orientación que proporciona el consejo
de administración.
 Evaluación de los riesgos.— Cada entidad se enfrenta a diversos riesgos externos e

internos que tienen que ser evaluados. Una condición previa a la evaluación del riesgo es la
identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente
coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los
riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar
cómo han de ser gestionados los riesgos. Debido a que las condiciones económicas,
industriales, legislativas y operativas continuarán cambiando continuamente, es necesario
disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio.
 Actividades de control.— Las actividades de control son las políticas y los procedimientos
que ayudan a asegurar que se llevan a cabo las instrucciones de la dirección. Ayudan a
asegurar que se toman las medidas necesarias para controlar los riesgos relacionados con la
consecución de los objetivos de la entidad. Las actividades de control en toda la organiza-
ción, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan
diversa como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de
rentabilidad operativa, salvaguarda de activos y segregación de funciones.
 Información y comunicación.— Hay que identificar, recopilar y comunicar información

pertinente en forma y plazo que permitan cumplir a cada
- 10 -
empleado con sus responsabilidades. Los sistemas informáticos producen informes que
contienen información operativa, financiera y datos sobre el cumplimiento de las normas que
permite dirigir y controlar el negocio de forma adecuada. Dichos sistemas no sólo manejan
datos generados internamente, sino también información sobre acontecimientos externos,
actividades y condiciones relevantes para la toma de decisiones de gestión, así como para la
presentación de información a terceros. También debe haber una comunicación eficaz en un
sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la
organización, de arriba lacia abajo y a la inversa. El mensaje por parte de la alta dirección a
todo el personal la de ser claro: las responsabilidades del control han de tomarse en serio.
Los empleados tienen que comprender cuál es su papel en el sistema de control interno y
cómo las actividades individuales están relacionadas con el trabajo de los demás. Por otra
parte, han de tener medios para comunicar la información significativa a los niveles
superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes,
proveedores, organismos de control y accionistas.
 Supervisión.— Los sistemas de control interno requieren supervisión, es decir, un proceso

que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del
tiempo. Esto se consigue mediante actividades de supervisión continuada, evaluaciones
periódicas o una combinación de ambas cosas. La supervisión continuada se da en el
transcurso de las operaciones. Incluye tanto las actividades normales de dirección y
supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus
funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán
esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de
supervisión continuada. Las deficiencias detectadas en el control interno deberán ser
notificadas a niveles superiores, mientras que la alta dirección y el consejo de administración
deberán ser informados de los aspectos significativos observados.
Estos componentes, vinculados entre sí, generan una sinergia y forman un sistema integrado
que responde de una manera dinámica a las circunstancias cambiantes del entorno. El sistema de
control interno está entrelazado con las actividades operativas de la entidad y existe por razones
empresariales fundamentales. El sistema de control interno es más efectivo cuando los controles
se incorporan en la infraestructura de la sociedad y forman parte de la esencia de la empresa.
Mediante los controles “incorporados”, se fomenta la calidad y las iniciativas de delegación de
poderes, se evitan gastos innecesarios y se permite una respuesta rápida ante las circunstancias
cambiantes.
- 11 -
Existe una interrelación directa entre las tres categorías de objetivos, que son lo que una
entidad se esfuerza por conseguir, y los componentes, que representan lo que se necesita para
lograr dichos objetivos. Todos los componentes son relevantes para cada categoría de
objetivos. Al examinar cualquier categoría —por ejemplo, la eficacia y eficiencia de las
operaciones— los cinco componentes han de estar presentes y funcionando de forma apropiada
para poder concluir que el control interno sobre las operaciones es eficaz.
La definición de control interno —con sus conceptos fundamentales subyacentes de un
proceso efectuado por los empleados que aporta un grado razonable de seguridad— junto con
la clasificación de los objetivos y de los componentes y los criterios para lograr la eficacia, así
como las cuestiones relacionadas, constituyen el marco del control interno.
Lo que se puede lograr con el control interno
El control interno puede ayudar a que una entidad consiga sus objetivos de rentabilidad y
rendimiento y a prevenir la pérdida de recursos. Puede ayudar a la obtención de información
financiera fiable. También puede reforzar la confianza en que la empresa cumple con las leyes
y normas aplicables, evitando efectos perjudiciales para su reputación y otras consecuencias.
En resumen, puede ayudar a que una entidad llegue a donde quiere ir y evite peligros y
sorpresas en el camino.
Lo que no se puede lograr con el control interno
Desafortunadamente algunas personas tienen expectativas mayores y poco realistas.

Buscan soluciones absolutas pensando que:
 El control interno garantiza el éxito de una entidad, es decir, asegura la consecución de

objetivos básicos empresariales o como mínimo la supervivencia de la entidad.
Incluso un control interno eficaz sólo puede “ayudar” a la consecución de los
objetivos de una entidad. Puede suministrar información para la dirección sobre el
progreso de la entidad, o la falta de tal progreso, lacia la consecución de dichos objetivos.
Sin embargo, el control interno no puede hacer que un gerente intrínsecamente malo se
convierta en un buen gerente. Asimismo, los cambios en la política o los programas
gubernamentales, las acciones que tomen los competidores o las condiciones
- 12 -
económicas pueden estar fuera del control de la dirección. El control interno no puede
asegurar el éxito, ni siquiera la supervivencia, de la entidad.
 El control interno puede asegurar la fiabilidad de la información financiera y el

cumplimiento de las leyes y normas aplicables.
Esta creencia tampoco es justificable. Un sistema de control interno, no importa lo bien
concebido que esté y lo bien que funcione, únicamente puede dar un grado de seguridad
razonable, no absoluta, a la dirección y al consejo en cuanto a la consecución de los objetivos
de la entidad. Las posibilidades de éxito se yen afectadas por las limitaciones que son inhe-
rentes a todos los sistemas de control interno. Estas limitaciones incluyen el hecho innegable
de que las opiniones en las que se basan las decisiones pueden ser erróneas y que pueden
producirse fallos como consecuencia de un simple error o equivocación. Adicionalmente, los
controles pueden esquivarse mediante la confabulación de dos o más personas y, por otra
parte, la dirección tiene la capacidad de eludir el sistema. Otro factor restrictivo consiste en
que el diseño de un sistema de control interno debe reflejar el hecho de que existen
restricciones sobre los recursos y que los beneficios de los controles han de ser considerados
en relación con los costes correspondientes.
Así pues, el control interno puede ayudar a que una entidad consiga sus objetivos, pero
no es una panacea.
Funciones y responsabilidades
Todos los miembros de la organización son responsables del control interno.
 La dirección.— El director general (o cualquier otra denominación que pueda darse al

máximo ejecutivo de una empresa, tal como consejero delegado, presidente ejecutivo, ...
etc.), es el responsable último y debería asumir la “titularidad” del sistema. Más que ningún
otro individuo, el director general fija la pauta en las esferas más altas de la entidad, influ-
yendo en la integridad, la ética y los demás factores para la consecución de un entorno de
control favorable. En una empresa grande, el director general cumple esta función liderando
y dirigiendo al equipo directivo y revisando la manera en que los miembros de ese equipo
controlan el negocio. Los directores, a su vez, designan al responsable de cada función
dentro de su unidad y establecen políticas y procedimientos de control interno más
específicos. En una entidad más pequeña, la influencia del
- 13 -
Director general, a veces un empresario-propietario, suele ser más directa. En cualquier
caso, la responsabilidad se organiza en cascada, el director de una unidad de negocio o de
un departamento equivale a un director general de su área de responsabilidad. De gran
importancia son los directores financieros y sus equipos de personas, cuyas actividades de
control consideran, tanto horizontal como verticalmente, todas las unidades operativas y
demás departamentos de una entidad.
 El consejo de administración.— La dirección es responsable ante el consejo de

administración, el cual debe ofrecer orientación, pautas de actuación y una visión global
del negocio. Un miembro eficaz del consejo debe ser objetivo, capaz y curioso. La de
conocer también las actividades de la entidad y su entorno y dedicar el tiempo necesario al
cumplimiento de sus responsabilidades como consejero. La dirección podría eludir los
controles e ignorar o suprimir las comunicaciones procedentes de sus subordinados, lo cual
permitiría a una dirección deshonesta corregir los resultados de manera intencionada sin
dejar rastro de tales irregularidades. Un consejo de administración fuerte y activo,
especialmente si se complementa con unas vías efectivas de comunicación con los niveles
altos de la entidad y con los responsables de unas funciones financiera, legal y de auditoria
interna desarrolladas competentemente, es generalmente quien mejor puede identificar y
corregir tales posibles problemas.
 Auditores internos.— Los auditores internos desempeñan un papel importante en la

evaluación de la eficacia de los sistemas de control y ayudan a mantenerla a lo largo del
tiempo. Debido a su posición jerárquica y su autoridad, la función de auditoría interna
suele desempeñar un papel importante de supervisión.
 Otros empleados.— El control interno es, hasta cierto punto, la responsabilidad de todos
los miembros de una organización y, por lo tanto, debe ser una parte explicita o implícita
de la descripción del puesto de trabajo de cada empleado. Casi todos los empleados
producen información utilizada en el sistema de control interno o realizan las funciones
necesarias para efectuar el control. Asimismo, todo el personal debe ser responsable de
comunicar al nivel superior los problemas surgidos en el transcurso de las operaciones, así
como cualquier incumplimiento del código de conducta u otras violaciones de las políticas
establecidas o acciones ilegales.
Por otra parte, algunos terceros ajenos a la entidad suelen contribuir a la consecución de
sus objetivos. Los auditores externos, aportando una opinión
- 14 -
independiente y objetiva, contribuyen directamente mediante la auditoria de los estados
financieros e, indirectamente, proporcionando a la dirección y al consejo información útil para el
ejercicio de sus responsabilidades. Asimismo, entre los terceros que proporcionan información
útil a la entidad para llevar a cabo el control interno se encuentran los legisladores y las entidades
de control, los clientes y otras personas que lacen negocios con la entidad, los analistas
financieros, las agencias de calificación de valores y los medios de comunicación. Sin embargo,
los terceros no son responsables del sistema de control interno de una entidad ni forman parte de
él.
Presentación de este informe
Este informe se presenta en cuatro secciones. La primera, el presente Resumen para la

dirección, es una visión general del marco de control interno dirigida a la alta dirección, los
miembros del consejo de administración, los Legisladores y los organismos de control.
La segunda, el Marco general de referencia, define el control interno, describe sus
componentes y ofrece criterios que pueden ser utilizados por la dirección, el consejo y otros para
evaluar sus sistemas de control.
La tercera parte, Información a terceros, es un documento complementario que sirve de guía
para aquellas entidades que publican información sobre el control interno, al mismo tiempo que
formulan sus cuentas estatutarias, o están considerando hacerlo.
La cuarta parte, Herramientas de evaluación, ofrece ciertas herramientas que pueden ser
útiles para realizar una evaluación de un sistema de control interno.
Lo que se debe hacer
Las medidas que se pueden tomar como consecuencia de este informe dependen de la
posición y la función de las partes involucradas:
 Alta dirección.— La mayoría de los altos directivos que han colaborado en este estudio
consideran que básicamente tienen “bajo control” sus organizaciones. Sin embargo, muchos
dijeron que había áreas de su empresa
—una división, un departamento o un componente de control que rige varias actividades—
en las que los controles están en una primera fase de desarrollo o que, por cualquier motivo,
tienen que ser reforzados. No les gustan las sorpresas. Este estudio sugiere que la alta
dirección inicie una auto evaluación del sistema de control. Usando los conceptos
desarrollados
- 15 -
dentro de este estudio, la dirección general, junto con los directores financieros y otros
directivos clave, pueden centrar su atención allí donde laga falta. Un posible
planteamiento podría ser que el director general se retina con los jefes de las unidades
empresariales y con los empleados con funciones clave para realizar una evaluación
inicial del control. A estas personas se les proporcionaran unas pautas para analizar los
conceptos de este informe con sus subordinados, vigilar el proceso inicial de evaluación
en sus áreas de responsabilidad e informar sobre los resultados. Otro planteamiento podría
ser una revisión inicial tanto de las políticas corporativas y de las unidades de negocio, así
como de los programas de auditoria interna. Cualquiera que sea su forma, una auto
evaluación inicial debería determinar si se requiere una evaluación más amplia y profunda
y cómo efectuarla, en caso de que fuera necesaria. Asimismo, se deberá asegurar que se
implanten procesos de supervisión continuada. El tiempo dedicado a la evaluación del
control interno representa una inversión, pero es una inversión de alta rentabilidad.
 Miembros del consejo.— Los miembros del consejo de administración deberán analizar el
estado del sistema de control de la entidad con los directivos, así como realizar la
supervisión y hacer que se lleven a cabo las revisiones que sean necesarias. Asimismo
seria muy conveniente que solicitasen las opiniones de los auditores internos y externos.
 Otros empleados.— Los directores a todos los niveles y otros empleados deberán
considerar la forma en que sus responsabilidades de control se están Llevando a cabo a la
luz de los conceptos desarrollados en este estudio y analizar con miembros de nivel
superior posibles ideas para reforzar el control. Los auditores internos deberán
reconsiderar su enfoque de análisis del sistema de control interno y probablemente deseen
comparar los instrumentos que utilizan en sus evaluaciones con las herramientas de
evaluación.
 Legisladores y organismos de control.— Los altos funcionarios que redactan o aprueban

las normas legales admiten que pueden existir conceptos erróneos y expectativas
divergentes en torno a prácticamente cualquier tema. Las expectativas acerca del control
interno varían considerablemente en dos sentidos. Primero, varían con respecto a lo que se
puede lograr con los sistemas de control. Como ya hemos mencionado, algunos
observadores piensan que los sistemas de control interno evitan, o deberían evitar, las
pérdidas económicas o, al menos, la desaparición o quiebra de las compañías. Segundo,
aun cuando se esté de acuerdo sobre lo que los
- 16 -
sistemas de control pueden y no pueden hacer y sobre la validez del concepto de “seguridad
razonable”, pueden existir opiniones distintas sobre el significado del concepto o su
aplicación. Los directivos han expresado su preocupación sobre la interpretación que los
organismos de control efectuaran de los informes públicos, que incluyan manifestaciones
sobre la “seguridad razonable” de los sistemas, después de que se haya puesto de manifiesto
un supuesto fallo de control. Antes de que se tomen medidas basadas en leyes o normas que
tratan la información suministrada por la dirección sobre el control interno, debería haber un
consenso sobre un marco común de referencia sobre el control interno, incluyendo las
limitaciones del control interno. Este marco general deberá ayudar a llegar a tal acuerdo.
 Organizaciones profesionales.— Las organizaciones responsables de la elaboración de

normas y otras organizaciones profesionales que emiten directrices sobre la gestión
financiera, la auditoría y otros temas relacionados deberán considerar tales normas y
directrices a la luz de este estudio. Todas las partes se beneficiarán en la medida en que se
consiga eliminar las diferencias existentes en los conceptos y la terminología.
 Educadores.— Este marco general deberá ser objeto de investigación académica y de análisis
para decidir qué mejoras pueden realizarse en el futuro. Asumiendo que este informe sea
aceptado como una base para conseguir la comprensión mutua, sus conceptos y términos
deberán acabar plasmándose en los planes de estudios universitarios.
Creemos que este informe ofrece una serie de beneficios. Con esta base para alcanzar una
comprensión mutua, todas las partes podrán hablar un idioma común y comunicarse de forma más
eficaz entre sí. Los ejecutivos de empresa tendrán la posibilidad de contrastar los sistemas de
control interno contra un modelo ideal, fortalecer los sistemas y dirigir a sus empresas hacia los
objetivos establecidos. La investigación futura podrá edificarse sobre una base sólida. Los
legisladores y los organismos de control podrán obtener un mayor conocimiento del control
interno, sus beneficios y sus limitaciones. Estos beneficios se conseguirán cuando todas las partes
utilicen un marco de referencia común sobre el control interno.
- 17 -
Sección segunda
Marco general de referencia

(Marco integrado)
- 18 -
1
Definición
Resumen del capítulo: El control interno se define como un proceso, efectuado por el personal de
una entidad, diseñado para conseguir unos objetivos específicos. La definición es amplia y cubre
todos los aspectos de control de un negoció, pero al mismo tiempo permite centrarse en objetivos
específicos. El control interno consta de cinco componentes relacionados entre sí’ que son
inherentes al estilo de gestión de la empresa. Estos componentes están vinculados entre sí sirven
como criterios para determinar si el sistema es eficaz.
Un objetivo clave del presente estudio consiste en ayudar a la dirección de las empresas y de
otras entidades a mejorar el control de las actividades de sus organizaciones. Sin embargo, el
término “control interno” no tiene el mismo significado para todo el mundo y la amplia variedad de
términos y significados con que se utiliza dificulta que se logre una comprensión común del control
interno. Una de las metas importantes, pues, es la integración de diversos conceptos de control
interno dentro de un marco en el que se pueda establecer una definición común e identificar los
componentes de control. Tal marco esta pensado para dar cabida a la mayoría de los puntos de vista
y proporcionar un punto de partida para la evaluación de los sistemas de control interno por parte
de las propias entidades, para las iniciativas futuras de los organismos legislativos y para la
enseñanza.
- 19 -
Control interno
El control interno se define de la siguiente forma:
El control interno es un proceso efectuado por el consejo de administración, la dirección y el

resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

 Cumplimiento de las leyes y normas aplicables.
La anterior definición refleja ciertos conceptos fundamentales:
 El control interno es un proceso. Es un medio utilizado para la consecución de un fin, no un

fin en sí mismo.
 El control interno lo llevan a cabo las personas. No se trata solamente de manuales de
políticas e impresos, sino de personas en cada nivel de la organización.
 El control interno sólo puede aportar un grado de seguridad razonable, no la seguridad total,
a la dirección y al consejo de administración de la entidad.
 El control interno esta pensado para facilitar la consecución de objetivos en una o más de las
diferentes categorías que, al mismo tiempo, se solapan.
La anterior definición del control interno es amplia, por dos motivos. En primer lugar,
corresponde a la opinión sobre el control interno que tienen la mayoría de los altos ejecutivos
entrevistados a la hora de gestionar sus negocios‟. De hecho, a menudo hablan de “control” y de
estar “bajo control”.
En segundo lugar, también contempla otros aspectos más específicos de control interno. Así,
uno puede centrarse en, por ejemplo, los controles sobre la información financiera o los
relacionados con el cumplimiento de la legislación aplicable. Asimismo, permite centrarse en los
controles sobre unas unidades o actividades determinadas de una entidad.
Esta definición también sirve como base para definir la eficacia del control interno, que se
analiza mAs adelante. Los conceptos fundamentales descritos con anterioridad se analizan en los
siguientes párrafos.
1
El término “negocio”, tal y como se utiliza aquí, se refiere a las actividades de cualquier entidad, incluyendo las organizaciones
gubernamentales o sin ánimo de lucro.
- 20 -
Un proceso 2
El control interno no constituye un acontecimiento o una circunstancia aislados, sino una

serie de acciones que se extienden por todas las actividades de una entidad. Estas acciones son
omnipresentes e inherentes a la gestión del negocio por parte de la dirección.
Los procesos de negocio, que se Llevan a cabo dentro de las unidades y funciones de la
organización o entre las mismas, se coordinan en función de los procesos de gestión básicos de
planificación, ejecución y supervisión. El control interno es parte de dichos procesos y esta
integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento
y aplicabilidad en cada momento. Constituye una herramienta útil para la gestión, pero no un
sustituto de ésta.
Este concepto del control interno dista mucho de la perspectiva de algunos observadores,
que Yen el control interno como un elemento añadido a las actividades de una entidad o como
una carga inevitable impuesta por los organismos reguladores o por los dictados de una
burocracia excesiva. El sistema de control interno esta entrelazado con las actividades
operativas de la entidad y existe por razones empresariales fundamentales. Los controles inter-
nos son más efectivos cuando se incorporan a la infraestructura de una entidad y forman parte
de su esencia. Deberían ser “incorporados” y no “añadidos”.
La incorporación de controles puede influir directamente en la capacidad de la entidad de
conseguir sus objetivos, además de apoyar sus iniciativas de la calidad. La búsqueda de la
calidad esta directamente vinculada con la forma en que se gestionen y controlen los negocios.
Las iniciativas de control se convierten en parte de la estructura operativa de la empresa, como
se evidencia en los siguientes ejemplos:
 La alta dirección procura que los valores de la calidad se incorporen en el estilo

empresarial de su compañía.
 El establecimiento de objetivos de la calidad vinculados a los procesos de recopilación y
análisis de información de la entidad, entre otros.
 La utilización de conocimientos sobre las practicas de la competencia y las expectativas de
los clientes para impulsar la mejora continuada de la calidad.
Hay un paralelismo entre estos factores de calidad y los de los sistemas de control interno
eficaces. De hecho, el control interno no sólo esta integrado en
2
Aunque nos referimos al control interno como un proceso”, el control interno puede verse como una
multiplicidad de procesos.
- 21 -
los programas de calidad, sino que suele ser esencial para que éstos tengan éxito.
La incorporación de controles repercute de forma importante en la contención de costes y en
los tiempos de respuesta:
 La mayoría de las empresas deben hacer frente a mercados muy competitivos y a la

necesidad de contener sus costes. La introducción de nuevos procedimientos, independientes
de los existentes, provoca el aumento de los costes. Si una empresa se centra en las
operaciones existentes y en su contribución a la eficacia del control interno e incorpora
controles en las actividades operativas básicas, a menudo puede evitar procedimientos y
costes innecesarios.
 La práctica de incorporar controles en la estructura operativa fomenta el desarrollo de nuevos
controles necesarios para Llevar a cabo las nuevas actividades empresariales. Las reacciones
automáticas de este tipo lacen que las entidades sean más ágiles y competitivas.
Las personas
El control interno lo llevan a cabo el consejo de administración, la dirección y los demás

miembros de la entidad. Lo realizan los miembros de una organización, mediante sus acciones y
palabras. Son las personas quienes establecen los objetivos de la entidad e implantan los
mecanismos de control.
De la misma forma, el control interno afecta a la actuación de las personas. El control interno
tiene en cuenta que las personas no siempre comprenden, se comunican o realizan sus cometidos
de una manera uniforme. Cada individuo trae consigo un historial y unos conocimientos técnicos
únicos, y sus necesidades y prioridades difieren de las de los demás.
Estas realidades afectan y se ven afectadas por el control interno. Los empleados deben
conocer sus responsabilidades y los limites de su autoridad. Por consiguiente, la de existir un
vinculo estrecho entre las funciones de cada individuo y la forma de ejecución de dichas
funciones, así como con los objetivos de la entidad.
Los miembros de una organización incluyen al consejo de administración, además de la
dirección y los demás empleados. Aunque puede considerarse que la función primaria de los
consejeros consiste en la supervisión, de alguna manera también dirigen la entidad y aprueban
algunas transacciones y políticas significativas. En este sentido, pues, el consejo de
administración es un elemento importante del control interno.
- 22 -
Seguridad razonable
El control interno, por muy bien diseñado e implantado que esté, solamente puede aportar
un grado de seguridad razonable a la dirección y al consejo de administración acerca de la
consecución de los objetivos de la entidad. Las posibilidades de conseguir tales objetivos se
ven afectadas por las limitaciones que son inherentes a todos los sistemas de control interno.
Estas incluyen ciertos hechos innegables: las opiniones en que se basan las decisiones pueden
ser erróneas, los empleados encargados del establecimiento de controles tienen que analizar los
costes y beneficios relativos de los mismos y pueden producirse problemas en el
funcionamiento del sistema como consecuencia de fallos humanos, aunque se trate de un
simple error o equivocación. Adicionalmente, los controles pueden esquivarse si dos o más
personas se lo proponen. Por último, la alta dirección podría eludir el sistema de control
interno silo estimase oportuno.
Objetivos
Cada entidad tiene una misión, la cual determina sus objetivos y las estrategias necesarias
para alcanzarlos. Los objetivos pueden establecerse para la organización como conjunto o
dirigirse a determinadas actividades dentro de la misma. Aunque muchos objetivos son
específicos de una sola entidad, otros son ampliamente compartidos. Por ejemplo, la practica
totalidad de las entidades tienen como objetivo el conseguir y mantener una buena reputación
tanto en el ámbito general de los negocios como en el de sus clientes, facilitar unos estados
financieros fiables a sus accionistas y actuar de acuerdo con las leyes aplicables.
A los efectos del presente estudio, los objetivos pueden clasificarse en tres categorías:
 Operacionales.— Referente a la utilización eficaz y eficiente de los recursos de la

entidad.
 Información financiera.— Referente a la preparación y publicación de estados
financieros fiables.
 Cumplimiento.— Referente al cumplimiento por parte de la entidad de las leyes y
normas que le sean aplicables.
Esta clasificación permite centrarse en los diferentes aspectos del control interno. Las
categorías anteriores, que son diferentes aunque, al mismo tiempo, se solapan (un objetivo
determinado puede pertenecer a más de una categoría), corresponden a distintas necesidades y
pueden quedar bajo la responsabilidad
- 23 -
directa de ejecutivos diferentes. Esta clasificación permite asimismo identificar qué es lo que se
puede esperar de cada categoría de control interno.
De un sistema de control interno puede esperarse que proporcione un grado razonable de
seguridad acerca de la consecución de objetivos relacionados con la fiabilidad de la información
financiera y cumplimiento de las leyes y normas aplicables. La consecución de dichos objetivos,
basados en gran medida en las normas impuestas por terceros ajenos a la entidad, sólo depende de
cómo se Llevan a cabo las actividades desarrolladas bajo el control de la entidad.
No obstante, la consecución de los objetivos operacionales (tales como el rendimiento de una
inversión determinada, la cuota de mercado o el lanzamiento de nuevas líneas de productos) no
siempre esta bajo el control de la entidad. El control interno no es capaz de prevenir las opiniones
o decisiones equivocadas, o los acontecimientos externos que pueden evitar que se alcancen las
metas operativas. Respecto a tales objetivos, el sistema de control interno solamente puede
aportar un nivel razonable de seguridad de que la dirección y, en su papel de supervisor, el
consejo estén informados puntualmente del grado de avance en la consecución de dichos
objetivos.
Componentes
El control interno consta de cinco componentes relacionados entre sí. Estos se derivan del
estilo de dirección del negocio y están integrados en el proceso de gestión. Los componentes son
los siguientes:
 Entorno de control.— El núcleo de un negocio es su personal (sus atributos individuales,

incluyendo la integridad, los valores éticos y la profesionalidad) y el entorno en el que
trabaja. Los empleados son el motor que impulsa la entidad y los cimientos sobre los que
descansa todo.
 Evaluación de los riesgos.— La entidad debe conocer y abordar los riesgos con los que se
enfrenta. La de fijar objetivos, integrados en las actividades de ventas, producción,
comercialización, finanzas, etc., para que la organización funcione de forma coordinada.
Igualmente, debe establecer mecanismos para identificar, analizar y tratar los riesgos
correspondientes.
 Actividades de control.— Deben establecerse y ejecutarse políticas y procedimientos que
ayuden a conseguir una seguridad razonable de que se Llevan a cabo de forma eficaz las
acciones consideradas necesarias para afrontar los riesgos que existen respecto a la
consecución de los objetivos de la entidad.
- 24 -
Ilustración 1
Componentes del control interno
El entorno de control aporta el ambiente en el que las personas desarrollan sus actividades y cumplen con sus
responsabilidades de control. Sirve como base de los otros componentes. Dentro de este entorno, los directivos
evalúan los riesgos relacionados con el cumplimiento de determinados objetivos. Las actividades de control
se establecen para ayudar a asegurar que se pongan en práctica las directrices de la dirección para hacer frente
a dichos riesgos. Mientras tanto, la información relevante se capta y se comunica por toda la organización.
Todo este proceso es supervisado y modificado según las circunstancias.
- 25 -
 Información y comunicación.— Las mencionadas actividades están rodeadas de
sistemas de información y comunicación. Estos permiten que el personal de la entidad
capte e intercambie la información requerida para desarrollar, gestionar y controlar sus
operaciones.
 Supervisión.— Todo el proceso la de ser supervisado, introduciéndose las modificaciones
pertinentes cuando se estime oportuno. De esta forma, el sistema puede reaccionar
ágilmente y cambiar de acuerdo con las circunstancias.
Estos componentes del control interno y los vínculos existentes entre ellos se reflejan de
forma grafica en un modelo que se presenta en la ilustración anterior. El modelo refleja el
dinamismo de los sistemas de control interno. Por ejemplo, la evaluación de riesgos no sólo
influye en las actividades de control, sino que también puede poner de relieve que las necesidades
de información y de comunicación o las actividades de supervisión deberían reconsiderarse. Por
lo tanto, el control interno no es un proceso en serie, en el que un componente influye
exclusivamente en el siguiente, sino un proceso iterativo multidireccional, en el que
prácticamente cualquier componente puede influir, y de hecho influye, en otro.
Los sistemas de control interno no son, ni deben ser. Iguales en todos los casos. Las
entidades y sus necesidades de control interno varían mucho dependiendo del sector en el que
operen, su tamaño, su cultura o su filosofía de gestión. Así pues, aunque todas las entidades
necesitan cada uno de los componentes para lograr mantener el control sobre sus actividades, el
sistema de control interno de una entidad suele asemejarse muy poco al de otra.
Relación entre los objetivos y los componentes
Existe una relación directa entre los objetivos, que es lo que la entidad se esfuerza por
conseguir, y los componentes, que representan lo que se necesita para cumplir dichos objetivos.
Esta relación puede ilustrarse mediante una matriz tridimensional, tal y como se presenta en la
Ilustración 2:
 Las tres categorías de objetivos: operacionales, de información financiera y de

cumplimiento están representadas por las columnas verticales.
 Los cinco componentes están representados por filas.
 Las unidades o actividades de la entidad que están relacionadas con el control interno
están representadas por la tercera dimensión de la matriz.
Cada fila de componentes “cruza” las tres categorías de objetivos y es aplicable a las tres. En
la parte inferior izquierda de la ilustración hay un
- 26 -
Ilustración 2
Relación entre objetivos y componentes
Existe una relación di-
recta entre los objetivos,
que es lo que la entidad
se esfuerza por conse-
guir, y los componentes,
que representan lo que se
necesita para cumplir di- El control interno es
chos objetivos. relevante para la tota-
lidad de la entidad o
para cualquiera de sus
unidades o activi-
dades.
La información es necesaria para las tres categorías de Los cinco componentes son aplicables
objetivos: gestionar las operaciones empresariales e importantes para conseguir los
eficazmente, preparar estados financieros fiables y objetivos de las operaciones.
determinar si se están cumpliendo las leyes aplicables.
- 27 -
Ejemplo en forma de una sección extraída de la matriz: la información financiera y no financiera
procedente de fuentes tanto internas como externas (que es parte del componente de información
y comunicación) es necesaria para gestionar eficazmente las operaciones empresariales, formular
estados financieros fiables y determinar si la entidad esta cumpliendo la legislación aplicable.
Otro ejemplo (que no figura de forma separada en la ilustración) seria que el establecimiento y la
ejecución de políticas y procedimientos de control para asegurar que se están Llevando a cabo los
planes, programas y otras directrices de la dirección (que representan el componente de
actividades de control) es también relevante para las tres categorías de objetivos.
Asimismo, los cinco componentes tienen relevancia para cada categoría de objetivos. Por
ejemplo. En la categoría de eficacia y eficiencia de las operaciones los cinco componentes son
aplicables e importantes para su consecución. Esto se refleja de forma separada en la parte
inferior derecha de la ilustración.
El control interno es importante para la empresa en su totalidad o para cada una de sus partes.
Esta relación se refleja con la tercera dimensión, que representa las filiales, las divisiones u otras
unidades del negocio y las actividades funcionales o de otro tipo, como compras, producción y
marketing. Por lo tanto, uno puede centrar su atención en cualquier célula de la matriz. Por
ejemplo, se podría considerar aisladamente la célula situada en la parte inferior izquierda
delantera, que representa el entorno de control y su relación con los objetivos de operaciones de
una división determinada de la empresa.
Eficacia
Los sistemas de control interno de las diferentes entidades funcionan a distintos niveles de
eficacia. De la misma forma, un sistema determinado puede funcionar de forma diferente en
momentos distintos. Cuando un sistema de control interno alcanza el estándar descrito a
continuación, puede considerarse un sistema “eficaz”.
El control interno puede considerarse eficaz en cada una de las tres categorías, si el consejo
de administración y la dirección tienen una seguridad razonable de que:
 Disponen de información adecuada sobre lasta qué punto se están logrando los objetivos
operacionales de la entidad.
 Se preparan de forma fiable los estados financieros públicos.
 Se cumplen las leyes y normas aplicables.
- 28 -
Mientras que el control interno es un proceso, su eficacia es un estado o condición del proceso
en un momento dado.
La determinación de sí un sistema de control interno es “eficaz” o no constituye una toma de
postura subjetiva que resulta del análisis de sí están presentes y funcionado eficazmente los cinco
componentes. Su funcionamiento eficaz proporciona un grado de seguridad razonable de que una o
más de las categorías de objetivos establecidas van a cumplirse. Por consiguiente, estos
componentes también son criterios para determinar si el control interno es eficaz.
Aunque los cinco criterios deben cumplirse, esto no significa que cada componente laya de
funcionar de forma idéntica, ni siquiera al mismo nivel, en distintas entidades. Puede existir una
cierta compensación entre los distintos componentes. Debido a que los controles pueden tener
múltiples propósitos, los controles de un componente pueden cumplir el objetivo de controles que
normalmente están presentes en otro componente. Por otra parte, es posible que existan diferencias
en cuanto al grado en que los distintos controles abarquen un riesgo específico, de modo que los
controles complementarios, cada uno con un efecto limitado, puede ser satisfactorios en su
conjunto.
Los mencionados componentes y criterios se aplican a un sistema de control interno en su
conjunto, o a una o más categorías de objetivos. Al considerar una categoría determinada
(controles sobre la información financiera, por ejemplo) se deben cumplir los cinco criterios para
poder concluir que el control interno de la información financiera es eficaz.
Los siguientes capítulos deberían analizarse a la hora de determinar si el sistema de control
interno es eficaz. Las consideraciones que se exponen a continuación deben tenerse en cuenta:
 Puesto que el control interno es parte del proceso de gestión, los componentes se analizan en el
contexto de las acciones que la dirección desarrolla a la hora de gestionar su negocio. Sin embargo,
no todos los actos de la dirección constituyen elementos de control interno. El establecimiento de
objetivos, por ejemplo, aunque constituye una función importante de la dirección, es un requisito
previo del control interno. De la misma forma, muchas de las decisiones o acciones de la dirección
no son componentes del control interno. La Ilustración 3 contiene una lista de acciones típicas de
gestión e indica cuáles son consideradas como componentes del control interno. (No se pretende
que esta lista sea exhaustiva ni que constituya la única descripción posible de las actividades de la
dirección.)
 Los principios analizados son aplicables a cualquier entidad, independientemente de su tamaño.
Aunque es posible que algunas entidades pequeñas o medianas implanten componentes distintos de
los de las entidades
- 29 -
grandes, esto no impide que puedan disponer de un sistema de control interno eficaz. Cada uno de
los capítulos sobre estos componentes incluye una sección que explica tales circunstancias.
 El capítulo sobre cada componente contiene una sección de “evaluación” en la que se exponen los
factores que pueden tenerse en cuenta a la hora de evaluar dicho componente. No se pretende que
estos factores constituyan una lista exhaustiva, ni que todos ellos sean relevantes en cada situación.
Se incluyen más bien como ejemplos para desarrollar un programa de evaluación más amplio y
preciso.
Control interno y actividades de gestión
Actividades de Gestión Control Interno

Establecimiento de los objetivos de la entidad:
Declaraciones de misión de valores
Planificación estratégica
Establecimiento de los factores del entorno de control ✔
Establecimiento de los objetivos para cada actividad
Identificación y análisis de riesgos ✔
Gestión de Riesgos
Dirección de las actividades de gestión ✔
Identificación, recopilación y comunicación ✔
Supervisión ✔
Acciones correctivas
- 30 -
2
Entorno de control
Resumen del capitulo: El entorno de control marca las pautas de comportamiento en una
organización, y tiene una influencia directa en el nivel de concienciación del personal respecto al
control. Constituye la base de todos los demás elementos del control interno, aportando disciplina
y estructura. Entre los facto res que constituyen el entorno de control se encuentran la honradez,
los valores éticos y la capacidad del personal; la filosofía de la dirección y su forma de actuar; la
manera en que la dirección distribuye la autoridad y las responsabilidades y organiza y desarrolla
profesionalmente a sus empleados, así como la atención y orientación que proporciona el consejo
de administración.
El entorno de control tiene una incidencia generalizada en la estructuración de las actividades

empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos. Asimismo,
influye en las actividades de control, los sistemas de información y comunicación y las actividades
de supervisión. Esta influencia se extiende no sólo sobre el diseño de los sistemas sino también
sobre su funcionamiento diario. Tanto los antecedentes como la cultura de la organización inciden
sobre el entorno de control. Ambos inciden en el nivel de concienciación del personal respecto al
control. Las entidades sometidas a un control eficaz se esfuerzan por tener personal competente,
inculcan en toda la organización un sentido de integridad y concienciación sobre el control y
establecen una actitud positiva al nivel más alto de la organización. En este sentido, establecen
políticas y procedimientos adecuados, a menudo con un código de conducta escrito, haciendo
hincapié en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la
entidad.
- 31 -
Factores del entorno de control
El entorno de control engloba una serie de factores que se comentan a continuación. Aunque
todos son importantes, la medida en que cada uno será considerado variará en función de la
organización. Por ejemplo, es posible que el director general de una entidad con una plantilla
pequeña y operaciones centralizadas no establezca responsabilidades formales ni políticas de
explotación detalladas y‟ sin embargo, la entidad tenga un entorno de control apropiado.
Integridad y valores éticos
Los objetivos de una entidad y la manera en que se consiguen están basados en las distintas
prioridades, juicios de valor y estilos de gestión. Estas prioridades y juicios de valor, que se
traducen en normas de comportamiento, reflejan la integridad de la dirección y su compromiso
con los valores éticos.
Debido a que la buena reputación de una entidad es sumamente valiosa. Las normas de
comportamiento deben ir más allá que un mero respeto a la ley. El público espera algo mis. La
eficacia de los controles internos no puede estar por encima de la integridad y los valores éticos
de las personas que los crean, administran y supervisan. La integridad y los valores éticos son ele-
mentos esenciales del entorno de control y afectan el diseño, administración y supervisión de los
demás elementos del control interno.
La integridad es un requisito previo al comportamiento ético en todos los aspectos de las
actividades de una empresa. Tal como estableció la Comisión Treadway “un clima ético vigoroso
dentro de la empresa, y a todos los niveles de la misma, es esencial para el bienestar de la
organización, de todos sus componentes y del público en general. Un clima así contribuye de
forma significativa a la eficacia de las políticas y de los sistemas de control de la empresa y
permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control más
elaborados”‟.
A menudo resulta difícil establecer los valores éticos debido a la necesidad de tener en cuenta
los intereses de las distintas partes. Los valores de la alta dirección deben encontrar un equilibrio
entre los intereses de la empresa, sus empleados, proveedores, clientes, competidores y el público.
El intento de buscar el equilibrio entre estos intereses puede resultar complejo y frustrante
1
Report of the National Commission on Fraudulent Financial Reporting (National Commission on Fraudulent Financial
Reporting, 1987).
- 32 -
debido a que los distintos intereses a menudo se encuentran enfrentados. Por ejemplo, producir
productos básicos (gasolina, madera o alimentos) puede dar lugar a problemas
medioambientales.
Cada vez más, la dirección de las empresas bien gestionadas acepta la opinión de que la
ética da sus frutos; de que el comportamiento ético es un buen negocio. Existen numerosos
ejemplos tanto positivos como negativos. La desactivación de la crisis relacionada con la
manipulación de uno de los principales productos de una empresa farmacéutica fue
ampliamente comentada en prensa y constituyó todo un éxito tanto desde un punto de vista
ético como empresarial. El impacto sobre las relaciones con clientes o la cotización de las
acciones suele ser peor si las malas noticias, como beneficios por debajo de lo esperado o actos
ilegales, se filtran lentamente que si se efectúa una revelación completa tan inmediata como sea
posible.
Fijarse únicamente en los resultados inmediatos puede resultar perjudicial, incluso a corto
plazo. Concentrarse únicamente en las ventas o el beneficio a toda costa a menudo da lugar a
acciones y reacciones no deseadas. Las tácticas de venta agresivas, la inflexibilidad en las
negociaciones o las ofertas implícitas de soborno, por ejemplo, pueden provocar reacciones con
efectos tanto inmediatos como duraderos.
El comportamiento ético así como la integridad de la dirección son productos de una
“cultura corporativa”. La cultura corporativa se materializa en las normas éticas y de
comportamiento y en la forma en que éstas se comunican y refuerzan en la practica. Las
políticas oficiales especifican lo que la dirección desea que ocurra. La cultura corporativa
determina lo que en realidad ocurre y las reglas que se obedecen, modifican o ignoran. La alta
dirección, empezando por la dirección general, desempeña un papel clave a la hora de
determinar la cultura corporativa. Normalmente, la dirección general es la figura dominante de
la organización y a menudo da la pauta ética de la misma.
Incentivos y tentaciones. Lace unos años, un estudio2 sugirió que determinados factores
organizativos pueden incidir en la probabilidad de que se produzcan prácticas fraudulentas o
cuestionables a la hora de presentar información financiera. Estos mismos factores pueden
incidir en el comportamiento ético.
Los individuos pueden cometer actos fraudulentos, ilegales o poco éticos simplemente
porque la organización en la que trabajan les incita o tienta. El poner el énfasis en los
resultados, sobre todo a corto plazo, fomenta un entorno en el que se impone un precio muy
alto al fracaso.
2
Kenneth A. Merclant. Fraudulent and Questionable Financial Reporting: A. Corporate Perspective: (Morristown NJ:
Financial Executives Research Foundation, 1987).
- 33 -
29
Algunos de los motivos por los que se cometen actos de fraude o se incurre en prácticas
cuestionables a la hora de presentar información financiera y se cometen otros tipos de
comportamiento poco ético son los siguientes:
 Presiones para alcanzar objetivos de rendimiento poco realistas, sobre todo respecto a los
resultados a corto plazo.
 gratificaciones en las que el rendimiento tiene un peso especifico muy importante, y
 limites máximos y mínimos en los sistemas de gratificaciones.
Este estudio también cita situaciones que pueden resultar tentadoras e incitar a los empleados
a cometer actos indebidos:
 Falta de controles o controles ineficaces, tales como una segregación de funciones deficiente
en áreas sensibles, de forma que resulta tentador cometer un fraude o intentar bajos niveles
de rendimiento.
 Alto nivel de descentralización que impide que la alta dirección esté al corriente de las
acciones Llevadas a cabo en los niveles más bajos de la organización y que reduce, por tanto,
la probabilidad de que sean detectadas.
 Una función de auditoría interna débil que no es capaz de detectar e informar acerca de
comportamientos indebidos.
 Un consejo de administración poco eficaz que no desarrolla una supervisión objetiva de la
alta dirección.
 Sanciones por comportamientos indebidos insignificantes o que no se hacen públicas por lo
que pierden su valor disuasorio.
La eliminación de estos incentivos y tentaciones puede ser de gran ayuda para evitar o
reducir comportamientos poco deseables. Como ya se ha sugerido, esto puede conseguirse a
través de unas practicas empresariales responsables y rentables. Por ejemplo, los incentivos al
rendimiento —acompañados de una serie de controles apropiados— pueden constituir una técnica
de gestión útil siempre que los objetivos de rendimiento sean realistas. El establecimiento de unos
objetivos de rendimiento realistas constituye una buena práctica de motivación. Por una parte,
reduce el estrés contraproducente y, por otra, elimina la tentación de falsear la información
financiera, que son dos consecuencias directas del establecimiento de objetivos poco realistas.
Asimismo, un sistema de información bien controlado puede servir de protección contra la
tentación de maquillar el grado de consecución de objetivos.
- 34 -
Cómo establecer e inculcar las reglas éticas. Además de los incentivos y tentaciones ya
comentados, el estudio citado determinó una tercera razón por la que se Levaban a cabo prácticas
fraudulentas o cuestionables a la hora de presentar información financiera: la ignorancia. El
estudio observó que en muchas de las empresas en las que se han producido casos de
falsificación de información financiera, las personas involucradas o bien no sabían que estaban
actuando incorrectamente o, por error, creían que lo estaban haciendo en el interés de la
organización”. Esta ignorancia viene ocasionada, con frecuencia, por un escaso soporte moral o
por una falta de orientación, más que por la intención de engañar. Por tanto, no sólo deben
comunicarse los valores éticos sino que deben darse directrices especificas respecto a lo que es
correcto e incorrecto.
El ejemplo constituye la forma más eficaz de transmitir un mensaje a toda la organización
respecto al comportamiento ético. Las personas tienden a imitar a sus lideres. El personal suele
desarrollar las mismas actitudes que la alta dirección acerca de lo que esté bien y lo que esté mal
y, también, acerca del control interno. El saber que la dirección la actuado correctamente desde
un punto de vista ético a la hora de tomar una decisión difícil transmite un mensaje formal a
todos los niveles de la organización.
Dar buen ejemplo no es suficiente. La alta dirección debe comunicar verbalmente los
valores éticos y las normas de comportamiento a los empleados.
Un estudio 3 realizado lace algunos años indicaba que un código formal de conducta corporativa
es “un método utilizado comúnmente para comunicar a los empleados las expectativas de la
empresa respecto al cumplimiento de las obligaciones y la integridad”. Los códigos tratan una
gran variedad de temas, tales como la integridad y la ética, incompatibilidades, pagos ilegales o
indebidos, y acuerdos de no-competencia. Debido, en parte, a las revelaciones de escándalos en
la industria de armamentos, muchas empresas han adoptado códigos de conducta en los últimos
años, implantando las vías de comunicación y supervisión oportunas. Aunque los códigos de
conducta pueden ser útiles, no constituyen la única forma de transmitir los valores de la
organización a los empleados, proveedores y clientes.
La existencia de un código de conducta escrito y de documentación acreditativa de que los
empleados lo han recibido y lo entienden, no constituye una garantía de que éste se esté
aplicando. La mejor forma de garantizar el cumplimiento de las normas éticas,
independientemente de sí está o no expuestas en un código de conducta escrito, es a través del
comportamiento y el ejemplo de la alta dirección. En este sentido, son de gran importancia las
3
R.K. Mautz y J.Winjum, Criteria for Management Control Systems (New York: Financial Executives Research
Foundation, 1981).
- 35 -
sanciones impuestas a los empleados que violan dichos códigos, la existencia de mecanismos para
animar a los empleados a que informen sobre sospechas de infracciones y las acciones
disciplinarias contra los empleados que no informen sobre las infracciones. Los mensajes que se
desprenden de la actuación de la dirección en tales circunstancias rápidamente se integran en la
cultura corporativa.
Compromiso de competencia profesional
El nivel de competencia debe reflejar el conocimiento y las labilidades necesarias para Llevar
a cabo las tareas de cada puesto de trabajo. Suele ser función de la dirección determinar el grado
de perfección con el que debe Llevarse a cabo cada tarea, función que debe desarrollarse teniendo
en cuenta los objetivos de la entidad, así como las estrategias y los planes de la dirección para su
consecución. Suele buscarse un equilibrio entre el nivel de competencia deseado y el coste (por
ejemplo, no es necesario contratar un ingeniero para cambiar una bombilla).
La dirección debe especificar el nivel de competencia para cada trabajo y traducir estos
niveles en conocimientos y labilidades. A su vez, estos conocimientos y labilidades pueden estar
en función de la inteligencia, formación y experiencia de cada persona. Entre los muchos factores
a tener en cuenta a la hora de desarrollar conocimientos y niveles de labilidad están la naturaleza
y el grado de juicio profesional aplicables a un trabajo especifico. Debe buscarse el equilibrio
entre el nivel de supervisión y la capacidad exigida del individuo.
Consejo de administración y comité de auditoría
El entorno de control y la cultura de la organización están influidos de forma significativa

por el consejo de administración y el comité de auditoría. Los factores a tener en cuenta incluyen
el grado de independencia del consejo o el comité de auditoria respecto de la dirección, la
experiencia y calidad de sus miembros, grado de implicación y vigilancia y el acierto de sus
acciones. Otro factor es la frecuencia con que se plantean y tratan preguntas difíciles a la
dirección acerca de planes o comportamientos. La interacción del consejo o comité de auditoría
con los auditores internos o externos constituye otro factor que incide en el entorno de control.
Debido a su importancia, la actividad del consejo de administración u otro órgano similar
(con un grado adecuado de conocimientos técnicos, de gestión y otras materias, además de la
presencia y ánimo necesarios para llevar a cabo las funciones precisas de gestión, orientación y
supervisión) es esencial para
- 36 -
garantizar la eficacia del control interno. Debido a que el consejo debe estar preparado para
cuestionar y supervisar las actividades de la dirección, presentar opiniones alternativas y tener
disposición para actuar cuando surgen incidentes o problemas, debe incluir entre sus miembros
a consejeros externos ajenos a la entidad. Si bien es verdad que a menudo los directivos y
empleados suelen ser valiosos miembros del consejo que aportan su conocimiento de la
empresa, debe haber un equilibrio. Aunque las pequeñas e incluso medianas empresas puedan
encontrar dificultades a la hora de atraer o incurrir en el coste de tener una mayoría de
consejeros externos —lo cual no suele ocurrir en el caso de organizaciones más grandes— es
importante que el consejo incluya al menos una masa critica de consejeros externos. El número
debe adecuarse a las circunstancias de la entidad, si bien normalmente se necesitará más de un
consejero externo para que el consejo tenga el equilibrio necesario.
La necesidad y responsabilidades del consejo de administración y del comité de auditoria
se comentan más adelante en la sección “Aplicación a las entidades pequeñas y medianas” en
el Capítulo 8.
La filosofía de dirección y el estilo de gestión
La filosofía de dirección y el estilo de gestión afectan a la manera en que la empresa es

gestionada e, incluso, al tipo de riesgo empresarial que se acepta. Una entidad que ha tenido
éxito a la hora de correr riesgos significativos puede tener una perspectiva distinta del control
interno que una empresa que se haya tenido que enfrentar a consecuencias adversas desde el
punto de vista económico o administrativo por haberse adentrado en territorios peligrosos. Una
empresa gestionada de manera informal puede controlar las operaciones llevadas a cabo
básicamente a través del contacto cara a cara con los directores clave. Una empresa gestionada
de forma más formal puede depender en mayor medida de políticas escritas, indicadores de
rendimiento e informes de excepciones.
Otros componentes de la filosofía de la dirección y su forma de actuar son la actitud
adoptada en la presentación de información financiera, la sección de las alternativas
disponibles respecto a los principios de contabilidad aplicables, la escrupulosidad y prudencia
con que se obtienen las estimaciones contables y las actitudes hacia las funciones informáticas
y contables, así como lacia el personal. La forma en que la dirección cumple sus
responsabilidades se comenta con más detalle en el Capitulo 8.
- 37 -
Estructura organizativa
La estructura organizativa proporciona el marco en que se planifican, ejecutan, controlan y

supervisan las actividades para la consecución de objetivos a nivel de empresa. Las actividades
pueden referirse a lo que a veces se denomina la cadena de valor: es decir, la recepción, la
producción de bienes o servicios, actividades de envío, comercialización y venta. Puede haber
funciones de apoyo a las anteriores relacionadas con la administración, recursos humanos o
desarrollo tecnológico4.
Entre los aspectos más significativos a tener en cuenta a la hora de establecer la estructura
organizativa correspondiente están la definición de las áreas clave de autoridad y responsabilidad
y el establecimiento de vías adecuadas de comunicación. Por ejemplo, el departamento de
auditoria interna debe tener libre acceso a un directivo que no sea el responsable directo de
preparar los estados financieros de la empresa pero que tenga el rango suficiente para garantizar
que no se impone ninguna limitación al trabajo de auditoría interna y hacer un seguimiento de sus
resultados y recomendaciones. Una entidad desarrolla la estructura organizativa que mejor se
adapta a sus necesidades. Algunas entidades desarrollan estructuras centralizadas, otras
descentralizadas. Algunas desarrollan estructuras piramidales, mientras que la estructura de otras
se asemeja más a una matriz. Algunas entidades están organizadas por sector o línea de producto,
por zona o por red de distribución o comercialización. Otras entidades, incluyendo muchas
unidades estatales o municipales e instituciones sin ánimo de lucro, están organizadas de forma
funcional.
La adecuación de la estructura organizativa de una entidad depende, en parte, de su tamaño y
de la naturaleza de las actividades que desarrolla. Una organización altamente estructurada, con
líneas de comunicación y responsabilidades formales, puede resultar apropiada para una entidad
grande con varias divisiones operativas, incluyendo divisiones en el extranjero. Sin embargo,
puede obstaculizar el flujo de información en una entidad pequeña. Sea cual sea la estructura, las
actividades de una entidad deben estar organizadas con el fin de Llevar a cabo las estrategias
diseñadas para conseguir los objetivos específicos de la misma.
4
Michael E. Porter, Competitive Advantage (New York, Free Press, 1985)
- 38 -
Asignación de autoridad y responsabilidad
Este aspecto del control interno incluye tanto la asignación de autoridad y responsabilidad
para las actividades de gestión como para el establecimiento de las relaciones de jerarquía y de
las políticas de autorización. Se refiere a la medida en que se autoriza e impulsa al personal,
tanto a nivel individual como de equipo, a utilizar su iniciativa a la hora de abordar temas y
solucionar problemas y establece limites a su autoridad. Asimismo, trata de las políticas que
describen las prácticas empresariales adecuadas, conocimientos y experiencia del personal
clave, y los recursos puestos a su disposición para llevar a cabo sus funciones.
Hay una tendencia creciente a delegar la autoridad lacia niveles inferiores, para situar el
proceso de toma de decisiones más cerca del personal de “primera línea”. Una entidad puede
adoptar este enfoque con el fin de dirigirse más al mercado o concentrarse en la calidad, quizá
para eliminar defectos, reducir la duración de los ciclos o aumentar el grado de satisfacción del
cliente. Para ello, la empresa necesita reconocer y responder a la evolución del mercado, de las
relaciones empresariales y de las expectativas del público. A menudo, la delegación de
autoridad y responsabilidad está diseñada para fomentar la iniciativa individual dentro de unos
limites. La delegación de autoridad significa, a menudo, entregar el control central sobre
determinadas decisiones empresariales a los niveles inferiores de la organización, a las
personas que están más cerca de las operaciones diarias. Esto puede conllevar por ejemplo el
otorgamiento de poderes para vender productos a precios reducidos o con descuentos, negociar
contratos de suministro, licencias o patentes a largo plazo o suscribir alianzas o agrupaciones
temporales de empresas.
Un desafío critico es delegar únicamente en la medida necesaria para conseguir los
objetivos. Por tanto, es necesario garantizar que los riesgos se asumen en función de la
capacidad de los responsables de identificar y minimizar los mismos en base a prácticas
prudentes y de sopesar las pérdidas contra los beneficios potenciales de una buena decisión
empresarial.
Otro reto es asegurar que todo el personal entiende los objetivos de la entidad. Es
indispensable que todo miembro de la organización sepa cómo su actuación se relaciona con
las de los demás y contribuye a la consecución de los objetivos.
A veces una mayor delegación va acompañada de, o es el resultado de, la racionalización o
simplificación intencionada de la estructura organizativa de la entidad. El cambio estructural
efectuado con la finalidad de fomentar la creatividad, la iniciativa y la capacidad de reacción
puede aumentar la competitividad y el grado de satisfacción del cliente. Una mayor delegación
puede exigir implícitamente un mayor nivel de competencia al personal así como
mayor responsabilidad. También lace necesario la existencia de procedimientos eficaces que
permitan a la dirección supervisar los resultados. De hecho, si bien fomenta unas decisiones mejor
orientadas lacia el mercado, la delegación puede aumentar el número de decisiones no deseadas o
inesperadas. Si un delegado regional de ventas decide que la autorización para vender con un
descuento del 35% respecto al precio de venta puede justificar un descuento provisional lasta el
45% con el fin de aumentar la cuota de mercado, la dirección deberá estar informada para que
pueda aprobar o rechazar dicha decisión.
El hecho de que el personal sepa que se he puede declarar responsable tiene un impacto
significativo sobre el entorno de control. Esto es cierto a todos los niveles de la jerarquía, incluso
para la dirección general, que es el último responsable de todas las actividades dentro de la
entidad, incluyendo el sistema de control interno.
Políticas y prácticas en materia de recursos humanos
Las prácticas aplicadas en el campo de los recursos humanos indican a los empleados los
niveles de integridad, comportamiento ético y competencia que se espera de ellos. Estas prácticas
se refieren a las acciones de contratación, orientación, formación, evaluación, asesoramiento,
promoción, remuneración y corrección. Por ejemplo, las normas para contratar personal
cualificado, en que se destaca el expediente académico, experiencia profesional, logros y pruebas
de integridad y comportamiento ético, sirven para probar el compromiso de una entidad lacia la
contratación de personal competente y fiable. Las prácticas de reclutamiento que incluyen
entrevistas formales y detalladas y presentaciones informativas e indagaciones sobre los
antecedentes, cultura y estilo operativo de la entidad transmiten el mensaje de que la entidad está
comprometida con sus empleados. Las políticas de formación que indican las funciones y
responsabilidades futuras e incluyen prácticas tales como escuelas de formación y seminarios,
estudios monográficos simulados y cursos de labilidades gerenciales basados en juegos, sirven
para demostrar los niveles esperados de rendimiento y comportamiento. La rotación de personal y
los ascensos fomentados por evaluaciones periódicas demuestran el compromiso de la entidad con
el progreso del personal cualificado. Los programas de remuneración competitiva que incluyen
incentivos sirven para motivar y reforzar actuaciones sobresalientes. Las acciones disciplinarias
transmiten el mensaje de que no se tolerarán comportamientos que no estén en línea con lo
esperado.
Es indispensable que el personal esté preparado para hacer frente a nuevos retos a medida
que las empresas se enfrentan a cambios y se lacen más
ENTORNO DE CONTROL
complejas, debido en parte a los rápidos cambios que se están produciendo en el mundo de la
tecnología y al aumento de la competencia. La instrucción y la formación ya sea mediante
cursos, autoformación o formación en el puesto de trabajo, deben preparar al personal para que
pueda mantener el ritmo y hacer frente de forma eficaz al entorno cambiante. Asimismo,
aumentará la capacidad de la entidad para poner en marcha iniciativas de calidad. La
contratación de personal competente y la formación esporádica no son suficientes. El proceso
de formación debe ser continuo.
Diferencias e implicaciones
El entorno de control de las divisiones operativas autónomas y de las filiales extranjeras y

nacionales de una entidad pueden diferir de forma significativa, debido a las diferencias en las
prioridades de la alta dirección en los juicios de valor y en los estilos de dirección. Los
entornos de control pueden variar por una serie de razones. Dado que no hay dos divisiones
operativas o filiales nacionales o extranjeras que se gestionen de la misma manera, es poco
probable que los entornos de control sean iguales. Por tanto, es importante reconocer el efecto
que los distintos entornos de control pueden tener sobre los demás componentes de un sistema
de control interno.
Un entorno de control ineficaz podría tener consecuencias graves, pudiendo generar una
pérdida financiera, una pérdida de imagen o un fracaso empresarial. Consideremos, por
ejemplo, el caso de un contratista del Ministerio de Defensa que, en términos generales, parecía
tener un control interno eficaz. La empresa disponía de sistemas de información y actividades
de control bien diseñados, extensos manuales de políticas sobre funciones de control y amplias
prácticas de conciliación y supervisión. Además se habían llevado a cabo frecuentes
inspecciones por parte de la administración. Sin embargo, el entorno de control presentaba
defectos significativos. La alta dirección hizo caso omiso de la posibilidad de que se estuvieran
produciendo irregularidades. Incluso, cuando los indicios de que se estaban produciendo
actividades fraudulentas fueron patentes, la alta dirección lo negó. Se detectó que el contratista
había participado en actividades fraudulentas en el Pentágono, se le impuso una multa y sufrió
bastantes problemas de imagen debido a la amplia cobertura del asunto por parte de los medios
de comunicación.
La actitud y preocupación de la alta dirección respecto al control interno debe filtrarse a
través de toda la organización. No es suficiente pronunciar las palabras oportunas. Una actitud
de “haz lo que digo, y no lo que lago” desembocará en un entorno poco favorable.
Aplicación a pequeñas y medianas empresas
Aunque todas las entidades deberían tener en cuenta los conceptos expuestos en este
capitulo, las pequeñas y medianas empresas pueden aplicar los factores del entorno de control de
forma distinta de las grandes. Por ejemplo, una entidad pequeña puede no disponer de un código
de conducta escrito, lo cual no tiene por qué significar que la entidad no posee una cultura en la
que destaque la importancia de la integridad y el comportamiento ético. A través de la presencia e
implicación directa del director general (o del empresario) y de la alta dirección, su compromiso
con la integridad y comportamiento ético puede notificarse verbalmente, en reuniones con el
personal, reuniones individuales y negociaciones con suministradores y clientes. Su propia
integridad y comportamiento, sin embargo, constituyen elementos clave y deben ser coherentes
con el mensaje transmitido verbalmente. A menudo, cuanto menor es el número de niveles de
dirección, más rápido es el proceso por el que el mensaje se filtra a través de la organización
sobre qué tipo de conducta se considera aceptable.
Asimismo, es posible que las políticas de recursos humanos no están formalizadas tal como
se esperaría en una entidad más grande. Sin embargo, las políticas y prácticas pueden existir y ser
comunicadas. La dirección general puede transmitir verbalmente un mensaje explícito sobre sus
expectativas en cuanto al tipo de persona a contratar para un determinado puesto e incluso puede
intervenir de forma activa en el proceso de selección. No es siempre necesario establecer por
escrito las políticas para que funcionen de forma eficaz.
Debido a la importancia de un consejo de administración u órgano decisorio equivalente,
incluso las entidades pequeñas se deben aprovechar de las ventajas de un órgano de este tipo para
un control interno eficaz. Como ya se la indicado anteriormente, a menudo resulta demasiado
difícil y caro para una empresa pequeña mantener una mayoría de consejeros externos (e incluso
puede que sea innecesario). A menudo, la independencia necesaria puede conseguirse con un
número más reducido de consejeros externos. El factor más importante es que exista lo que puede
denominarse una masa critica. Es decir, que laya el número suficiente de consejeros externos para
asegurar que el consejo trata suficientemente los temas delicados y toma las decisiones difíciles
cuando sea necesario. No obstante, si existe una circunstancia en que no lace falta un consejo de
administración y es en los casos en que la empresa es gestionada por el propietario. En estos
casos, un consejo, aunque pueda ser útil, normalmente no es indispensable para garantizar un
control interno eficaz.
Evaluación
El evaluador debe considerar cada factor del entorno de control a la hora de determinar si
éste es positivo. A continuación se enumeran los aspectos en que puede centrarse la evaluación.
Esta lista no es exhaustiva, ni todos los aspectos aplicables en todas las entidades. Sin
embargo, puede servir de punto de partida. Si bien algunos de los temas planteados son
altamente subjetivos y obligan a que se formule una opinión subjetiva, generalmente inciden de
forma significativa en la eficacia del entorno de control.
 La existencia e implantación de códigos de conducta u otras políticas relacionadas con las

prácticas profesionales aceptables, incompatibilidades o pautas esperadas de
comportamiento ético y moral.
 La forma en que se Llevan a cabo las negociaciones con empleados, proveedores, clientes,
inversores, acreedores, aseguradores, competidores y auditores (por ejemplo, si la
dirección lleva a cabo sus actividades empresariales con un alto nivel ético e insiste que
los demás lagan lo mismo, o presta poca atención a los temas éticos).
 La presión para alcanzar objetivos de rendimiento poco realistas, sobre todo en cuanto a
los resultados a corto plazo y en qué medida la remuneración está basada en la
consecución de dichos objetivos.
 La existencia de descripciones de puestos de trabajo formales o informales u otras formas

de definir las tareas que componen trabajos específicos.
 El análisis de los conocimientos y labilidades necesarios para llevar a cabo el trabajo
adecuadamente.
Consejo de administración o comité de auditoría
 La independencia de los consejeros, de forma que se sometan a discusión abierta incluso

los temas más difíciles y peliagudos.
 La frecuencia y oportunidad de las reuniones con el director financiero y/o contable,
auditores internos y externos.
 La suficiencia y oportunidad en que se facilita información a los miembros del consejo o
comité de auditoría que permita supervisar los objetivos y las estrategias, la situación
financiera, así como los resultados de explotación de la entidad y las condiciones de los
acuerdos significativos.
 La suficiencia y oportunidad con que se comunican al consejo o comité de auditoria la
información confidencial, los datos sobre investigaciones realizadas y las actuaciones
incorrectas (por ejemplo, gastos de viaje de altos directivos, litigios significativos,
investigaciones por parte de las autoridades competentes, desfalcos, malversación de fondo o
uso incorrecto de los activos de la sociedad, abusos de información privilegiada, pagos a
políticos, pagos ilegales, etc.).
 La naturaleza de los riesgos empresariales aceptados, por ejemplo Si participa la dirección a

menudo en operaciones de alto riesgo o es extremadamente prudente a la hora de aceptar
riesgos.
 La frecuencia con que se Llevan a cabo los contactos entre la alta dirección y la dirección
operativa, sobre todo cuando están ubicadas en zonas geográficas diferentes.
 Las actitudes y actuaciones de la dirección respecto a la presentación de información
financiera, incluyendo las discusiones acerca de la aplicación de los tratamientos contables
(por ejemplo, elección de políticas contables prudentes o arriesgadas, si las políticas
contables han sido incorrectamente aplicadas o se la excluido información financiera
importante, o si los registros han sido manipulados o falsificados).
 La idoneidad de la estructura organizativa de la entidad y su capacidad para proporcionar el

flujo de información necesario para gestionar sus actividades.
 La suficiencia de la definición de las responsabilidades de los directivos clave y su
conocimiento de las mismas.
 La suficiencia de los conocimientos y experiencia de los directivos clave teniendo en cuenta
sus responsabilidades.
 La asignación de responsabilidad y delegación de autoridad para hacer frente a las metas y

objetivos organizativos, funciones operativas y requisitos reguladores, incluyendo la
responsabilidad en cuanto a los sistemas de información y la autorización de cambios.
 La suficiencia de las normas y procedimientos relacionados con el control, incluyendo las
descripciones de puestos de trabajo.
 El número de personas adecuado, sobre todo en relación con las funciones de proceso de
datos y contabilidad, respecto al nivel necesario, teniendo en cuenta el tamaño de la
entidad así como la naturaleza y complejidad de sus actividades y sistemas.
Políticas y prácticas de recursos humanos
 La medida en que están vigentes las políticas y procedimientos adecuados para la

contratación, formación, promoción y remuneración de los empleados.
 La suficiencia de las acciones disciplinarias tomadas como respuesta a las desviaciones de
las políticas y procedimientos aprobados.
 La idoneidad de la revisión de los expedientes de los candidatos a puestos de trabajo,
sobre todo en relación con acciones o actividades no admitidas en el seno de la entidad.
 La idoneidad de los criterios para retener y promocionar a los empleados y de las técnicas
de recogida de datos sobre el personal (por ejemplo, las evaluaciones del rendimiento) y
su relación con el código de conducta u otras pautas de comportamiento.
3
Evaluación de los riesgos
Resumen del capitulo: Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno corno
externo que deben evaluarse. Una condición previa a la evaluación de los riesgos es en el establecimiento de
objetivos en cada nivel de la organización que sean coherentes entre sí. La evaluación del riesgo consiste en
la identificación y análisis de los factores que podrían afectar la consecución de los objetivos y, en base a
dicho análisis, determinar la forma en que los riesgos deben ser gestionados. Debido a que las condiciones
económicas, industriales, normativas y operacionales se modifican de forma continua, se necesitan
mecanismos para identificar y hacer frente a los riesgos especiales asociados con el cambio.
Todas las empresas, independientemente de su tamaño, estructura, naturaleza o sector al que

pertenecen, se encuentran con riesgos en todos los niveles de su organización. Los riesgos afectan
la labilidad de cada entidad para sobrevivir, competir con éxito dentro de su sector, mantener una
posición financiera fuerte y una imagen pública positiva así como la calidad global de sus
productos, servicios y empleados. No existe ninguna forma práctica de reducir el riesgo a cero. De
hecho, el riesgo es inherente a los negocios. La dirección debe determinar cuál es el nivel de riesgo
que se considera aceptable y esforzarse para mantenerlo dentro de los limites marcados.
El establecimiento de objetivos es una condición previa a la evaluación de los riesgos. La
dirección debe fijar primero los objetivos antes de identificar los riesgos que pueden tener un
impacto sobre su consecución y tomar las medidas oportunas. Por tanto, el establecimiento de unos
objetivos es una fase clave de los procesos de gestión. Si bien no constituye un componente del
control interno, es un requisito previo que permite garantizar el funcionamiento del mismo. En
este capítulo se trata primero de los objetivos y, posteriormente, de los riesgos.
Objetivos
El establecimiento de objetivos puede ser un proceso muy estructurado o, por el contrario,

informal. Los objetivos pueden estar claramente identificados o estar implícitos (por ejemplo, la
entidad puede intentar mantener al menos el nivel de rentabilidad conseguido en el pasado). Los
objetivos generales de una entidad vienen representados normalmente por la misión y los valores
que la entidad considera prioritarios. Estos objetivos, junto con la evaluación de los puntos fuertes
y débiles de la entidad y de las oportunidades y amenazas del entorno, Llevan a definir una
estrategia global. Generalmente, el plan estratégico se establece en términos amplios, y trata de la
asignación de recursos entre las distintas unidades del negocio y de las prioridades a nivel global.
Los objetivos específicos se derivan de la estrategia global de la entidad. Los objetivos
globales de la empresa están relacionados e integrados en objetivos más específicos establecidos
para las diversas actividades (tales como ventas, producción e ingeniería), asegurándose de que son
coherentes entre sí. Estos sub-objetivos u objetivos a nivel de actividad incluyen el establecimiento
de metas concretas y pueden consistir en objetivos de una línea de productos, de mercado, de
financiación o de resultados.
Al establecer objetivos globales y por actividad, una entidad puede identificar los factores
críticos del éxito. Estos son los hechos que deben producirse o las condiciones que deben existir
para que los objetivos puedan ser alcanzados. Los factores críticos del éxito existen para la entidad,
para una unidad empresarial, una función, un departamento o un individuo. El establecimiento de
objetivos permite a la dirección identificar los criterios para medir el rendimiento, poniendo
especial énfasis en los factores críticos del éxito.
Las diferentes categorías de objetivos
A pesar de su diversidad, los objetivos pueden agruparse en tres grandes categorías:
 Objetivos relacionados con las operaciones.— Se refieren a la eficacia y eficiencia de las

operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y la
salvaguarda de los recursos contra posibles
pérdidas. Estos objetivos varían en función de la elección de la dirección respecto a
estructuras y rendimiento.
 Objetivos relacionados con la información financiera.— Se refieren a la preparación de
estados financieros fiables y a la prevención de la falsificación de la información
financiera publicada. A menudo, estos objetivos están condicionados por requerimientos
externos.
 Objetivos de cumplimiento.— Estos objetivos se refieren al cumplimiento de las leyes y
normas a las que está sujeta la entidad. Dependen de factores externos (tales como la
reglamentación en materia de medioambiente), y tienden a ser parecidos en todas las
entidades, en algunos casos, o en todo un sector, en otros.
Determinados objetivos están relacionados con el tipo de actividad que desarrolla la

entidad. Por ejemplo, un fondo de inversiones debe valorar sus participaciones de forma diana,
mientras que una sociedad que desarrolle otro tipo de actividad puede tener suficiente con
realizar dicha valoración trimestralmente. Todas las empresas con cotización en bolsa deben
presentar determinadas declaraciones a la comisión de control (Stock Exclange Commission en
Estados Unidos, Comisión Nacional del Mercado de Valores en España, etcétera). Estos
objetivos están impuestos de forma externa y establecidos por una ley o norma. Encajan dentro
de la categoría de objetivos relacionados con el cumplimiento de los requisitos legales y, a
veces, de presentación de información financiera.
Por otra parte, los objetivos relacionados con las operaciones están basados en mayor
medida en las prioridades, los juicios y el estilo de la gerencia. Estos varían de modo
significativo de una entidad a otra, simplemente debido a que diferentes personas, todas ellas
informadas, competentes y honradas pueden seleccionar objetivos distintos. Respecto al
desarrollo de productos, por ejemplo, una entidad puede escoger entre desempeñar el papel de
ser un innovador en el sector, otra el de adaptarse a los cambios con rapidez y otra el de
adaptarse con retraso. Estas decisiones afectaran la estructura, las habilidades, la plantilla y el
control de la función de investigación y desarrollo. En consecuencia, no existe una formulación
de objetivos idóneos para todas las entidades.
Objetivos relacionados con las operaciones. Estos objetivos están relacionados con la
consecución del objeto social, que es la razón de ser de una empresa. Incluyen sub-objetivos
específicos, dirigidos a la mejora de la eficacia y eficiencia en el camino lacia la consecución
de dicho fin.
Los objetivos relacionados con las operaciones tienen que reflejar el entorno empresarial,
industrial y económico en que se desenvuelve la entidad. Es
necesario, por ejemplo, que los objetivos se layan adaptado a las presiones ejercidas por la
competencia en materia de calidad, la reducción de los ciclos necesarios para la introducción de
productos en el mercado o los cambios tecnológicos. La dirección debe asegurarse de que los
objetivos están basados en la realidad y en las exigencias del mercado y están expresados en
términos que permiten que se evalúe adecuadamente el rendimiento.
Para que puedan ser alcanzados, los objetivos relativos a las operaciones y las
correspondientes estrategias deben estar claramente definidos e integrados con unos objetivos y
estrategias más específicos. Estos objetivos constituyen el punto focal al que la entidad deberá
dirigir una parte sustancial de sus recursos. Si los objetivos no son claros o no han sido bien
concebidos, la entidad corre el riesgo de que la utilización de sus recursos esté mal orientada.
Objetivos relacionados con la información financiera. Los objetivos relacionados con la

información financiera están dirigidos a La preparación de estados financieros fiables, incluyendo
los estados financieros intermedios y los abreviados y los datos seleccionados que se derivan de
dichos estados destinados al público. Las entidades deben conseguir los objetivos relacionados
con la información financiera con el fin de cumplir las obligaciones externas. Unos estados
financieros fiables son un requisito previo a la hora de obtener capital inversor o créditos
bancarios y puede ser fundamental en cuanto a la obtención de determinados contratos o en las
negociaciones con determinados suministradores. A menudo los inversores, acreedores, clientes y
proveedores se basan en los estados financieros para evaluar la gestión de la dirección y
compararla con la de otras entidades similares o del mismo sector o inversiones alternativas.
El término “fiabilidad” tal y como se utiliza en los objetivos relacionados con la información
financiera implica la preparación de estados financieros que están adecuadamente presentados de
acuerdo con principios de contabilidad generalmente aceptados u otros principios de contabilidad
relevantes y apropiados, así como con las regulaciones aplicables. La presentación adecuada de la
información financiera requiere‟:
 Que los principios de contabilidad seleccionados y aplicados sean de aceptación general,

 que los principios de contabilidad sean los apropiados a las circunstancias,
 que los estados financieros faciliten información suficiente sobre los temas que puedan
afectar a su utilización, comprensión e interpretación,
Statement on Auditing Standards No. 69, The Meaning of “Present Fairly in Conformity With Generally Accepted
Accounting Principles” in the Independent Auditor’s Report (New York: AICPA, 1992).
 que la información presentada esté clasificada y resumida de forma razonable, es decir,
que no sea demasiado detallada ni demasiado resumida, y 2
 que los estados financieros reflejen las transacciones y acontecimientos subyacentes de
forma tal que se presente la situación financiera, los resultados de las operaciones y los
flujos de caja de una forma adecuada y dentro de unos límites aceptables, es decir, dentro
de los límites razonables y prácticos que sea factible conseguir en la preparación de los
estados financieros.
El concepto de importancia relativa es también inherente al concepto de razonabilidad de

los estados financieros.
Como apoyo a estos objetivos hay una serie de aseveraciones implícitas que soportan los
estados financieros3:
 Existencia o efectividad.— Los activos, pasivos y derechos existen a una fecha concreta y
las transacciones contabilizadas representan acontecimientos que efectivamente ocurrieron
durante un periodo determinado.
 Totalidad.— Todas las transacciones y otros acontecimientos o circunstancias, que
tuvieron lugar durante un período especifico y debieron haber sido reconocidos, han sido
efectivamente contabilizados en el transcurso del mismo.
 Derechos y obligaciones.— Los activos son los derechos y los pasivos son las
obligaciones de la entidad a una fecha determinada.
 Valoración o asignación.— Los elementos del activo y del pasivo y los ingresos y los
gastos están contabilizados por importes adecuados de acuerdo con principios de contabilidad
adecuados y pertinentes.
2
Una transacción es un intercambio entre una entidad y un tercero. La venta de productos o servicios a clientes
y la compra de productos o servicios a proveedores son ejemplos de transacciones. Un acontecimiento es un hecho
que puede afectar a la presentación de información financiera. Por ejemplo, una disminución en el valor de mercado
de las inversiones a corto plazo lasta por debajo del coste o la prohibición de vender en el futuro determinados
fármacos que tenemos en stock son acontecimientos que afectan la información financiera. También se entiende por
acontecimiento las transferencias dentro de una entidad, y la distribución o la amortización de gastos sea en base al
tiempo transcurrido, sea en función del esfuerzo requerido o del grado de utilización. La distribución de los costes
directos de producción y la asignación de los gastos generales de producción y la amortización de los equipos de
fabricación son acontecimientos que pueden afectar la presentación de la información financiera.
Los acontecimientos son diferentes de las transacciones en cuanto que no implican ningún intercambio entre la
empresa y un tercero. El motivo principal por el que se lace una distinción entre estos términos es que los
intercambios con terceros no son lo único que puede afectar la presentación de la información financiera. A menudo,
debe prestarse atención especial a la identificación de los acontecimientos ya que no siempre se pondrán de
manifiesto en las operaciones corrientes.
Debe reconocerse que a menudo el proceso de presentar información financiera es el resultado de juicios de las
personas que los han preparado, así como de estimaciones y previsiones relativas a las actividades futuras.
3
Statement on Auditing Standards No. 31, Evidential Matter (New York: AICPA, 1980)
Las Transacciones son matemáticamente exactas respecto al importe y están adecuadamente
resumidas y registradas en los libros de la entidad.
 Presentación y desglose.— Las informaciones que aparecen en los estados financieros están
adecuadamente descritas, agrupadas y clasificadas.
Al igual que con las demás categorías de objetivos, existe una serie de objetivos y sub-
objetivos relacionados. Los factores que inciden en una presentación razonable pueden verse
como unos objetivos básicos relacionados con la información financiera. Estos estarían
soportados por sub-objetivos representados por las aseveraciones contenidas en los estados
financieros, las cuales, a su vez, estarían soportadas por objetivos relacionados e identificados con
referencia a las diversas actividades de una entidad.
Aunque estas definiciones de una presentación razonable han sido establecidas para los
estados financieros, los conceptos son aplicables de igual manera a la preparación de otra
información financiera pública, tal como los estados financieros intermedios y la publicación de
resultados. Sin embargo, algunos de estos factores no pueden aplicarse a otro tipo de información
financiera publicada. Por ejemplo, la afirmación respecto a la presentación y desglose de
información no podría aplicarse a la publicación de información sobre resultados.
Objetivos de cumplimiento. Las entidades deben desarrollar sus actividades y, con frecuencia,
adoptar medidas especificas en función de las leyes y normas aplicables. Estos requerimientos
pueden referirse, por ejemplo, a mercados, precios, impuestos, medioambiente, bienestar de los
empleados y comercio internacional. Estas leyes y normas establecen requisitos mínimos de
comportamiento que la entidad debe integrar en sus objetivos de cumplimiento. Por ejemplo, las
normas de seguridad e higiene pueden llevar a una empresa a definir sus objetivos como
“Empaquetar y etiquetar todos los productos químicos de acuerdo con las normas”. En este caso,
las políticas y procedimientos tratarán de los programas de comunicación, las inspecciones de
locales y la formación.
Los antecedentes de una entidad en cuanto al cumplimiento de las leyes y normas pueden
incidir, tanto positiva como negativamente, en su reputación dentro de la comunidad.
Solapamiento de objetivos
Un objetivo dentro de una categoría puede solaparse o apoyar un objetivo de otra. Por
ejemplo, “Hacer el cierre trimestral dentro de los diez días laborables siguientes al fin del
trimestre” puede constituir una meta que apoya
principalmente un objetivo de operaciones (para apoyar la celebración de reuniones de la
dirección regularmente para la revisión del rendimiento empresarial). Sin embargo, ese
objetivo también apoya la obtención de información financiera así como la presentación de
documentación a los organismos reguladores en el plazo deseado. Un objetivo de “Facilitar a la
dirección de la planta información levante sobre el „mix‟ de producción de materias primas en
el plazo deseado” puede estar relacionado con las tres categorías de objetivos. Los datos
obtenidos pueden apoyar decisiones sobre cambios respecto al “mix” (objetivo de
operaciones), facilitar la supervisión del tratamiento de residuos peligrosos (objetivo de
cumplimiento) y proporcionar información para la contabilidad analítica (objetivos de informa-
ción financiera, así como de operaciones).
Otra serie de objetivos se refiere a la “salvaguarda de recursos”. Aunque éstos sean
fundamentalmente objetivos relacionados con las operaciones, algunos aspectos pueden
encajar en otras categorías. En la categoría de operaciones, se incluye la utilización eficiente de
los activos y otros recursos, así como la prevención contra posibles pérdidas como
consecuencia de robo, de merma, de ineficacia o simplemente de la toma de decisiones
empresariales equivocadas (tales como la venta de productos a precios demasiado bajos, la
concesión de crédito a terceros de forma arriesgada, el no retener a empleados clave, el no
impedir la infracción de patentes o el incurrir en contingencias imprevistas). En los casos en
que son introducidos los requerimientos legales o reguladores, estos objetivos se convierten en
un objetivo de cumplimiento. Por otra parte, el objetivo de asegurar que tales pérdidas quedan
adecuadamente reflejadas en los estados financieros de la entidad es un objetivo relacionado
con la información financiera.
La categoría en la que encaja un objetivo puede depender a veces de las circunstancias.
Siguiendo con el tema de la salvaguarda de los activos, los controles para impedir el robo de
los mismos, tales como el mantener las existencias debidamente almacenadas y protegidas y
asignar un guarda para que verifique que se la obtenido la autorización correspondiente para
los movimientos de bienes, encajan dentro de la categoría de operaciones. Estos controles
normalmente no tendrían incidencia sobre la fiabilidad de la preparación de los estados
financieros, ya que toda pérdida de existencias seria detectada como resultado de la inspección
física periódica y contabilizada en los estados financieros. Sin embargo, si a efectos de la
presentación de información financiera, la dirección depende únicamente de los registros de
inventarios permanentes, tal como en el caso de la presentación de estados financieros
intermedios, los controles de seguridad física también encajarían dentro del objetivo de
presentación de información fiable. Esto se debe a que seria preciso efectuar estos controles
físicos así como los controles sobre los registros
de inventarios permanentes para asegurarse de la fiabilidad de la información financiera pública.
La distinción e interrelación entre las categorías puede demostrarse aún más dentro del
contexto de la actividad crediticia de un banco. A efectos ilustrativos, supongamos que existen
controles para asegurar que los expedientes de crédito incluyen los antecedentes crediticios
actualizados de los clientes así como datos relativos a las eventuales incidencias de pago. Asimis-
mo, supongamos en este ejemplo que los responsables de la concesión de créditos del banco no
utilizan dicha información a la hora de tomar decisiones, sino que las autorizaciones para
disponer de las líneas de crédito existentes e incluso el incremento de los límites se realiza de
forma intuitiva. La dirección financiera, sin embargo, periódicamente lleva a cabo revisiones
completas con el fin de determinar los niveles adecuados de las provisiones para insolvencias. En
estas circunstancias, los controles sobre operaciones tienen importantes deficiencias mientras que
los controles sobre la presentación de información financiera no. En la práctica, un control tan
deficiente sobre las operaciones probablemente daría lugar a una evolución inaceptable de los
resultados. La primera evidencia de ello podría ponerse de manifiesto en los indicadores del
rendimiento y, posteriormente, en una reducción de los resultados e incluso en pérdidas, lo cual
podría ser un indicio para la alta dirección, e incluso, si es lo suficientemente grave, para el
consejo de administración de la necesidad de Llevar a cabo una investigación y aplicar las
medidas correctivas. De esta manera, los controles sobre la presentación de información finan-
ciera pueden ayudar a abordar las debilidades operativas, poniendo de manifiesto su
interrelación, si bien la irregularidad únicamente existe en los controles de operaciones.
Coherencia y compatibilidad de los objetivos
Los objetivos deben ser complementarios y estar relacionados entre sí. Los objetivos
globales de la entidad no sólo deben ser coherentes con las capacidades y expectativas de la
misma, sino que también deben sen coherentes con los objetivos de sus unidades empresariales y
funciones. Los objetivos de la entidad deben ser divididos en sub-objetivos, coherentes con la
estrategia global y enlazados con las actividades de toda la organización.
En los casos en qué los objetivos globales de la entidad son coherentes con las prácticas y
actuaciones anteriores, la interrelación entre las distintas actividades puede considerarse como
establecida. Sin embargo, en los casos en que los objetivos no se ajustan a las prácticas
desarrolladas por la entidad en el pasado, la dirección debe considerar las interrelaciones
existentes o asumir mayores riesgos. Si las nuevas prácticas no son coherentes con las prácticas
del pasado, cobra aún mayor importancia la necesidad de que los sub-objetivos de las unidades
empresariales o de las funciones sean coherentes con la nueva dirección.
Un objetivo consistente en “Cubrir internamente más puestos de dirección mediante
promociones” dependerá en gran medida de sub-objetivos interrelacionados del aireá de
recursos humanos referentes a la planificación de la sucesión, la evaluación, la formación y el
desarrollo del personal. Los sub-objetivos pueden modificarse de forma significativa si en el
pasado se dependía en gran medida del reclutamiento externo.
Los objetivos relativos a las actividades deben ser claros, es decir, deben resultar
flácilmente comprensibles para los individuos responsables de su realización. También deben
ser medibles. Los empleados y la dirección deben haber llegado a un consenso sobre lo que la
de conseguirse y sobre la forma de determinar en que medida se han alcanzado los objetivos.
El alcance y los recursos comprometidos en los objetivos de una actividad son también
importantes. La mayoría de las entidades establecen, para cada una de sus actividades, una
serie de objetivos que surgen tanto de los objetivos globales de la entidad como de las pautas
relacionadas con la consecución de los objetivos de cumplimiento o de presentación de
información financiera. Por ejemplo, en el caso de las compras, pueden establecerse objetivos
de operaciones relativos a:
 Compra de bienes que cumplan las especificaciones de ingeniería establecidas;

 Negociación de precios y otras condiciones de compra aceptables;
 Revisión y renovación cada año del contrato con los principales suministrad ores.
La consecución de todos los objetivos establecidos para una actividad podría requerir una
utilización desproporcionada de los recursos disponibles. En consecuencia, resulta útil
relacionar el conjunto de objetivos de una actividad con los recursos disponibles pana su
realización. Una manera de liberar recursos es plantearse qué objetivos por actividades no
apoyan los objetivos globales de empresa ni los procesos empresariales de la misma. Con
frecuencia, una función tendrá algún objetivo que ya no es relevante y que se mantiene como
continuidad de prácticas pasadas (por ejemplo, la generación de informes mensuales no
utilizados).
Otra forma de equilibrar objetivos y recursos consiste en identificar los objetivos por
actividad que son muy importantes o fundamentales para la consecución de los objetivos
globales de la entidad. No todos los objetivos son iguales, por lo que algunas entidades
establecen prioridades de objetivos.
Las entidades pueden considerar determinados objetivos pon actividad como fundamentales y
supervisar de cerca las actividades relacionadas con dichos objetivos. Esta noción refleja el
concepto de los “factores críticos del éxito” comentada anteriormente, es decir, los
acontecimientos que deben producirse o las condiciones que deben existir para que la entidad
pueda alcanzar sus objetivos.
La consecución de objetivos
Como ya se ha comentado, el establecen objetivos es un requisito previo pana un control

interno eficaz. Los objetivos proporcionan las metas medibles lacia las que la entidad se mueve al
desarrollar sus actividades. Sin embargo, aunque una entidad debería tener una seguridad
razonable de que se cumplen determinados objetivos, puede que éste no sea el caso respecto a
todos los objetivos.
Tal como se la mencionado en el Capitulo I, un sistema de control interno eficaz deberá
proporcionar una seguridad razonable de que se están cumpliendo los objetivos relacionados con
la información financiera. Asimismo, debe haber una seguridad razonable de que se están
cumpliendo los objetivos de cumplimiento. Ambas categorías están basadas principalmente en
ciertas normas externas establecidas independientemente de las metas de la entidad. La
consecución de estos objetivos está en gran medida bajo el control de la misma.
Sin embargo, existe una diferencia en cuanto a los objetivos relacionados con las
operaciones. Primero, no están basados en pautas externas. Segundo, una entidad puede
desarrollar actividades según tenía planeado pero puede verse superada por un competidor.
Asimismo, puede verse sometida a acontecimientos externos —un cambio de gobierno,
condiciones climatológicas adversas, etc.— que no puede controlar. Incluso puede que haya
tenido en cuenta algunos de estos acontecimientos en el proceso de establecen objetivos y los
haya considerado como de baja probabilidad habiendo desarrollado también un plan de
contingencias por si se producían. Sin embargo, un plan de este tipo únicamente amortigua el
impacto de los acontecimientos externos. No garantiza la consecución de los objetivos. Unas
operaciones adecuadas y coherentes con la meta de los objetivos no garantizan el éxito.
La meta del control interno en este línea fundamentalmente se centra en el desarrollo de
objetivos y metas coherentes en toda la organización, la identificación de factores clave de éxito y
la presentación oportuna a la dirección de información sobre el rendimiento y expectativas del
negocio. Aunque no se puede garantizar el éxito, la dirección debe tener la seguridad razonable
de
que se le advertirá en el caso de que exista peligro de que no vayan a conseguirse los objetivos.
Riesgos
La identificación y el análisis de los riesgos es un proceso interactivo continuo y

constituye un componente fundamental de un sistema de control interno eficaz. La dirección
debe examinar detalladamente los riesgos existentes a todos los niveles de la empresa y tomar
las medidas oportunas y gestionarlos.
Identificación de los riesgos
El rendimiento de una entidad puede verse amenazado tanto por factores internos como
externos. Dichos factores, a su vez, pueden repercutir tanto en los objetivos explícitos como en
los implícitos. El nivel de riesgo aumenta en la medida en que los objetivos se distancien de las
pautas de comportamiento de la entidad en el pasado. A menudo, la entidad no fija objetivos
explícitos globales en algunas áreas del negocio, puesto que considera que su rendimiento es
aceptable. Aunque posiblemente no exista un objetivo explicito o escrito, en estos casos si
existe el objetivo implícito de “no cambiar”, o de “dejar las cosas como están”. Esto no
significa que un objetivo implícito no conlleve un riesgo interno o externo. Por ejemplo, una
entidad puede consideran que la calidad de los servicios que presta es satisfactoria pero, debido
a Un cambio de política de un competidor, sus clientes no tengan una percepción tan favorable
de sus servicios.
Independientemente de que el objetivo sea explícito o implícito, el proceso de evaluación
de riesgos de una entidad debería tener en cuenta los riesgos que puedan surgir. Es esencial que
todos los riesgos sean identificados. Deben considerarse todas las interacciones significativas
(referentes a bienes, servicios e información) que se producen entre una entidad y los terceros.
Dichos terceros comprenden los suministradores, inversores, acreedores, accionistas,
empleados, clientes, compradores, intermediarios y competidores, tanto los actuales como los
potenciales, así como las instituciones públicas y los medios de comunicación.
La identificación de los riesgos es un proceso iterativo y suele estar integrada con el
proceso de planificación. También es útil considerar los riesgos “desde cero”, en lugar
simplemente de analizar su evolución a partir de un análisis anterior.
A nivel de empresa. A nivel de la empresa, los riesgos pueden sen la consecuencia tanto de
factores externos como internos. A continuación se exponen algunos ejemplos:
Factores externos
 Los avances tecnológicos pueden influir en la naturaleza y la evolución de los trabajos de

investigación y desarrollo, o provocar cambios respecto a los suministros.
 Las necesidades o expectativas cambiantes de los clientes pueden influir en el desarrollo de
productos, el proceso de producción, el servicio al cliente, la fijación de precios y las
garantías.
 La competencia puede provocan cambios de actividades de marketing o de servicios.
 Las nuevas normas y reglamentos a veces obligan a que se modifiquen las políticas y las
estrategias.
 Los desastres naturales pueden causar alteraciones en los sistemas de operaciones o de
información, además de subrayar la necesidad de desarrollar planes de emergencia.
 Los cambios económicos pueden repercutir en las decisiones sobre financiación, inversiones
y desarrollo.
Factores internos
 Las averías en los sistemas informáticos pueden perjudicar las operaciones de la entidad.
 La calidad de los empleados y los métodos de formación y motivación pueden influir en el
nivel de concienciación sobre el control dentro de la entidad.
 Los cambios de responsabilidades de los directivos pueden afectar la forma de realizar
determinados controles.
 La naturaleza de las actividades de la entidad, así como el nivel de acceso del personal a los
activos, pueden sen causas de apropiación indebida de los recursos.
 Un consejo de administración o un comité de auditoría débil o ineficaz pueden dar lugar a
que se produzcan indiscreciones.
Se han desarrollado muchas técnicas de identificación de riesgos. La mayoría, sobre todo las
desarrolladas por auditores internos y externos en el momento de determinan el alcance de sus
actividades, comprenden métodos cualitativos o cuantitativos pana identifican y establecen el
orden de prioridad
EVALUACIÓN DE LOS RIESGOS
de las actividades de alto riesgo. Adicionalmente se pueden destacar otras prácticas, tales como
la revisión periódica de los factores económicos y sectoriales que afectan el negocio, las
conferencias organizadas por la alta dirección sobre la planificación empresarial o las reuniones
con analistas especializados. Los riesgos pueden identificarse en relación con las previsiones a
corto y a largo plazo, y con la planificación estratégica. La entidad puede elegir un método u
otro para identificar los riesgos, pero no resulta especialmente importante. Lo que sí es
importante es que la dirección analice cuidadosamente los factores que pueden contribuir a
aumentar los riesgos. Algunos de los factores que merecen tal análisis son: el incumplimiento
de los objetivos en pasado, la calidad del personal, los cambios que repercutan en la entidad,
tales como los cambios de competidores, de normas, de personal, etc., la dispersión geográfica
de las actividades, particularmente cuando también las hay en el extranjero; la importancia de
una actividad especifica para el conjunto de la entidad, y la complejidad de una actividad
concreta.
Consideremos, por ejemplo, el caso de un importador de ropa y calzado que ha establecido
el objetivo de convertirse en líder en el mercado de la alta costura. Los riesgos identificados a
nivel de entidad fueron los siguientes:
Fuentes de suministros, incluyendo la calidad, el número y la estabilidad de los fabricantes
extranjeros, riesgos de fluctuaciones del tipo de cambio de las divisas, retrasos en la recepción
de mercancías y en las inspecciones de aduanas, disponibilidad y fiabilidad de las empresas de
transporte y evolución de sus costes, posibilidad de producirse situaciones de hostilidad en el
plano internacional y embargos comerciales y las presiones ejercidas por clientes e inversores
para boicotear el comercio con determinados países extranjeros cuyos gobiernos adoptan
políticas inaceptables para la comunidad internacional. Estos factores complementan la relación
de riesgos genéricos de la actividad tales como el impacto del posible empeoramiento de la
situación económica, la aceptación de los productos por parte del mercado, la aparición de
nuevos competidores y los cambios en la normativa medioambiental o en otras leyes aplicables.
La identificación de los factores externos e internos que contribuyen a que aumente el
riesgo a nivel de entidad resulta esencial para una evaluación eficaz de los riesgos. Una vez
identificados los factores más importantes, los directivos pueden analizar su relevancia y, en la
medida de lo posible, establecer vínculos entre los factores de riesgo y las actividades del
negocio.
A nivel de actividad. Además de identificar los riesgos a nivel de empresa, éstos deben ser
identificados para cada actividad de la empresa. El tratar los riesgos a nivel de actividad ayuda a
enfocar la evaluación de los riesgos en las unidades o funciones más importantes del negocio,
como ventas, producción,
marketing, desarrollo tecnológico, e investigación y desarrollo. La correcta evaluación de los
riesgos a nivel de actividad contribuye también a que se mantenga un nivel aceptable de riesgo
pana el conjunto de la entidad.
En la mayoría de los casos, pueden identificarse numerosos riesgos para cualquier objetivo,
ya sea explícito o implícito. En un proceso de compra, por ejemplo, una entidad puede tener un
objetivo relacionado con el mantenimiento de un volumen adecuado de existencias de materias
primas. Los riesgos de no conseguir tal objetivo incluyen la posibilidad de que los productos
recibidos no cumplan determinadas especificaciones, o que no se reciban las cantidades
necesarias, puntualmente y a un precio aceptable. Es posible que dichos riesgos afecten la manera
de comunicar a los proveedores las especificaciones de los productos, así como en la exactitud de
las previsiones de producción y su utilización, en la identificación de fuentes de suministro
alternativas y en las prácticas de negociación.
Las posibles causas del incumplimiento de un objetivo van desde lo obvio lasta lo
inexplicable y los efectos de tal incumplimiento pueden resultar desde muy relevantes a
totalmente irrelevantes. Sin duda, deben identificarse los riesgos obvios que afectan
significativamente a la entidad. Para evitar que se omita alguno de los riesgos relevantes, es
mejor que se efectué dicha identificación independientemente de la evaluación de la posibilidad
de que el riesgo se materialice. Sin embargo, existen limitaciones prácticas sobre el proceso de
identificación y a veces resulta difícil determinar dónde deben establecerse los límites. Tiene
poco sentido consideran el riesgo de que un meteorito caiga sobre una fábrica, mientras que
puede ser razonable analizan el riesgo de que se produzca la colisión de un avión en el caso de
disponen de instalaciones próximas a un aeropuerto.
Análisis de los riesgos
Después de que se hayan identificado los riesgos a nivel de la entidad y de actividades, ha de

llevarse a cabo un análisis de riesgos. Las metodologías de análisis de riesgos pueden variar,
principalmente porqué muchos riesgos son difíciles de cuantificar. Sin embargo, el proceso, que
puede ser más o menos formal, normalmente incluirá:
 Una estimación de la importancia del riesgo.

 Una evaluación de la probabilidad (o la frecuencia) de que se materialice el riesgo.
 Un análisis de cómo ha de gestionarse el riesgo; es decir, debe realizarse una evaluación de
las medidas que conviene adoptan.
Un riesgo que no tiene un efecto significativo en la entidad y cuya probabilidad de
materialización es baja generalmente no será motivo de preocupación. En cambio, un riesgo
importante y que es muy probable que se materialice, normalmente requerirá un análisis
profundo. Entre estos dos extremos, el análisis de los riesgos es difícil y la de efectuarse de
forma nacional y minuciosa.
Existen numerosos métodos pana estimar el costo de una pérdida provocada por un riesgo
identificado. La dirección debe tener conocimiento de tales métodos y aplicarlos cuando sea
preciso. Sin embargo, la envergadura de muchos riesgos no es fácil de precisar: en el mejor de
los casos, pueden clasificarse como “altos”, “moderados” o “bajos”.
Una vez analizadas la importancia y la probabilidad de un riesgo, la dirección debe
estudiar la mejor forma de gestionarlo. Para ello, ha de aplicar su juicio en base a ciertas
hipótesis acerca del riesgo, además de efectuar un análisis de los costes en los que puede
incurrir para reducir el riesgo. Las acciones que pueden tomarse para reducir la importancia o la
probabilidad de que se materialice el riesgo incluyen numerosas decisiones de gestión corrien-
tes, que van desde la identificación de fuentes de suministro alternativas o la ampliación de las
líneas de productos, hasta la obtención de informes de gestión más relevantes o la mejora de los
programas de formación. A veces, tales acciones pueden prácticamente eliminar el riesgo, o
amortiguar su efecto en el caso de producirse. Unos ejemplos de lo anterior son la integración
vertical para reducir el riesgo de problemas de aprovisionamiento, las operaciones de cobertura
contra riesgos fináncienos y la formalización de pólizas de seguros que proporcionan una
cobertura adecuada.
Hay que destacar que existe una diferencia entre el análisis de los riesgos, que forma parte
del control interno, y los planes, programas y acciones resultantes que la dirección considere
necesarios para afrontar dichos riesgos. Las acciones efectuadas, tal y como se explica en el
párrafo anterior, son una parte clave del proceso más amplio de la gestión, pero no son un
elemento del sistema de control interno.
Paralelamente a las medidas adoptadas para gestionan el riesgo, existen los procedimientos
que permiten que la dirección efectúe el seguimiento de la implantación y la eficacia de las
acciones. Por ejemplo, una de las acciones que una organización podría realizan pana gestionar
el riesgo de la pérdida de servicios informáticos esenciales sería la formulación de un plan de
emergencia. Los procedimientos necesarios se establecerían posteriormente pana aseguran que
el plan estuviera correctamente diseñado e implantado. Dichos procedimientos representarían
“actividades de control”, como las analizadas en el Capítulo 4.
Antes de establecer unos procedimientos complementarios, la dirección debe decidir silos
procedimientos existentes son adecuados a la vista de los
riesgos identificados. En la medida en que unos procedimientos pueden satisfacer diversos
objetivos, la dirección de la empresa puede darse cuenta de que la adopción de medidas
complementarias no está justificada, siendo los procedimientos existentes suficientes o debiendo,
simplemente, ser aplicados de forma más rigurosa.
Por otra parte, la dirección de la empresa debe tener en cuenta que siempre habrá cierto nivel
de riesgo residual, no sólo porqué los recursos no son ilimitados, sino por otras limitaciones
inherentes a todo sistema de control interno. Este punto será desarrollado en el Capítulo 7.
El análisis de los riesgos no es un ejercicio técnico; pon el contrario, a veces resulta esencial
para que una empresa tenga éxito. Es más eficaz cuando incluye la identificación de todos los
procesos clave del negocio que conlleven un riesgo importante. Podría también incluir el análisis
de procesos, como la identificación de interdependencias clave y los nudos de control importan-
tes, así como la definición de responsabilidades. El análisis de procesos eficaz se centra
especialmente en las relaciones de dependencia entre las distintas áreas de la entidad. Estudiando,
por ejemplo, el origen de los datos, dónde se archivan, cómo se convierten en información útil y
quién utiliza esa información. Normalmente, las grandes organizaciones han de prestar una
atención especial a las transacciones y relaciones de dependencia más importantes, tanto dentro
de la misma organización como entre las distintas entidades. Tales procesos pueden verse
afectados positivamente por los programas de calidad que, gracias al interés del personal, pueden
sen un elemento importante de la contención de riesgos.
Por desgracia, a veces no se reconoce la importancia del análisis del riesgo hasta que es
demasiado tarde. Este es el caso de una importante empresa de servicios financieros, uno de
cuyos altos ejecutivos pronunció las siguientes palabras, como si se tratase de un melancólico
epilogo: “Simplemente, no creíamos que estuviésemos afrontando un nivel tan importante de
riesgo”.
Gestión del cambio
Los cambios producidos en la economía, el sector de actividad, la reglamentación y las

actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un
contexto determinado quizás no lo será en otro. En el contexto del análisis de riesgos, resulta
fundamental que exista un proceso para identifican las condiciones que layan cambiado y tomar
las acciones necesarias ante las mismas.
Así pues, todas las entidades necesitan tener un proceso, ya sea formal o informal, que sirva
para identifican las circunstancias que puedan afectar de
forma significativa su capacidad de conseguir sus objetivos. Como se expone en el Capítulo 5,
una parte clave de dicho proceso la constituyen los sistemas de información, que captan,
procesan y suministran información sobre los acontecimientos, actividades y condiciones que
indican la existencia de cambios ante los cuales la entidad debe reaccionar. Esta información
puede referirse a cambios en las preferencias de los clientes u otros factores que afectan la
demanda de los productos o servicios de la entidad. Alternativamente, puede estar relacionada
con las nuevas tecnologías vinculadas a los procesos de producción u otras actividades
empresariales, o con cambios surgidos en la competencia, o la normativa. Si la entidad cuenta
con los sistemas de información necesarios, puede establecer el proceso oportuno para
identificar los cambios de circunstancias y responder ante ellos.
Dicho proceso se efectuará paralelamente, o pueden formar parte del proceso de
evaluación de riesgos habitual de la entidad descrito antes. Supone la identificación de la
circunstancia que ha cambiado (lo que requiere disponer de mecanismos capaces de identificar
y comunican los acontecimientos o actividades que influyen en los objetivos de la entidad) y el
análisis de las oportunidades o riesgos asociados. Tal análisis incluye la determinación de las
posibles causas de la consecución o no consecución de un objetivo, la evaluación de la
probabilidad de que tales causas se produzcan, la evaluación del posible efecto sobre la
consecución de los objetivos y la consideración de hasta qué punto puede ser controlado dicho
riesgo o puede ser aprovechada tal oportunidad.
Aunque la gestión de los cambios es similar al proceso de evaluación de riesgos habitual e
incluso puede formar parte del mismo, ha de analizarse independientemente, dada su gran
importancia para un control interno eficaz y porque puede pasar inadvertida fácilmente en el
transcurso de la gestión diana.
Circunstancias que exigen una atención especial
La presente exposición de la gestión del cambio se fundamenta en la premisa de que,

debido a su impacto potencial, algunos factores deben ser objeto de una atención especial. La
medida en que tales circunstancias requieran la atención de la dirección dependerá,
evidentemente, de su impacto potencial. Dichos factores son los siguientes:
 Cambios en el entorno operacional.— Las modificaciones de las leyes o del entorno

económico pueden traducirse en un aumento de la competencia y generar riesgos
totalmente nuevos. La desinversión en el sector de las telecomunicaciones y la
liberalización de las tarifas de comisiones
practicadas por los agentes de cambio, pon ejemplo, conllevan enormes cambios en el
entorno competitivo de las compañías.
 Nuevos empleados.— Es posible que un nuevo ejecutivo no entienda la cultura de la entidad,
o que dedique toda su atención a la consecución de resultados, dejando de lado las
actividades de control. Un alto nivel de notación de personal, junto con la ausencia de
sistemas eficaces de formación y de supervisión, pueden sen la causa de incidencias o
problemas de control.
 Sistemas de información nuevos o modernizados.— Normalmente unos controles que son
eficaces dejan de serlo ante el desarrollo de nuevos sistemas, particularmente si esto ocurre
en unos plazos excepcionalmente breves (por ejemplo, con la intención de obtener una
ventaja competitiva o de realizar un movimiento táctico).
 Crecimiento rápido.— Cuando el volumen de operaciones de la entidad aumenta rápida y
significativamente, es posible que los sistemas existentes se vean sometidos a una presión tan
grande que los controles dejen de funcionar. De la misma manera, si se producen cambios en
los equipos responsables del tratamiento de datos o se refuerza el personal de administración,
puede que los supervisores existentes sean incapaces de mantener un nivel adecuado de
control.
 Nuevas tecnologías.— Cuando se incorporan nuevas tecnologías en los procesos de
producción o en los sistemas de información, es probable que resulte necesario modificar los
controles internos. Por ejemplo, en las tecnologías de fabricación en las que se utiliza el
sistema „just in time” de control de existencias, habitualmente es necesario modificar los
sistemas de costes y los correspondientes controles para asegurar que el contenido de los
informes financieros resulta apropiado y pertinente.
 Nuevas gamas, nuevos productos y nuevas actividades.— Cuando una entidad establece
nuevas líneas de negocio o realiza operaciones con las que no está familiarizada, es posible
que los controles existentes no sean adecuados. Las cajas de ahorro americanas, por ejemplo,
se aventuraron en nuevas actividades de inversión y de crédito en las que apenas tenían
experiencia, sin plantearse cómo iban a controlar los riesgos resultantes de dichas
actividades.
 Reestructuraciones internas.— Las reestructuraciones (que resultan, por ejemplo, de un
leverage buy out”4, de una disminución acusada de la actividad o de un programa de
reducción de costes) pueden venir acompañadas de
4
Se mantiene el término en inglés por ser de uso corriente en el mundo de los negocios. En general se entiende por
“leverage buy out” la compra apalancada de empresas (financiada por créditos garantizados por los activos de la
misma). (N. del T.)
Reducciones de personal, así como de una supervisión y una segregación de funciones
inadecuadas. Asimismo, puede que se elimine un puesto de trabajo cuyo ocupante
desempeñaba una función de control clave, sin que se establezca el control compensatorio
oportuno. Muchas empresas se dan cuenta demasiado tarde de que han reducido sus
plantillas rápidamente de modo significativo, sin considerar adecuadamente las im-
plicaciones de tales reducciones en términos de control.
 Actividades en el extranjero.— El incremento de las actividades llevadas a cabo en el
extranjero, o la adquisición de negocios extranjeros, conllevan nuevos riesgos, a veces
únicos por su naturaleza, que han de ser abordados por la dirección. Por ejemplo, es
probable que el entorno de control esté influido por la cultura y las costumbres de la
dirección local. Asimismo, determinados riesgos pueden sen consecuencia de factores es-
pecíficos como la economía y la legislación locales. Es posible también que las vías de
comunicación y los sistemas de información no estén bien establecidas y abiertos a todos
los empleados.
Mecanismos
Deben existir mecanismos pana identifican los cambios ocurridos, o susceptibles de

ocurrir a corto plazo, en cualquier contexto (real o potencial). No es necesario que tales
mecanismos sean muy complejos, y suelen ser más bien informales en las empresas pequeñas.
Consideremos el caso de un empresario de una pequeña sociedad dedicada a la fabricación de
máquinas de serigrafía que se reúne cada mes con los responsables de ventas, finanzas,
compras, fabricación e ingeniería. En el transcurso de una reunión de varias horas, hablan de
temas relativos a la tecnología, a la actuación de sus competidores y de las nuevas exigencias
de sus clientes. Se analizan los riesgos y las oportunidades, y a continuación formulan planes
de acción pana cada actividad. Dichos planes comienzan a implantarse inmediatamente, y el
empresario realiza un seguimiento de los mismos, mediante visitas a cada actividad durante los
siguientes meses para comprobar por si mismo el desarrollo de la implantación de los planes y
para averiguar si se están abordando correctamente los cambios que se han producido en el
mercado.
Visión de futuro
En la medida de lo posible, los referidos mecanismos deben están orientados lacia el

futuro, de manera que la entidad pueda prever los cambios significativos y elaborar los planes
correspondientes. Deben establecerse unos “sistemas de alarma” que permitan identificar
indicios de la existencia de
nuevos riesgos. Por ejemplo, un banco comercial ha constituido un comité multidisciplinario
encargado de analizar riesgos que puede generar el desarrollo de nuevos productos. Asimismo,
lacen falta unos mecanismos para la rápida detección de las oportunidades que surjan de un
entorno en evolución. Los bancos que detectaron en su día las nuevas necesidades de sus clientes
de disponen de servicios bancarios fuera del horario habitual y la buena acogida de los sistemas
informáticos interactivos por parte de sus clientes consiguiendo incrementar de forma importante
sus cuotas de mercado mediante la instalación y la eficaz comercialización de redes de cajeros
automáticos de fácil utilización.
Evidentemente, cuanto más rápida sea la detección de los cambios que conllevan riesgos u
oportunidades, mayor será la probabilidad de que puedan tomarse medidas para abordarlos
eficazmente. No obstante, al igual que en el caso de los otros mecanismos de control, los gastos
correspondientes no pueden ignorarse. Ninguna entidad dispone de recursos suficientes para
obtener y analizar a fondo toda la información acerca de las múltiples circunstancias cambiantes
que pueden afectarla. Además, puesto que nadie tiene una bola de cristal que he permita prever el
futuro, ni siquiera en el caso de disponer de la información relevante más actualizada, existirían
garantías de que puedan preverse con precisión los acontecimientos futuros y sus consecuencias.
A menudo resulta difícil saber si una información que parece valiosa constituye el comienzo de
una tendencia importante o simplemente refleja una situación anómala.
Por lo tanto, han de implantarse unos mecanismos suficientes para prever los cambios que
puedan afectar a la entidad y pana ayudar a evitar posibles problemas y aprovechar las
oportunidades futuras. Nadie es capaz de prever el futuro, pero cuanto más acertadas sean las
previsiones de la entidad sobre los cambios potenciales y sus efectos, menores serán las sorpresas
desagradables.
El proceso de evaluación de riesgos suele sen menos formal y menos estructurado en las
empresas pequeñas que en las grandes, pero los conceptos básicos de este componente del control
interno deben estar presentes en todas las entidades, independientemente de su tamaño. Una
empresa pequeña debería tener unos objetivos establecidos, aunque es posible que se expresen de
forma implícita más que de forma explícita. Dado que las empresas pequeñas suelen ser más
centralizadas y cuentan con un número más reducido de niveles de gestión, los objetivos pueden
comunicarse fácil y eficazmente a los niveles de gestión inferiores, de forma más directa y
continuada. Asimismo,
Los vínculos que existen entre los objetivos a nivel global y los relacionados con cada actividad
normalmente son claros y directos.
La identificación y el análisis de los riesgos que pueden. Impedir que se consigan los objetivos
a menudo implican la obtención directa por parte de la dirección de información facilitada por
empleados o terceros. Un empresario puede obtener información acerca de los riesgos provocados
por factores externos mediante el contacto directo con clientes, proveedores, bancos, abogados,
auditores independientes y otros terceros. El director general también puede enterarse de los riesgos
que surgen de factores internos a través del contacto directo con empleados de todos los niveles de
responsabilidad. La evaluación de riesgos en las empresas pequeñas puede resultar especialmente
eficaz, debido a que la profunda involucración del director general y de otros directivos importantes
hace que los riesgos sean evaluados por personas que disponen de la información relevante y que
tienen capacidad de comprender correctamente las implicaciones de dichos riesgos.
Los mecanismos que existen en las empresas pequeñas para gestionar los riesgos corrientes, así
como los que resultan de circunstancias menos habituales (por ejemplo, nueva normativa,
ralentización económica o desarrollo de una línea de productos), pueden sen muy infórmales pero
eficaces. Las reuniones informales entre el director general y los responsables de los distintos
departamentos y personas ajenas a la entidad, que proporcionen información que resulta útil para
identificar los riesgos, también puede constituir un foro para analizar dichos riesgos y tomar
decisiones sobre la mejor forma de abordarlos. Es posible formular planes de acción con rapidez,
con la participación de pocas personas. Asimismo, la implantación puede efectuarse inmedia-
tamente, mientras el director general o los directivos más importantes visitan los departamentos
afectados o hablan con los clientes o proveedores cuyas necesidades están siendo atendidas.
Posteriormente, pueden efectuar los seguimientos oportunos para asegurar que se toman las
acciones adecuadas.
Evaluación
El evaluador ha de concentrarse en el proceso por parte de la dirección, de fijación de

objetivos, de análisis de los riesgos y gestión de cambios, incluyendo sus vinculaciones y su
relevancia pana las actividades del negocio. Se ofrece a continuación una lista de factores que la
persona encargada de la evaluación puede tener en cuenta. No es exhaustiva y no todos los factores
resultarán aplicables a todas las empresas; sin embargo, puede servir como punto de pantida.
Objetivos globales
 Hasta qué punto los objetivos de la empresa expresan clara y completamente lo que la entidad
desea conseguir y la forma en que prevé conseguirlo teniendo en cuenta sus particularidades.
 La eficacia con que los objetivos globales de la entidad se comunican al personal y al consejo
de administración.
 Vinculación y coherencia de las estrategias con los objetivos globales de la entidad.
 Coherencia de los planes de negocios y presupuestos con los objetivos de la entidad, los planes
estratégicos y las circunstancias.
Objetivos asignados a cada actividad
 Conexión de los objetivos asignados a cada actividad con los objetivos globales y planes
estratégicos de la entidad.
 Coherencia entre los objetivos asignados a cada actividad.
 Relevancia de dichos objetivos para todos los procesos empresariales importantes.
 Características especificas de los objetivos asignados a cada actividad en relación con las
características de la misma.
 Idoneidad de los recursos en relación con los objetivos.
 Identificación de los objetivos de cada actividad que son importantes (factores críticos del
éxito) para la consecución de los objetivos generales.
 Participación en la determinación de objetivos de los empleados que ocupan puestos de
responsabilidad a todos los niveles, y grado de compromiso con la consecución de los mismos.
Riesgos
 Idoneidad de los mecanismos para identificar los riesgos externos.

 Idoneidad de los mecanismos para identifican los riesgos de origen interno.
 Identificación de todos los riesgos importantes que pueden impactar sobre cada objetivo
relevante establecido pana las distintas actividades.
 Integridad y relevancia del proceso de análisis de los riesgos, incluyendo la estimación de la
importancia de los riesgos, la probabilidad de que se materialicen y la determinación de las
acciones oportunas.
Gestión del cambio
 Existencia de mecanismos para prever, identifican y reaccionan ante los acontecimientos y

actividades rutinarios que influyen en la consecución de los objetivos globales o específicos
(normalmente establecidos por los responsables de las actividades que se verían más
perjudicadas por tales cambios).
 Existencia de mecanismos para identificar y reaccionar ante los cambios
que pueden afectan a la entidad de una forma más dramática y duradera, y que pueden
requerir la intervención de la alta dirección.
4
Actividades de control
Resumen del capítulo: Las actividades de control consisten en las políticas y los procedimientos que tienden
a asegurar que se cumplen las directrices de la dirección. También tienden a asegurar que se toman las
medidas necesarias para afrontar los riesgos que ponen en peligro la consecución de los objetivos de la
entidad. Las actividades de control se Llevan a cabo en cualquier parte de la organización, en todos sus
niveles y en todas sus funciones y comprenden una serie de actividades tan diferentes como pueden ser
aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los resultados de las
operaciones, la salvaguarda de activos y la segregación de funciones.
Las actividades de control son las normas y procedimientos (que constituyen las acciones
necesarias para implementar las políticas) que pretenden asegurar que se cumplen las directrices
que la dirección la establecido con el fin de controlar los riesgos. Las actividades de control pueden
dividirse en tres categorías, según el tipo de objetivo de la entidad con el que están relacionadas: las
operaciones, la fiabilidad de la información financiera o el cumplimiento de la legislación
aplicable.
Aunque algunos tipos de control están relacionados solamente con un área especifica, con
frecuencia afectan a diversas áreas. Dependiendo de las circunstancias, una determinada actividad
de control puede ayudar a alcanzar objetivos de la entidad que corresponden a diversas categorías.
De este modo, los controles operacionales también pueden contribuir a la fiabilidad de la
información financiera, los controles sobre la fiabilidad de la información
Financiera pueden contribuir al cumplimiento de la legislación aplicable, y así, sucesivamente.
He aquí un ejemplo de lo anterior: eh jefe de ventas de una empresa distribuidora de piezas
de recambio recibe diariamente informes “relámpago” de los jefes de zona para estar al corriente
de la venta de determinados productos y de la distribución geográfica. El jefe de ventas compara
esta información con las cifras de venta y con las comisiones de los vendedores registradas en los
libros. Por lo tanto, esta actividad de control permite satisfacer objetivos relacionados con las
operaciones y también con la fiabilidad de la información financiera. Otro ejemplo puede sen una
cadena de venta al por menor en la que las notas de abono correspondientes a las devoluciones se
controlan a través de la secuencia numérica de los documentos y se resumen con el objeto de
aportar la necesaria información financiera. Este resumen también proporciona un análisis por
producto que puede ayudan al jefe de compras de materiales en sus decisiones futuras de compra
así como apoyar el control de stocks. En este caso, las actividades de control que se realizan
principalmente a los efectos de la elaboración de información financiera, también contribuyen a la
consecución de los objetivos relacionados con las operaciones.
Aunque las categorías anteriormente mencionadas son titiles a la hora de analizar el control
interno, la categoría a la que pertenece un tipo de control, no es tan importante como la función
que desempeña dicho control en la consecución de los objetivos de una actividad determinada.
Tipos de actividades de control
Existen muchas descripciones de tipos de actividades de control, que incluyen desde

controles preventivos a controles detectivos, controles manuales, controles informáticos y
controles de dirección. La categoría de una actividad de control puede venir determinada por los
objetivos de control, a los que corresponde, como, por ejemplo, el asegurar la totalidad y exactitud
del proceso de datos. Las actividades de control que a continuación se exponen generalmente son
llevadas a cabo por el personal a todos los niveles de una organización. Esta presentación
pretende mostrar la gama y la variedad de las actividades de control y no proponen una
clasificación especifica.
 Análisis efectuados por la dirección.— Los resultados obtenidos se analizan comparándolos

con los presupuestos, las previsiones, los resultados de ejercicios anteriores y de los
competidores. Con el fin de evaluar en qué medida Se están alcanzando los objetivos, la
dirección realiza un seguimiento de las iniciativas principales como campañas comerciales,
programas
de mejora de los procesos de producción, programas de contención o deducción de costes.
También se efectúa un seguimiento de la puesta en marcha de planes de desarrollo de
nuevos productos, de creación de “joint ventures” (sociedades de riesgo compartido) o de
financiación. Las acciones de la dirección relacionadas con el análisis y el seguimiento de
dicha información representan actividades de control.
 Gestión directa de funciones por actividades.— Los responsables de las diversas funciones
o actividades revisan los informes sobre resultados alcanzados. En el seno de un banco,
por ejemplo, el responsable de los préstamos para consumo analiza los informes obtenidos
por sucursal, región y tipo de préstamo, verifica los regimenes, identifica las tendencias y
relaciona los resultados con las estadísticas económicas y los objetivos. Los directores de
las sucursales, a su vez, reciben información sobre los nuevos prestamos, distribuidos por
responsable encargado y por segmento del mercado. Los directores de sucursal también se
preocupan del cumplimiento de la legislación, mediante el análisis, por ejemplo, de los
informes requeridos por los organismos de control para los nuevos depósitos que superen
un importe determinado. Los flujos de caja diarios se concilian con las posiciones netas
comunicadas a la oficina central con el objeto de que éstas puedan efectuar las
transferencias e inversiones oportunas.
 Proceso de información.— Se realiza una serie de controles para comprobar la exactitud,
totalidad y autorización de las transacciones. Los datos introducidos en el ordenador se
comprueban a través del punteo manual de las ediciones o por comparación automática
con los ficheros de control aprobados. Por ejemplo, el pedido de un cliente no se acepta
lasta después de su comprobación a través del archivo de clientes y de límite de crédito
aprobados. Se controla la secuencia numérica de las transacciones, los importes totales de
los ficheros se comparan y se concilian con los saldos anteriores y con las cuentas de
control. Las anomalías que requieren un seguimiento son analizadas por personal
administrativo y son transmitidas a los responsables cuando resulta necesario. Se controla
el desarrollo de nuevos sistemas y la modificación de los existentes, al igual que el acceso
a los datos, archivos y programas informáticos. Los controles relativos al proceso de
información se abordan en mayor detalle más adelante.
 Controles físicos.— Los equipos de fabricación, las inversiones financieras, la tesorería y
otros activos son objeto de protección y periódicamente se someten a recuentos físicos
cuyos resultados se comparan con las cifras que figuran en los registros de control.
 Indicadores de rendimiento.— El análisis combinado de diferentes conjuntos de datos
(operativos o financieros) junto con la puesta en marcha de acciones correctivas,
constituyen actividades de control. Los indicadores
de rendimiento incluyen, por ejemplo, las fluctuaciones de los precios de compra, el
porcentaje de pedidos urgentes y la proporción de devoluciones sobre el total de pedidos:
Mediante la investigación de los resultados inesperados o las tendencias anormales, la
dirección identifica las circunstancias en las que existe el peligro de que no se consigan
objetivos relativos al suministro de materiales. Si esta información se utiliza sólo como so-
porte a la toma de decisiones operacional, el análisis de los indicadores de rendimiento actúa,
exclusivamente, como un control relativo a las operaciones. Si, por el contrario, dicha
información también se utiliza para el seguimiento de resultados inesperados procedentes del
sistema de información financiera, el análisis de indicadores de rendimiento también con-
tribuye al control relativo a la información financiera
 Segregación de funciones.— Con el fin de reducir el riesgo de que se cometan errores o
irregularidades, las tareas se reparten entre los empleados. Así, por ejemplo, se separan las
responsabilidades de autorizar transacciones, de registrarlas y de gestionar los activos
correspondientes. La persona que autoriza ventas a crédito no será responsable de los
registros contables de la cuenta de clientes o de gestionar los ingresos en efectivo. De la
misma manera, los vendedores no pueden modificar el fichero de precios de venta ni el de
porcentajes de las comisiones.
Estos son solamente algunos ejemplos de los múltiples procedimientos que, aplicados de
forma cotidiana en las empresas, permiten que se refuerce el cumplimiento de los planes de
acción establecidos y que se mantengan sus organizaciones en el camino adecuado para la
consecución de sus objetivos.
Políticas y procedimientos. Las actividades de control generalmente se apoyan en dos elementos:

Las políticas que determinan lo que debería hacerse (constituyen la base del segundo elemento) y
los procedimientos necesarios para llevar a cabo las políticas. En una sociedad de valores, por
ejemplo, se podría prever que el responsable de clientes en general o de grupos de clientes efectúe
una revisión de las transacciones con clientes. El procedimiento consistirá en realizar en tiempo
oportuno el análisis, haciendo hincapié en factores tales como el tipo y el volumen de los valores
negociados y su relación con eh patrimonio neto y la antigüedad del cliente.
A menudo las políticas se comunican verbalmente. Las políticas pueden ser eficaces aunque
no estén escritas en situaciones donde las políticas hacen referencia a prácticas muy asimiladas y
conocidas y en pequeñas empresas donde las vías de comunicación sólo implican un número
limitado de responsables, lo cual facilita la interacción y supervisión del personal. Con inde-
pendencia de que una política se establezca o no por escrito, hay que implantarla
De forma seria, concienzuda y coherente. Un procedimiento no será útil si se Lleva a cabo de
forma mecánica, sin concentrarse en el objetivo por el que se la establecido la política.
Asimismo, es importante que las condiciones identificadas como resultado de la
aplicación de los procedimientos se investiguen y que se lleven a cabo las acciones correctivas
apropiadas. Las acciones de seguimiento pueden variar según el tamaño y la estructura
organizativa de la empresa. Van desde un proceso de informes formales en grandes empresas
(donde las unidades de la empresa justifican por qué no fueron alcanzados los objetivos y
cuáles son las acciones que hay que adoptar para evitar que se repita el error) lasta el caso de
un empresario que se acerca al director de la fábrica para discutir con él qué es lo que ha
salido mal y qué es lo que hay que hacer.
Integración de las actividades de control con la evaluación de riesgos
De forma paralela a la evaluación de los riesgos, la dirección debería establecer y aplicar

el plan de acción necesario para afrontarlos. Una vez identificadas, estas acciones también
serán útiles para definir las operaciones de control que se aplicarán para garantizar su
ejecución de forma correcta, y en el tiempo deseado.
Por ejemplo: una compañía estableció como objetivo “alcanzar o superar los objetivos de
ventas”. Los riesgos identificados incluyeron un conocimiento insuficiente de las necesidades
de los clientes actuales o futuros. Las acciones de la dirección para afrontar el riesgo
incluyeron, entre otros, la recopilación de información histórica sobre el comportamiento de
los clientes y el desarrollo de nuevos estudios de mercado. Estas acciones sirven también para
el desarrollo de actividades de control.
Las actividades de control forman una parte esencial del proceso mediante el cual una
empresa intenta lograr sus objetivos de explotación. Las actividades de control no son un fin
en si mismas, ni tampoco deben existir simplemente porque parece que “es lo que hay que
hacer”. Siguiendo con el ejemplo anterior, la dirección tiene que tomar medidas para asegurar
que se alcanzan los objetivos de venta. Las actividades de control sirven como mecanismos
para asegurar el cumplimiento del objetivo. Tales actividades podrían incluir tanto el
seguimiento del desarrollo de las ventas por cliente comparándolo con el calendario previsto
como las medidas adoptadas para garantizar la exactitud de la información obtenida. En este
sentido, el control es un elemento integrado en el proceso de gestión.
Controles sobre los sistemas de información
Los sistemas de información, que desempeñan un papel fundamental en la gestión de las

empresas, deben necesariamente estar controlados, con independencia de su tamaño o de que las
informaciones obtenidas sean de naturaleza financiera, relativo a las actividades o referente a la
reglamentación.
La mayoría de las empresas, inclusive las pequeñas o las divisiones de las grandes
compañías, utilizan sistemas informáticos para generar información. Por lo tanto, el siguiente
análisis se ocupa de sistemas de información que incluyen tanto elementos manuales como
informatizados. Para los sistemas de información que son estrictamente manuales se utilizan otro
tipo de controles, aunque se basan en los mismos conceptos.
Las actividades de control en los sistemas de información pueden agruparse en dos
1
categorías. La primera abarca los controles generales , que son aplicables a muchas o todas las
operaciones y que ayudan a asegurar su correcto funcionamiento. La segunda categoría
comprende controles de aplicación que incluyen los procedimientos programados en el seno de
las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso de
los diversos tipos de transacciones. Juntos, estos controles sirven para asegurar la totalidad,
exactitud y autorización de la información financiera y otra información almacenada en el
sistema.
Controles generales
Los controles generales habitualmente incluyen controles sobre las operaciones del centro de
proceso de datos, la adquisición y mantenimiento de software, el control de acceso y el desarrollo
y mantenimiento de las aplicaciones. Estos controles son aplicables a todos los sistemas, tanto si
se trata de ordenadores centrales, como miniordenadores o del entorno del usuario.
Controles sobre las operaciones del centro de proceso de datos. Estos incluyen la organización y
la planificación de trabajos, las intervenciones del operador, los procesos de salvaguarda y de
recuperación de datos, así como los planes de emergencia. En un entorno sofisticado, estos
controles también incluyen la planificación de la capacidad productiva y la distribución y el uso
de los recursos. En un entorno de tecnología punta, la planificación de trabajos se efectúa de
forma automática, pero el operador puede intervenir en todo
1
La terminología utilizada en la literatura actual es variada. Estos controles se denominan a veces controles
globales informáticos, controles globales o controles de la tecnología de la información. Él termino “controles
generales” se utiliza por comodidad.
momento. Las herramientas de la gestión de almacenamiento de datos cargan automáticamente
los archivos en dispositivos de alta velocidad, en previsión del trabajo siguiente. El supervisor
de los turnos ya no tiene que inicializar el log de consola manualmente, porque éste no se
imprime, sino que se mantiene en el sistema. Cientos de mensajes pasan cada segundo por una
consola integrada que soporta múltiples unidades centrales. Los mini ordenadores trabajan toda
la noche sin personal.
Controles sobre el software. Éstos incluyen los controles sobre la adquisición, la implantación
y el mantenimiento del software necesario para el funcionamiento del conjunto del sistema y la
ejecución de las aplicaciones: sistemas de explotación, sistemas de gestión de bases de datos,
software de telecomunicaciones, de seguridad y utilidades. Como centro neurálgico del sistema
el software de sistemas también comprende funciones de acceso y de utilización de los
recursos. El software de sistemas puede facilitar información sobre la utilización que lacen los
usuarios, de modo que si alguien accede a una posición de responsabilidad que he permite
alterar los datos, este hecho al menos queda registrado para su revisión.
Controles sobre la seguridad de acceso. La importancia de estos controles es cada vez mayor
debido al crecimiento de las redes de telecomunicaciones. Los usuarios del sistema pueden
estar al otro lado del mundo o en el despacho anexo. Si son eficaces, los controles sobre la
seguridad de acceso permiten proteger el sistema contra el acceso y el uso no autorizados. Si
están bien diseñados, estos controles pueden prevenir la piratería informática.
La prevención del acceso no autorizado se puede conseguir a través de actividades de
control adecuadas, como por ejemplo el cambio frecuente de los códigos de acceso o la
implantación de un sistema de rellamada (en el que el sistema llama al usuario potencial a un
código autorizado en vez de permitir el acceso directo al sistema). Los controles de acceso
limitan el acceso de los usuarios autorizados a las aplicaciones o funciones que necesitan para
su trabajo, contribuyendo a la segregación de funciones. Deberían efectuarse revisiones
periódicamente y cada vez que se considere oportuno de los perfiles de usuarios que permiten o
restringen el acceso a los programas. En efecto, los ex-empleados y los empleados conflictivos
pueden ser más peligrosos para el sistema que los piratas informáticos; los passwords de
acceso y los perfiles de usuanio de ex-empheados antiguos debenfan ehiminarse de inmediato.
La integridad de los datos y programas se protege a través de la restricción de la utilización del
sistema a personas no autorizadas.
Controles sobre el desarrollo y mantenimiento de las aplicaciones. En la mayoría de las
organizaciones, el desarrollo y el mantenimiento de las aplicaciones suelen generar unos costes
elevados. Los costes incurridos en recursos para los sistemas de información gerencial, el tiempo
necesario, la formación del personal que realiza estas tareas y el hardware y software necesarios
representan unas inversiones considerables. Con el fin de ejercer un control sobre estos costes,
muchas entidades han puesto en marcha algún tipo de metodología para el desarrollo de
aplicaciones que permite ejercer un control los proyectos de desarrollo o de mantenimiento
proporcionando una estructura para el diseño y la implementación de sistemas de información,
poniendo especial énfasis en las fases especificas, las necesidades de documentación, las
aprobaciones y las comprobaciones necesarias sobre el estado de avance de los distintos
proyectos. La metodología debe proporcionar un control apropiado de las modificaciones
introducidas en el sistema: el procedimiento de solicitud de aprobación del pnoyecto de
modificaciones, amihisis de las mismas, las aprobaciones, la venificación de los nesultados y los
protocohos de puesta en marcla penmitinin asegunan que las modificaciones se introducen
correctamente.
Una alternativa al desarrollo de programas por parte de la propia empresa consiste en la
utilización de paquetes estándar, lo cual es la opción que más se viene utilizando últimamente.
Los proveedores ofrecen sistemas flexibles e integrados que, gracias a la parametrización,
permiten la adaptación a las necesidades especificas de la empresa. Muchas metodologías de
desarrollo de sistemas consideran la adquisición de paquetes estándar como una solución
alternativa al desarrollo interno, e incorporan los procedimientos de control oportunos sobre los
procesos de selección e implantación.
Controles de aplicación
Los controles de aplicación, como su nombre indica, están diseñados para controlar el
funcionamiento de las aplicaciones. Permiten aseguran la totalidad y exactitud en el proceso de
transacciones, su autorización y su validez. Hay que prestar especial atención a las “interfaces” de
las aplicaciones, ya que, a menudo, están conectadas con otros sistemas que, a su vez, requieren
controles para asegurar que se procesan todos los datos y que todas las salidas de datos se
distribuyen adecuadamente.
Una de las contribuciones más importantes de los ordenadores a los sistemas de control es su
capacidad de evitar que se introduzcan errores en el sistema, además de detectarlos y corregirlos
una vez dentro. Muchos controles de aplicación dependen de comprobaciones de edición
informatizadas, que consisten en comprobaciones de formato, existencia, razonabilidad de datos y
Otras comprobaciones que se incorporan en cada aplicación durante su desarrollo. Si estas
comprobaciones están diseñadas correctamente, pueden ayudan a controlar los datos que se
introduzcan en el sistema.
Relación entre controles generales y controles de aplicación
Estas dos categorías de control de los sistemas informáticos están relacionadas entre sí:
Los controles generales son necesarios para asegurar el funcionamiento adecuado de los
controles de aplicación que dependen de los procesos informáticos.
Por ejemplo, mediante los controles de aplicación se pueden examinar, cotejan y editar los
datos en el momento de sen introducidos. Estos controles proporcionan información al instante
cuando algo no cuadra o tiene un formato equivocado, para que puedan efectuarse de
inmediato las correcciones correspondientes. Asimismo, generan mensajes en la pantalla que
indican dónde se halla el error en los datos y lacen informes de excepciones para su segui-
miento.
Si los controles generales son inadecuados, no es posible apoyarse en los controles de
aplicación que suponen que el sistema propiamente dicho funciona correctamente:
comprobación con el ficheno adecuado, proporcionar mensajes de error identificando
adecuadamente los problemas o generar informes de excepciones sin omisiones.
Otro ejemplo del equilibrio que se necesita entre los controles generales y los de
aplicación es el control de totalidad, que se utiliza con frecuencia para ciertos tipos de
transacciones en las que se utilizan documentos prenumerados (suele tratarse de documentos
internos, como los pedidos de compra). En base a dicho control las transacciones duplicadas
son identificadas como tal o rechazadas por el sistema. Para llevar a cabo este control, según el
diseño elegido, el sistema rechazara las partidas anómalas o las mantendrá en suspenso al
mismo tiempo que se facilita a los usuarios informes sobre los números que falten, las partidas
duplicadas así como las partidas cuyas características excedan los limites de los parámetros
preestablecidos. ¿Pero, responde el sistema a estas necesidades? ¿Cómo sabe la persona que
debe fiarse del contenido del informe? ¿Todas las partidas que deberían incluirse en el informe
realmente figuran en él?, Y a la inversa ¿todas las partidas que figuran en el informe son las
que deberían figurar en el mismo?
La respuesta viene dada por los controles generales. Los controles efectuados durante el
desarrollo del sistema, que requiere revisiones detalladas y pruebas de funcionamiento de las
aplicaciones, permiten comprobar que la lógica del programa que genera el informe es correcta
y que todas las excepciones serán identificadas adecuadamente. Una vez se la instalado la
aplicación
Los controles de acceso y de mantenimiento aseguran que nadie pueda entrar en las aplicaciones y
modificarlas sin la debida autorización y, por contra, que las modificaciones necesarias y
debidamente autorizadas se han efectuado realmente. Los controles de operaciones del centro de
proceso de datos y los controles del software de sistemas aseguran que se utilizan los archivos
adecuados y que se actualizan correctamente.
La relación entre los controles de aplicación y los controles generales consiste en que éstos
son indispensables para el funcionamiento de los controles de aplicación, y que ambos son
necesarios pana garantizar el proceso completo y correcto de la información.
Evolución de las tecnologías
Toda reflexión referente a la aparición de nuevas tecnologías suscita interrogantes en

términos de control. Estas tecnologías que engloban herramientas de desarrollo tipo CASE
(“Computer Assisted Software Engineering”, desarrollo de software asistido por ordenador), la
concepción de prototipos pana crean nuevos sistemas, el proceso de la imagen y el intercambio
electrónico de datos desempeñan un papel importante sobre la formá en que se aplican los
controles aunque sin cambian los requisitos básicos. A título de ejemplo, en el ámbito de los
ordenadores personales, la existencia de microordenadores cada vez más potentes y
miniordenadores cada vez más baratos permite una mejor distribución de los datos y un
incremento de la potencia. Los departamentos y las unidades operacionales pueden de esta formá
generar sus propios procesos con el soporte de una red local autónoma poco costosa. Se trata de
aplicaciones desarrolladas por los usuarios más que de software resultante de un proceso
centralizado.
Para asegurar los controles necesarios al nivel de la informática individual, se deben
establecer y aplicar al nivel de la organización normas para el desarrollo, el mantenimiento y la
explotación de las aplicaciones. El entorno informático individual debe regirse por el mismo nivel
de control que un entorno informático tradicional organizado alrededor de un sistema central.
La inteligencia artificial o los sistemas expertos son tecnologías en pleno crecimiento. En el
futuro, dado que estos sistemas estarán integrados en muchas aplicaciones (independientemente
de si fueron desarrolladas por el departamento de proceso de datos o por usuarios finales, o si
fueron adquiridas a terceros) lo esencial será decidir cuales son las mejor adaptadas, qué herra-
mienta deberá utilizarse y cómo controlar su desarrollo. Muchos piensan que estos sistemas al
final se controlan de la misma manera que ahora sé controla la utilización de ordenadores
pensonales. Cuando la utilización de los ordenadores personales empezó a extenderse, la gente
estaba preocupada lasta que
se dio cuenta de que el control se efectuaría de la misma manera que antes, es decir, a través de
actividades de control adaptadas a los objetivos.
Necesidades específicas
Dado que cada entidad tiene sus propios objetivos y estrategias de implantación, surgen
diferencias en la jerarquía de objetivos y en las actividades de control correspondientes.
Incluso en el caso de que dos entidades tuvieran los mismos objetivos y jerarquía, sus
actividades de control serian diferentes: en efecto, cada entidad está dirigida por personas
diferentes que aplican sus propias ideas sobre el control interno. Además, los controles reflejan
el entorno de la entidad y el sector en el que opera, así como la complejidad de su
organización, su historia y su cultura.
El entorno en el que una entidad opera influye en los riesgos a los que está expuesta. En
particular, puede estar sujeta a requerimientos de información a terceros particulares o a
cumplir exigencias legales o normativas específicas. Un fabricante de sustancias químicas, por
ejemplo, tiene que afrontar riesgos medioambientales mayores que una típica empresa de
servicios, además de estar obligado a facilitar información sobre el tratamiento de residuos en
sus estados financieros.
La complejidad de una entidad, así como el tipo y el alcance de sus actividades,
repercuten en sus actividades de control. Una organización compleja, con diversidad de
actividades, se enfrentará a problemas de control más difíciles que una organización más
sencilla con actividades menos variadas. Una entidad con operaciones descentralizadas y con
énfasis en la autonomía local y en la innovación necesita un tipo de controles distintos de los
aplicados por una entidad altamente centralizada. Hay otros factores que influyen en la
complejidad de una organización y, por lo tanto, en la naturaleza de sus controles: la
localización y la dispersión geográficas, la importancia y la complejidad de las operaciones o
los métodos de proceso de datos.
Todos estos factores afectan a las actividades de control de las entidades, que tienen que
diseñarse de manera que contribuyan a lograr los objetivos de la entidad.
Los conceptos básicos de las actividades de control aplicados en las empresas pequeñas y
medianas no difieren significativamente de los de las entidades más grandes, aunque el grado
de formalización de sus operaciones sí
diferirá notablemente según el tamaño de la empresa. Además, las entidades pequeñas pueden
considerar que algunos tipos de actividades de control no serán siempre adecuadas para sus
organizaciones debido a la eficacia que habitualmente se observa en los controles aplicados por la
dirección general.
Por ejemplo, si la dirección general y los demás directivos clave participan directamente en
los nuevos planes de marketing, se reservan la autorización de las ventas a plazo y las compras
significativas, así como la disposición de créditos, pueden mantener un control muy fuerte sobre
dichas actividades que reduce o elimina la necesidad de implantar actividades de control más
detalladas. El conocimiento directo (basado en la propia experiencia) de las ventas a los
principales clientes y el análisis pormenorizado de los ratios clave y otros indicadores de
comportamiento sirven a menudo para reducir el volumen de actividades de control que
habitualmente se ejecutan en los niveles jerárquicos más bajos de las grandes empresas.
Parece que la segregación adecuada de funciones suele crear problemas en las organizaciones
pequeñas, al menos a priori. Sin embargo, incluso en las empresas con pocos empleados
normalmente se consigue distribuir las responsabilidades de forma que se aseguren los controles
necesarios. Si esto no fuera posible (como ocurre en ocasiones) el control necesario de las
actividades incompatibles podría realizarse. A través de la supervisión de las mismas por el
propietario-director. Por ejemplo, cuando existe un riesgo de pagos indebidos, no es extraño que
el propietario-director sea la única persona autorizada para firmar cheques o que exija que los
extractos bancarios le sean remitidos sin abrir, con el fin de que pueda revisar los cheques
cargados en la cuenta.
Los controles de los sistemas informáticos, sobre todo los controles informáticos globales y,
más específicamente, los controles de acceso, pueden crear problemas en las empresas pequeñas y
medianas, debido a la manera informal en que habitualmente se implantan las actividades de
control. La solución puede encontrarse, otra vez, en la mayor implicación de Los altos cargos de
la empresa, como ocurre habitualmente en las organizaciones pequeñas. Una garantía razonable
de que los errores graves serán detectados viene dada por la utilización continua por parte de la
dirección de la información generada por el sistema y por la evaluación de dicha información a la
luz de su conocimiento directo de la actividad, junto con algunos controles clave aplicados por
otros empleados.
Evaluación
Las actividades de control tienen que evaluarse en el contexto de las directrices establecidas
por la dirección para afrontar los riesgos relacionados
con los objetivos de cada actividad importante. La evaluación, por lo tanto, tendrá en
cuenta si las actividades de control están relacionadas con el proceso de evaluación de riesgos y si
son apropiadas para asegurar que las directrices de la dilección se cumplen. Dicha evaluación se
efectuará para cada actividad importante, incluidos los controles generales de los sistemas
informáticos (se trata de cada una de las actividades identificadas al analizar el proceso de
evaluación de riesgos; Véase el Capitulo 3). Las personas encargadas de efectuar la evaluación
tendrán en cuenta no solamente si las actividades de control empleadas son levantes en base al
proceso de evaluación de riesgos realizado, sino también si se aplican de manera correcta.
5
Información y comunicación
Resumen del capítulo: Es necesario identificar, recoger y comunicar la información relevante de

un modo y en un plazo tal que permitan a cada uno asumir sus responsabilidades. Los sistemas
de información generan informes, que recogen información operacional, financiera y la
correspondiente al cumplimiento, que posibilitan la dirección y el control del negocio. Dichos
informes contemplan, no sólo, los datos generados internamente, sino también información sobre
incidencias, actividades y condiciones externas, necesaria para la toma de decisiones y para
formular informes financieros. Por otra parte, se debe establecer una comunicación eficaz en el
sentido más amplio, lo cual implica una circulación multidireccional de la información, es decir
ascendente, descendente y transversal. La dirección debe transmitir un mensaje claro a todo el
personal sobre la importancia de las responsabilidades de cada uno en materia de control. Los
empleados deben comprender el papel que deben desempeñar dentro del sistema de control
interno, así como la relación existente entre las actividades propias y las de los demás
empleados. El personal deberá disponer de un sistema para comunicar información importante a
los niveles superiores de la empresa. Asimismo, es necesaria una comunicación eficaz con
terceros, tales como los clientes, los proveedores, los organismos de control y los accionistas.
Todas las empresas han de obtener información relevante, tanto financiera como de otro tipo,
relacionada con las actividades y acontecimientos internos y externos. La información a recoger
debe ser de la naturaleza que la dirección laya estimado relevante para la gestión del negocio y
debe llegar a las personas que la necesiten en la forma y el plazo que permitan la realización de
sus responsabilidades de control y de sus otras funciones.
Información
La gestión de la empresa y el progreso lacia los objetivos que se la fijado (sean relativos a las
operaciones, a la información financiera o de cumplimiento de las leyes y normás) implican que
la información es necesaria en todos los niveles de la empresa. En este sentido, la información
financiera no se utiliza únicamente pana formulan los estados financieros para su difusión general
sino también en la toma de decisiones relativas a la explotación, incluyendo, a modo de ejemplo,
las correspondientes al control del rendimiento y la asignación de recursos. La información
presentada a la dirección relativa a determinadas medidas monetarias y otras análogas facilita, a
modo de ejemplo, el seguimiento de la rentabilidad de una gama de productos, la evolución de
deudores por tipo de cliente, la cuota de mercado, las tendencias en reclamaciones o las
estadísticas de accidentes. Por otra parte, es imprescindible que la dirección disponga de datos
fiables, a la hora de efectuar la planificación, preparar presupuestos, fijar precios, y evaluar la
actuación de los vendedores y de las agrupaciones y asociaciones con terceros.
De la misma forma, los datos relativos a las operaciones son fundamentales para la
formulación de los estados financieros. Dichos datos incluirán tanto la información del día a día,
tales como compras, ventas y otras transacciones, como los relativos al contexto económico y a
los nuevos productos lanzados por la competencia, que pueden tener un impacto sobre la
valoración de las existencias y las cuentas a cobrar. Otra información de este tipo, como por
ejemplo, la relativa a las emisiones contaminantes o a los datos del personal, puede resultar
necesaria para la consecución de los objetivos de cumplimiento con la reglamentación y de
información financiera. Dicha información, tanto si tiene origen interno como externo, o si es de
carácter financiero o no, es relevante para todas las categorías de objetivos.
Los sistemas de información permiten identificar, recoger, procesar y di-vulgar estos datos.
El término “sistemas de información” se utiliza generalmente para denominan el procesamiento
de datos generados internamente, relativos a las transacciones (tales como compras y ventas), y a
las actividades operativas internas (tal como el proceso de producción). Efectivamente, los
sistemas de información (que pueden ser informatizados, manuales o bien una mezcla de los dos)
cubren dichas áreas. Sin embargo, aquí se utiliza el término en un sentido mucho más amplio,
incorporando también la información sobre hechos, actividades y factores externos: los datos
econ6micos correspondientes
a un determinado mercado o industria que señalan cambios en la demanda de los productos o
servicios de la empresa, información sobre bienes y servicios necesarios en el proceso de
producción, investigaciones de mercado sobre la evolución en las preferencias y exigencias de
los clientes, información sobre las actividades de desarrollo de productos por la competencia y
respecto a iniciativas en materia de leyes y normativa.
Los sistemas de información a veces funcionan como herramientas de supervisión,
recogiendo un determinado tipo de datos de forma rutinaria. En otras ocasiones, se realizan
acciones puntuales para obtener la información necesaria. Tomemos como ejemplo un sistema
que recoge información sobre el nivel de satisfacción de los clientes respecto de los productos
de la entidad, que seguramente identificarán y comunicarán, periódicamente, las ventas por
producto y zona, la obtención o pérdida de clientes, devoluciones y solicitudes de descuentos,
la aplicación de las garantías de producto e información directa recibida en forma de quejas y
otros comentarios. Por otra parte, se realizarán acciones puntuales de vez en cuando, a fin de
obtener información sobre las necesidades cambiantes del mercado, respecto de las
especificaciones técnicas de un producto o las condiciones de entrega y de servicio por parte de
los clientes. Esta información se obtiene mediante cuestionarios, entrevistas, estudios de
mercado generales y estudios de grupos reducidos de consumidores.
Existen sistemas de información formales e informales, pues las conversaciones con
clientes, proveedores, organismos de control y empleados a menudo proporcionan parte de la
información más vital para poder identificar riesgos y oportunidades. Asimismo, se puede
obtener una información muy valiosa asistiendo a seminarios profesionales o sectoriales, o
formando parte de asociaciones mercantiles y de otros tipos.
Resulta especialmente importante mantener la información acorde con las necesidades de
la empresa, al actuar ésta en un entorno de cambios constantes, con competidores muy
innovadores y ágiles, y donde la demanda evoluciona rápidamente. Los sistemas de
información deben adaptarse para dar soporte a los nuevos objetivos de la entidad, consistentes,
por ejemplo, en la reducción del tiempo necesario pana lanzar nuevos productos, en la
subcontratación de determinadas funciones o en la reestructuración de la plantilla. En tales cir-
cunstancias, es especialmente importante distinguir entre los indicadores de alerta y la
información contable cotidiana. Ambas son importantes y la segunda, utilizada correctamente,
también dará señales de advertencia. Sin embargo, para ser eficaces, los sistemas de
información no deben únicamente identificar y recoger la información necesaria (financiera y
no financiera), sino que también han de procesar dicha información y comunicarla en un plazo
y de una forma que resulte útil para el control de las actividades de la entidad.
Estrategias y sistemas integrados
Los sistemas de información generalmente constituyen una parte integral de las actividades
operativas. No sólo permiten recoger la información necesaria para tomar las decisiones en la
implantación de controles, tal como se la comentado, sino que se vienen concibiendo cada vez
más para llevar a cabo iniciativas estratégicas. Según un estudio de reciente publicación, el reto
empresarial más importante de la década de los noventa consiste en la integración de la
planificación, el diseño y la implantación de los sistemas con la estrategia global de la empresa.
Apoyo de los sistemas a las iniciativas estratégicas. La utilización de los sistemas de

información con fines estratégicos ha supuesto el éxito de muchas empresas. De entre los
primeros ejemplos de dicha utilización, podemos citar el sistema de reservas creado por una línea
aérea, por el que se permitía, por primera vez, que las agencias de viajes tuvieran el acceso
inmediato a la información de vuelos y efectuar reservas directamente. Otro ejemplo, que se cita
con frecuencia, es el del proveedor de productos sanitarios que concedió directamente a los
hospitales el acceso en línea a su sistema, creando así una enorme ventaja competitiva, ya que los
hospitales podían hacer sus pedidos instantáneamente a través de un terminal. Estos ejemplos,
entre otros, muestran que los sistemas de información realmente pueden marcar la diferencia a la
hora de conseguir ventajas competitivas.
A medida que el mundo empresarial aprendía cómo utilizar los nuevos sistemas que
proporcionaban una información de mayor calidad, se iba incrementando el número de empresas
que realizaban un seguimiento de sus productos en determinadas líneas y que verificaban su
rentabilidad comparativa. Cada vez más las empresas utilizan la tecnología para comprender y
satisfacer las necesidades del mercado haciendo caso de los sistemas para apoyar estrategias
empresariales preactivas, más que reactivas.
Integración con las operaciones. La utilización estratégica de los sistemas demuestra la

evolución desde sistemas exclusivamente financieros a sistemas integrados con la explotación de
la actividad. Dichos sistemas ayudan a controlar los procesos del negocio, siguiendo y registrando
las transacciones en tiempo real, generalmente englobando una serie de las actividades de la enti-
dad en un complejo entorno de sistemas integrados.
En las instalaciones fabriles, los sistemas de información apoyan todas las fases del proceso
de producción: recepción y control de calidad de materias primas, selección y combinación de
componentes, control de calidad y distribución de productos terminados, actualización de
inventarios y de los ficheros de clientes. En muchos entornos, estas acciones están encadenadas
mediante
Sistemas de control de procesos y la aplicación de la robótica, de forma que se la reducido al
mínimo la intervención humana.
La utilización de dichos sistemas integrados puede tener consecuencias muy importantes,
como se puede observar en el caso del sistema de gestión de stocks denominado „just in time”.
Las empresas que utilizan este método mantienen unas existencias mínimas, por lo que reducen
sus costes considerablemente. Los propios sistemas emiten los pedidos de compra de materias
primas y programan su Llegada automáticamente, por lo general mediante el intercambio
electrónico de datos. Las empresas que utilizan la técnica del „just in time” dependen de sus
sistemas pana alcanzar sus objetivos de producción, puesto que un control de este nivel sería
imposible en su ausencia.
Muchos de los sistemas nuevos de producción contemplan un alto nivel de integración con
otros sistemas organizativos, posibilitando la conexión con los sistemas financieros de la
entidad. Se actualizan los datos financieros y los registros contables automáticamente a medida
que los sistemas llevan a cabo otras aplicaciones.
El ejemplo siguiente ilustra cómo funcionan los sistemas de este tipo. Actualmente, las
aseguradoras pueden liquidar los siniestros inmediatamente. El tramitador de siniestros
consulta el sistema respecto de los limités sobre un determinado tipo de reclamación y de la
vigencia de la póliza del asegurado, generando el correspondiente talón de liquidación, si
procede. Al mismo tiempo, se actualiza el fichero y las estadísticas de siniestros, así como
otros ficheros relevantes. Este procedimiento dista mucho de los sistemas no integrados, en los
que cada reclamación se tramita individualmente dentro de las distintas aplicaciones o
subsistemas. El sistema integrado ayuda a controlar de forma más eficaz las transacciones, ya
que la liquidación inmediata es más rápida y eficaz que el anticuado método manual. Permite
obtener información financiera y contestar a preguntas del tipo: ¿cuántos siniestros han sido
liquidados durante este ejercicio? O ¿cuánto se la pagado? También facilita el control sobre el
cumplimiento de la normativa aplicable, a través de preguntas como: ¿se tramitan y liquidan
las reclamaciones aprovisionadas de modo oportuno? O ¿son adecuadas las provisiones
técnicas para siniestros?
Coexistencia de tecnologías. A pesar de la necesidad de mantenerse al día en los avances en la

tecnología de los sistemas de información, sería una equivocación suponer que los nuevos
sistemas incorporan mejores mecanismos de control por el mero hecho de sen nuevos. De
hecho, puede sen todo lo contrario. En muchas ocasiones, los sistemas más antiguos han
demostrado su validez en el día a día, satisfaciendo las necesidades de la entidad. Los sistemas
de la empresa normalmente evolucionarán para satisfacer sus necesidades, configurándose a
partir de muchas tecnologías diferentes.
La adquisición de una nueva tecnología constituye un aspecto esencial de toda estrategia
empresarial, por lo que la elección de la tecnología a adquirir puede representar un factor clave en
la obtención de los objetivos de crecimiento. Las decisiones sobre la selección e implantación de
tecnologías dependen de numerosos factores, incluyendo los objetivos organizativos, las
necesidades del mercado, las exigencias competitivas y, sobre todo, el soporte proporcionado por
los nuevos sistemas pana la implantación del control y, a su vez, los controles aplicados sobre
estos sistemas, para facilitar la consecución de los objetivos de la entidad.
La calidad de la información
La calidad de la información generada por el sistema afecta la capacidad de la dilección de

tomar decisiones adecuadas al gestionan y controlar las actividades de la entidad. Generalmente,
los sistemas modernos incorporan una opción de consulta en línea, pana que se pueda obtener
información actualizada en todo momento.
Resulta imprescindible que los informes ofrezcan suficientes datos relevantes pana posibilitar
un control eficaz. La calidad de la información se refiere a los siguientes aspectos:
 Contenido. ¿Contiene toda la información necesaria?

 Oportunidad. ¿Se facilita en el tiempo adecuado?
 Actualidad. ¿Es la más reciente disponible?
 Exactitud. ¿Los datos son correctos?
 Accesibilidad. ¿Puede ser obtenida fácilmente por las personas adecuadas?
El diseño del sistema debe responder a todas estas preguntas. En caso contrario, el sistema
seguramente no facilitará la información necesaria a la dirección y otros empleados.
Poder disponer de información adecuada, oportuna y accesible es esencial para implantar el
control. Por otra parte, los sistemas de información, si bien forman parte del sistema de control
interno, también han de ser controlados. La calidad de la información puede depender del
desarrollo de las actividades de control, tal y como se comenta en el Capítulo 4.
La comunicación
La comunicación es inherente a los sistemas de información. Según se ha comentado

anteriormente, los sistemas de información deben proporcionar
Información a las personas adecuadas, de forma que éstas puedan cumplir con sus
responsabilidades operacionales, de información financiera o de cumplimiento. Sin embargo,
también debe existir una comunicación más amplia, que aborde las expectativas y
responsabilidades de las personas y los grupos, así como otras cuestiones importantes.
Comunicación interna
Además de recibir la información necesaria para llevar a cabo sus actividades, todo el
personal, especialmente los empleados con responsabilidades importantes en la gestión de la
explotación y de las finanzas, debe recibir el mensaje claro desde la alta dirección en el sentido
de que debe tomar en serio sus funciones afectas al control interno. Tanto la claridad del
mensaje como la eficacia de su comunicación son importantes.
Además, cada función concreta la de especificarse con claridad. Cada persona tiene que
entender los aspectos relevantes del sistema de control interno, cómo funcionan los mismos y
saber cuál es su papel y responsabilidad en el sistema. De lo contrario, es probable que surjan
problemas. Citemos el caso de una sociedad cuyos responsables de unidad tenían que firmar un
informe mensual, certificando de esta manera que se habían realizado determinadas
conciliaciones. Cada mes se entregaban los informes, debidamente firmados. Sin embargo,
cuando más tarde se pusieron de manifiesto problemas muy graves en el área, se descubrió que
al menos dos de los responsables de unidad no sabían exactamente qué se esperaba de ellos.
Uno de ellos creía que la conciliación estaba lista ya con la mera identificación del importe de
la diferencia entre las dos cifras. Otro responsable labia seguido el proceso conciliatorio un
paso más allá, creyendo que su objetivo quedaba cumplido cuando cada partida individual a
conciliar quedaba identificada. De hecho, el proceso previsto no podía darse por finalizado
lasta que se identificasen las causas de las diferencias y se tomasen las correspondientes
medidas correctivas.
A la hora de llevar a cabo sus funciones, el personal de la empresa debe saber que cuando
se produzca una incidencia conviene prestar atención no sólo al propio acontecimiento, sino
también a su causa. De esta forma, se podrán identificar la deficiencia potencial en el sistema,
tomando las medidas necesarias para evitar que se repita. Por ejemplo, la detección de
existencias no comercializables no debería conducir solamente al registro de una provisión en
los estados financieros, sino también a la determinación de las razones que originaron la
imposibilidad de comercializar las existencias afectadas.
Asimismo, el personal tiene que saber cómo sus actividades están relacionadas con el
trabajo de los demás. Este conocimiento es necesario para reconocer
Los problemas y determinar sus causas y la medida correctiva adecuada. El personal tiene que
saber los comportamientos esperados, aceptados e inaceptables. Se han dado casos de
falsificación de información financiera originados porqué los directivos, presionados para cumplir
los presupuestos, cambiaron los resultados de explotación. En algunos de estos casos, nadie labia
dicho a los directivos que este tipo de falsificación podría sen ilegal o, en todo caso, inadmisible.
Este ejemplo indica la trascendencia que pueden tener los mensajes transmitidos en el seno de la
empresa. El gerente que dice a sus subordinados: “Hay que cumplir el presupuesto, sea como
sea”, podría estar comunicando un mensaje equivoco sin querer.
Los empleados también necesitan disponer de un mecanismo para comunicar información
relevante a los niveles superiores de la organización. Los empleados de primera línea, que
manejan aspectos clave de la explotación todos los días, generalmente son los más capacitados
para reconocer los problemas en el momento en que se producen: Los responsables comerciales o
directores de cuentas, por ejemplo, pueden apreciar las necesidades en lo referente a
especificaciones de los productos; de igual forma, el personal de producción observará fallos en el
proceso de fabricación que tienen un elevado coste para la empresa; el personal de compras tal
vez reciba ofertas de incentivos indebidos de los proveedores; Los empleados del departamento
de contabilidad observarán sobrevaloraciones de ventas o existencias, o identificarán casos en los
que se layan utilizado los recursos de la entidad en beneficio propio.
Para que informaciones de este tipo lleguen a los niveles superiores deben existir líneas
abiertas de comunicación y la clara voluntad de escuchar por parte de los directivos. Las personas
tiene que creen que sus superiores realmente quienes enterarse de las incidencias producidas y
que las resolverán de manera adecuada. Generalmente, los directivos reconocen que no deben
“matar al mensajero”. Sin embargo, inmensos en el día a día, a veces son poco receptivos a las
personas que les comunican problemas reales. Los empleados captan rápidamente las señales,
más o menos explicitas, de que su superior no tiene tiempo ni ganas de ocuparse de las
incidencias descubiertas. Este problema sé ye agravado por el hecho de que el directivo poco
dispuesto a enterarse de asuntos problemáticos suele ser el último en percatarse de que la línea de
comunicación, a efectos prácticos, se encuentra cerrada.
En la mayoría de los casos, las líneas de comunicación más adecuadas son las habituales. A
veces, no obstante, se necesitan otras líneas de comunicación independientes que actúen de
mecanismo de seguridad en el caso de que las líneas normales hayan dejado de funcionar.
Algunas entidades disponen de una línea de comunicación directa con un consejero, el
responsable de auditoría interna o los asesores legales de la entidad. Señalamos el caso de una
sociedad, cuyo consejero delegado dedica una tarde a la semana a recibir a los
empleados, dejando claro que las visitas, respecto de cualquier tema, siempre tendrán una
acogida muy positiva. Otra la dedica a visitar la fabrica, fomentando así un ambiente en
el que la gente puede informar de las incidencias y de sus preocupaciones. Si no existen
líneas de comunicación abiertas así como una actitud receptiva por parte de la dirección,
la comunicación ascendente de información en la empresa quedará bloqueada.
En todo caso, es importante que el personal entienda que no habrá represalas como
consecuencia de la comunicación de información relevante. Según se comenta en el
Capitulo 2, debe haber un mensaje claro sobre la existencia de mecanismos que animen a
los empleados a denunciar las posibles infracciones del código de conducta de la entidad,
así como el tratamiento que reciban los denunciantes. Se han vertido ríos de tinta sobre la
conveniencia de proteger a los denunciantes, especialmente con respecto a funcionarios
del Estado. Algunos comentaristas se oponen a dicha protección, alegando que las
empresas se verán inundadas por las quejas sin fundamento de los empleados
descontentos. Sin duda alguna, se puede y se debe establecer un equilibrio. Es importante
que la dirección comunique los mensajes correspondientes y cree mecanismos adecuados
para una autentica comunicación ascendente.
La comunicación entre la dirección, el consejo de administración y los comités
constituidos por éste es de una importancia básica. La dirección debe mantener al
consejo informado respecto de la rentabilidad, desarrollos, riesgos, iniciativas
significativas y demás acontecimientos e incidencias relevantes. Al ser más fluidas las
comunicaciones al consejo, éste podría actuar de modo más eficaz al cumplir con sus
nesponsabilidades de supervisión, sirviendo de foro pana el debate de cuestiones
importantes y ofreciendo su asesoría. De igual manera, el consejo debería informar a la
dirección de sus necesidades de información, onientándola y comentando su actuación.
Comunicación externa
Además de una buena comunicación interna, la de existir una eficaz comunicación

externa. Al disponer de líneas abiertas de comunicación, los clientes y proveedores
podrán aportar información de gran valor sobre el diseño y la calidad de los productos y
servicios de la empresa, permitiendo que la entidad responda a los cambios en las
exigencias y preferencias de los clientes. Por otra parte, toda persona que entre en
contacto con la entidad debe entender que no se tolerarán actos indebidos, tales como
sobornos y otros pagos ilegítimos. Por ejemplo, la entidad puede informar directamente a
los suministradores del comportamiento esperado en sus relaciones con la entidad.
Las comunicaciones recibidas de terceros a veces proporcionan información importante
sobre el funcionamiento del sistema de control interno. El conocimiento que tienen los auditores
externos de las operaciones de la entidad y otros aspectos relacionados es una importante fuente
de información sobre el sistema de control para la dirección y el consejo.
Los organismos de supervisión, tales como las autoridades bancarias o de seguros, informan
de los resultados de sus revisiones o inspecciones en materia de cumplimiento, posiblemente
poniendo de manifiesto deficiencias de control. Las quejas o consultas que se reciben sobre
envíos, recibos, facturas y otras actividades a veces revelan la existencia de problemas operativos.
Estas incidencias deben sen revisadas por empleados no relacionados con las transacciones
originales. El personal ha de estar preparado para reconocer las implicaciones de tales
circunstancias e investigar y tomar las acciones correctivas que resulten necesarias.
Las comunicaciones con los accionistas, organismos de control, analistas financieros y otros
terceros deberían contener información acorde a sus necesidades respectivas, de modo que
puedan entender el entorno y los riesgos de la entidad. Dichas comunicaciones deben presentar
datos de significación, que sean pertinentes y oportunos, cumpliendo con los correspondientes
requisitos legales.
La comunicación establecida entre la dirección y los interlocutores externos, sea o no
dinámica, realizada de forma abierta y sincera, permite transmitir en uno u otro caso un mensaje a
todos los ámbitos de la entidad.
Medios de comunicación
La comunicación se materializa en manuales de políticas, memorias, avisos en el tablón de

anuncios o mensajes en video. Cuando los mensajes se transmiten verbalmente (a grupos grandes,
reuniones o a una sola persona) la entonación y el lenguaje corporal sirven para dar énfasis al
mensaje verbal.
Otro potente medio de comunicación lo constituye la actuación de la dirección al tratar con
sus subordinados. Los directivos deberían recordar siempre que “una acción vale más que mil
palabras”. La actuación de la dirección, a su vez, está influida por la historia y la cultura de la
entidad, basándose en el tratamiento seguido en situaciones similares por parte de sus propios
predecesores.
La entidad que tiene una larga historia de actuar con integridad y cuya cultura es bien
comprendida por las personas que componen la organización no tendrá dificultades para
comunicar su mensaje. Las entidades que no cuentan con una tradición similar probablemente
tendrán que dedicar más esfuerzos a la comunicación adecuada de mensajes.
Los sistemas de información en las organizaciones de dimensiones más reducidas

generalmente son menos formales que en las entidades más grandes, pero su papel es igual de
importante. Con la tecnología informática actual, es posible procesar la información generada
internamente de una forma eficaz en la mayoría de las organizaciones, sea cual sea su tamaño.
Los sistemas de información en la pequeña y mediana empresa generalmente identifican e
informan de las incidencias, actividades y condiciones externas relevantes, pero su eficacia
generalmente depende de la capacidad de la dirección de seguir los acontecimientos externos.
Las conversaciones entre el propietario, director u otros directivos con los clientes y
proveedores clave, para poner un ejemplo, pueden constituir una fuente fundamental de
información sobre las preferencias cambiantes de los clientes o las variaciones de las fuentes
de suministros, necesaria para realizar un seguimiento de los cambios en el entorno de la
entidad y de los riesgos asociados.
Cabe la posibilidad de que una comunicación interna eficaz entre la alta dirección y los
empleados sea más fácil de obtener en la pequeña y mediana empresa que en las más grandes,
debido a sus dimensiones mas reducidas, a la existencia de pocos niveles jerárquicos y a la
mayor presencia física y disponibilidad de la dirección general. Efectivamente, la
comunicación interna tiene lugar en las reuniones y actividades diarias en las que participan el
director gerente y los directores clave. Aunque carecen de las líneas de comunicación formales
existentes en las empresas más grandes, muchas entidades pequeñas consideran que se
consigue una comunicación eficaz por medio de los frecuentes contactos diarios y una política
de “puertas abiertas”. Asimismo, la política de “una acción vale más que mil palabras” puede
constituir un mecanismo de comunicación aun más importante (tanto interna como
externamente) en la pequeña empresa, ya que los directores entran en contacto directo con la
mayoría de los empleados, clientes y proveedores de la entidad.
Evaluación
El evaluador deberá considerar la adecuación de los sistemas de información y la

comunicación a las necesidades de la entidad. A continuación se relacionan algunos aspectos
posibles a considerar. Todos los conceptos no serán de aplicación a todas las entidades. Sin
embargo, pueden servir de base de referencia.
Información
 La obtención de información externa e interna y el suministro a la dirección de los informes

necesarios sobre la actuación de la entidad en relación a los objetivos establecidos.
 El suministro de información a las personas adecuadas, con el suficiente detalle y
oportunidad, permitiéndoles cumplir con sus responsabilidades de forma eficaz y eficiente.
 El desarrollo o revisión de los sistemas de información, basado en un plan estratégico para
los sistemas de información (vinculado a la estrategia global de la entidad) al efecto de lograr
tanto los objetivos generales de la entidad como los de cada actividad.
 El apoyo de la dirección al desarrollo de los sistemas de información necesarios se pone de
manifiesto en la aportación de los recursos adecuados, tanto humanos como financieros.
Comunicación
 La comunicación eficaz al personal, de sus funciones y responsabilidades de control.

 El establecimiento de líneas de comunicación pana la denuncia de posibles actos indebidos.
 La sensibilidad de la dirección a las propuestas del personal respecto de formas de mejorar la
productividad, la calidad, etc.
 La adecuación de la comunicación horizontal (por ejemplo, entre las áreas de compras y
producción) y la integridad y oportunidad de la información, así como si ésta resulta
suficiente para que los empleados puedan cumplir con sus responsabilidades adecuadamente.
 El nivel de apertura y eficacia en las líneas de comunicación con clientes, proveedores y
otros terceros para la captación de información sobre las necesidades cambiantes de los
clientes.
 El nivel de comunicación a terceros de las normas éticas de la entidad.
 La realización oportuna y adecuada del seguimiento por parte de la dirección de las
informaciones obtenidas de clientes, suministradores, organismos de control y otros terceros.
6
Supervisión
Resumen del capitulo: Resulta necesario realizar una supervisón de los sistemas
de control interno,
evaluando la calidad de su rendimiento. Dicho seguimiento tomará la forma de actividades
de supervisión continuada, de evaluaciones periódicas o una combinación de los dos
anteriores. La supervisión continuada se inscribe en el marco de las actividades corrientes
y comprende unos controles regulares efectuados por la dirección, así como determinadas
tareas que realiza el personal en el cumplimiento de sus funciones. El alcance y la
frecuencia de las evaluaciones puntuales se determinarán principalmente en función de
una evaluación de riesgos y de la eficacia de los procedimientos de supervisión
continuada. Las deficiencias en el sistema de control interno, en su caso, deberán ser
puestas en conocimiento de la gerencia y los asuntos de importancia serán comunicados al
primer nivel directivo y al consejo de administración.
Los sistemas de control interno y, en ocasiones, la forma en que los controles se aplican,
evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado,
pueden perder su eficacia o dejar de aplicarse. Las causas pueden sen la incorporación de nuevos
empleados, defectos en la formación y supervisión, restricciones de tiempo y recursos, y presiones
adicionales. Asimismo, las circunstancias en base a las cuales se configuró el sistema de control
interno en un principio también pueden cambiar, reduciendo su capacidad de advertir de los riesgos
originados por las nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si el
sistema de control interno es en todo momento adecuado y su capacidad de asimilar los nuevos
riesgos.
El proceso de supervisión asegura que el control interno continua funcionando
adecuadamente. Este proceso comprende la evaluación, por parte de empleados de nivel
adecuado, de la manera en que se han diseñado los controles, de su funcionamiento, y de la
manera en que se adoptan las medidas necesarias. Se aplicará a todas las actividades dentro de la
entidad y a veces también a externos contratados. Por ejemplo, cuando se contrata a un tercero
para la tramitación de siniestros sanitarios (con un impacto directo en el coste de las prestaciones)
será necesario realizar una supervisión del funcionamiento de la actividad y los controles del
tramitador externo.
Las operaciones de supervisión se materializan en dos formas: actividades continuadas o
evaluaciones puntuales. Normalmente los sistemas de control interno aseguran, en mayor o menor
medida, su propia supervisión. En este sentido, cuanto mayor sea el nivel y la eficacia de la
supervisión continuada, menor será la necesidad de evaluaciones puntuales. La frecuencia
necesaria de las evaluaciones puntuales para que la dilección tenga una seguridad razonable de la
eficacia del sistema de control interno se deja al juicio de la dirección. A la hora de determinar
dicha frecuencia, habrá que tener en cuenta lo siguiente: la naturaleza e importancia de los
cambios y los riesgos que estos conllevan, la competencia y experiencia de las personas que
aplican los controles, así como los resultados conseguidos por la supervisión continuada. Una
combinación de supervisión continuada y evaluaciones puntuales normalmente asegura el
mantenimiento de la eficacia del sistema de control interno.
Conviene reconocer que las actividades normales y recurrentes de la entidad incorporan
procedimientos de supervisión continuada que, ejecutándose en tiempo real y arraigados en la
entidad, responden de manera dinámica a las circunstancias de cada momento. En consecuencia,
resultan más eficaces que los procedimientos aplicados en la evaluación independiente. Esta se
realiza a posteriori, por lo que el seguimiento continuado permite identificar los posibles
problemas con mayor rapidez. No obstante, algunas entidades con actividades estables de
supervisión continuada realizan evaluaciones independientes de su sistema de control interno o
partes del mismo, de forma regular (por ejemplo, de forma rotativa en varios años). Si la entidad
advierte la necesidad de frecuentes evaluaciones puntuales, deberá centrar sus esfuerzos en
mejorar las actividades de supervisión continuada, poniendo más énfasis en los “controles
integrados” que en los “controles complementarios”.
Actividades de supervisión continuada
Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia
del control interno en el desarrollo normal del negocio.
Comprenden actividades corrientes de gestión y supervisión, comparaciones, conciliaciones y
otras tareas rutinarias.
Se relacionan a continuación algunos ejemplos de actividades de supervisión continuada:
 Los diferentes directores de explotación comprueban que el sistema de control interno

continua funcionando a través del cumplimiento de sus funciones de gestión. Al incluir o
conciliar los distintos informes de explotación con los informes financieros, empleando los
mismos continuamente en la gestión de la explotación es probable que se identifiquen de
manera rápida los errores importantes o las excepciones en los resultados previstos. En
este sentido, los directores de las actividades comerciales, de compras y de producción a
nivel de la división, de las filiales o la sociedad matriz están en contacto directo con la
explotación, por lo que cuestionarán los informes que contengan divergencias importantes
respecto de su conocimiento de la explotación. Se puede conseguir una mejora en la
eficacia del sistema de control interno presentando información financiera completa y
oportuna y resolviendo toda excepción identificada.
 Las comunicaciones recibidas de terceros confirman la información generada internamente
o señalan la existencia de problemas. En este sentido, los clientes corroboran los datos de
facturación implícitamente al pagar sus facturas. Por el contrario, las reclamaciones
respecto de la facturación podrían indicar la existencia de deficiencias en los controles
sobre el proceso de las transacciones comerciales. Asimismo, los informes elaborados por
el responsable de las inversiones, relativos a las ganancias, perdidas e ingresos, pueden
corroborar los datos de que dispone el servicio afectado o, por el contrario, poner en duda
la fiabilidad de la información de una u otra procedencia. La revisión practicada por una
aseguradora respecto de las políticas y practicas de una entidad en materia de seguridad
proporcionará datos sobre el funcionamiento de los controles, desde el punto de vista de la
seguridad operativa, así como del cumplimiento, por lo que constituye una técnica de
supervisión. Los organismos públicos pueden igualmente intercambiar puntos de vista con
la entidad, con relación a temas de cumplimiento de la reglamentación vigente y otros
asuntos reveladores del funcionamiento del sistema de control interno.
 Una estructura adecuada y unas actividades de supervisión apropiadas permiten
comprobar las funciones de control e identificar las deficiencias existentes. En este
sentido, como rutina normal se supervisará las tareas administrativas que actúan de control
sobre la exactitud y totalidad del proceso de las transacciones. Asimismo, se establecerá
una segregación de funciones de manera que se ejerza una verificación reciproca, lo que
servirá
Además de disuasión al fraude, ya que dificulta el disimular las actividades sospechosas.
 Los datos registrados por los sistemas de información se comparan con los activos físicos.
Las existencias de producto terminado, por ejemplo, pueden ser recontadas periódicamente.
Los resultados de estos recuentos se comparan con los registros contables y se comunican las
diferencias detectadas.
 Los auditores internos y externos periódicamente proponen recomendaciones encaminadas a
mejorar los controles internos. En muchas entidades, los auditores centran sus esfuerzos en la
evaluación del diseño de los controles internos y en la comprobación de su eficacia. Se
identifican posibles deficiencias y se proponen vías de actuación a la dirección, respaldadas,
a veces, con informaciones útiles pana determinar la relación coste-beneficio. Los auditores
internos o empleados que desempeñan funciones similares de revisión pueden sen
especialmente eficaces en esta misión de supervisión.
 Los seminarios de formación, las sesiones de planificación y otras reuniones permiten a la
dirección obtener información importante respecto de la eficacia de los controles. Además de
los problemas concretos que indiquen temas de control, la cultura de control de los
participantes quedará manifiesta en dichas reuniones.
 Con una determinada frecuencia, se puede solicitar una manifestación explicita por parte del
personal, en el sentido de si comprenden y cumplen con el código de conducta de la entidad.
De igual forma, se solicitan manifestaciones del personal implicado en la explotación y
temas financieros, respecto a la realización periódica de determinados procedimientos de
control, como seria la conciliación de determinados saldos. La dirección o auditoría interna
procedera a continuación a verificar la veracidad de dichas manifestaciones.
Es evidente que las anteriores actividades de supervisión continuada lacen frente a aspectos
importantes de cada uno de los componentes del control interno.
Evaluaciones puntuales
Aunque los procedimientos de supervisión continuada suelen proporcionar información

importante sobre la eficacia de otros componentes de control, de vez en cuando un
replanteamiento del sistema resultara util. Con ocasión de dicho replanteamiento, se puede
examinar la continuidad de la eficacia de los procedimientos de supervisión continuada.
Alcance y frecuencia
El alcance y la frecuencia de la evaluación del control interno varían según la magnitud de

los riesgos objeto de control y la importancia de los controles para la reducción de aquéllos.
Así, los controles que actúan sobre los riesgos de mayor prioridad y los más críticos para la
reducción de un determinado riesgo serán objeto de evaluación con más frecuencia. La
evaluación de todo el sistema de control interno (que normalmente no resultara necesaria con
la frecuencia de las evaluaciones de controles específicos) puede estar motivada pon diferentes
razones: cambios importantes en la estrategia o la dirección, importantes adquisiciones o
enajenaciones, o modificaciones de envergadura efectuadas en la explotación o en los métodos
utilizados en el proceso de la información financiera. Cuando se toma la decisión de evaluar
todo el sistema de control interno de la entidad, deberá centrarse la atención en cada uno de los
componentes del control interno afectos a todas las actividades importantes. El alcance de la
evaluación dependerá también de a cuál de las tres categorías de objetivos va enfocada
(operacionales, de información financiera o de cumplimiento).
¿Quién efectúa la evaluación?
Ocurre a menudo que las evaluaciones se efectúan en forma de auto evaluación, Llevada a
cabo por las personas responsables de una unidad o función especifica que determinarán la
eficacia de los controles aplicados a sus actividades. El director de una división, por ejemplo,
gestionará la evaluación de su sistema de control interno, evaluando personalmente los factores
relativos ah entorno de control y asignando a los encargados de las distintas actividades
operativas de la división la evaluación de la eficacia de los demás componentes del control.
Los jefes de línea centrarán su atención principalmente en los objetivos operacionales y de
cumplimiento, mientras que el responsable financiero de la división se centrará en el objetivo
de fiabilidad de la información financiera. A continuación, todos los resultados serán
presentados a la dirección responsable para su revisión. Posteriormente, las evaluaciones de la
división serán analizadas por la dirección general, junto a las evaluaciones de control interno
de las otras divisiones.
La evaluación del control interno forma parte de las funciones normales de auditoría
interna y también resulta de peticiones especiales por parte del consejo de administración, la
dirección general y los directores de filial o de división. Pon otra parte, el trabajo realizado por
los auditores externos constituye un elemento de análisis a la hora de determinar la eficacia del
control interno. Una combinación del trabajo de las dos auditorías, la interna y la
externa, posibilita la realización de los procedimientos de evaluación que la dirección considere
necesarios.
El proceso de evaluación
La evaluación de un sistema de control interno constituye en sí todo un proceso. Si bien los

enfoques y técnicas varían, debe mantenerse una disciplina apropiada en todo el proceso y deben
mantenerse ciertos principios fundamentales que he son inherentes.
El evaluador deberá entender cada una de las actividades de la entidad y cada componente del
sistema de control interno objeto de la evaluación. Conviene centrarse primero en el
funcionamiento teórico del sistema, es decir en su diseño, lo que implicará conversaciones previas
con los empleados de la entidad y la revisión de la documentación existente.
La tarea del evaluador es averiguar el funcionamiento real del sistema. Es posible que, con el
tiempo, determinados procedimientos diseñados para funcionar de un modo determinado se
modifiquen para funcionar de otro modo, o simplemente se dejen de realizar. A veces se
establecen nuevos controles, no conocidos por las personas que, en un principio, describieron el
sistema, por lo que no se hallan en la documentación existente. A fin de determinar el
funcionamiento real del sistema, se mantendrán conversaciones con los empleados que aplican y
se yen afectados por los controles, se revisarán los datos registrados sobre el cumplimiento de los
controles, o una combinación de estos dos procedimientos.
El evaluador analizará el diseño del sistema de control interno y los resultados de las pruebas
realizadas. Este análisis se efectuará bajo la óptica de los criterios establecidos, con el objetivo
último de determinan si el sistema ofrece una seguridad razonable con respecto a los objetivos
establecidos.
Metodología
Existe una gran variedad de metodologías y herramientas de evaluación, incluyendo hojas de

control, cuestionarios y técnicas de flujogramación. Se han presentado técnicas cuantitativas en
publicaciones académicas y especializadas. También existen relaciones de objetivos de control,
identificando los objetivos genéricos de control interno.
Algunas empresas, como parte de su metodología de evaluación, comparan sus sistemas de
control interno con los de otras entidades, lo que se conoce generalmente como “benchmarking”.
Por ejemplo, la empresa medirá la eficacia de su sistema por comparación con empresas que
tienen fama de contar con sistemas de control interno especialmente buenos. Es posible realizar
La comparación conjuntamente con otra empresa o al amparo de alguna asociación comercial
o industrial. Los consultores de gestión pueden suministrar información comparativa y los
métodos de revisión que utilizan empresas similares ayudarán a la empresa a evaluar el propio
sistema de control en comparación con dichas empresas. Cabe señalar que al comparar
sistemas de control interno habrá que tener en cuenta las diferencias, que siempre existen, de
objetivos, acontecimientos y circunstancias. Por otra parte, será necesario considerar los cinco
componentes individuales y las limitaciones inherentes al control interno (véase el Capitulo
7).
Documentación
El nivel de documentación soporte del sistema de control interno de la entidad varía

según la dimensión y complejidad de la misma, y otros aspectos análogos. Las entidades
grandes normalmente cuentan con manuales de políticas, organigramas formales,
descripciones de los puestos, instrucciones operativas, flujo gramás de los sistemas de
información, etc. La pequeña y mediana empresa de modo habitual tendrá sustancialmente
menos documentación escrita.
Muchos controles son informales y no tienen documentación, sin embargo se aplican
asiduamente, resultando muy eficaces. Se puede comprobar este tipo de control de la misma
manera que los controles documentados. El hecho de que los controles no están documentados
no impide que el sistema de control interno sea eficaz o que no pueda sen evaluado, si bien un
nivel adecuado de documentación suele aumentar la eficacia de la evaluación. Por otra parte,
la documentación resulta útil porqué favorece la comprensión por parte de los empleados del
funcionamiento del sistema y de sus funciones y facilita su modificación en el caso de sen
necesario.
El evaluador puede decidir documentar el proceso mismo de evaluación, recurriendo a la
documentación existente del sistema de control interno de la entidad, la cual complementa
normalmente con documentación adicional del sistema, descripciones de las pruebas y de los
análisis realizados durante el proceso de evaluación.
La naturaleza y el nivel de documentación deberá ser más exhaustiva cuando resulte
necesario formular una declaración sobre el sistema o su evaluación de cara a terceros. En el
caso de formular una declaración de cara a terceros respecto de la eficacia del sistema de
control interno, la dirección deberá considerar la necesidad de elaborar y mantener
documentación soporte que justifique la declaración, la cual resultará útil en caso de que la
declaración sea cuestionada a posterioridad.
Plan de acción
Los responsables de efectuar una evaluación de los sistemas de control interno

por primera vez podían considerar las siguientes sugerencias básicas respecto a qué
hacer y por dónde empezar:
 Determinar el alcance de la evaluación en términos de categoría de objetivos,

componentes de control interno y actividades objeto de la evaluación.
 Identificar las actividades de supervisión continuada que normalmente aseguran
la eficacia del control interno.
 Analizar el trabajo de evaluación del control realizado por los auditores internos y
reflexionar sobre las conclusiones relacionadas con el control presentadas por los
auditores externos.
 Establecen las prioridades de las áreas de mayor riesgo, por unidad, componente
de control interno u otros, para su atención inmediata.
 En base a lo anterior, elaborar un programa de evaluaciones que conste de
actividades a corto y largo plazo.
 Reunir a las personas que efectuarán las evaluaciones y considerar juntos el
alcance y el calendario a establecer, así como la metodología y las herramientas a
utilizar, examinar las conclusiones de los auditores internos y externos y de los
organismos públicos, definir la forma de presentación de las conclusiones y
determinan la documentación a entregar a la finalización de la evaluación.
 Seguir el avance de la evaluación y revisar las conclusiones obtenidas.
 Asegurar que se tomen las acciones de seguimiento necesarias, modificando los
apartados correspondientes de las evaluaciones posteriores, según proceda.
El trabajo de la evaluación será delegado en gran parte. No obstante, es

importante que la persona encargada de realizar la evaluación dirija el proceso hasta su
finalización.
Comunicación de deficiencias
Las deficiencias en el sistema de control interno pueden ser detectadas tanto a

través de los procedimientos de supervisión continuada realizados en la entidad como
de las evaluaciones puntuales del sistema de control interno, así como a través de
terceros.
Eh término “deficiencia” se usa aquí en un sentido amplio como referencia a un
elemento del sistema de control interno que merece atención, por lo que una
deficiencia puede representar un defecto percibido, potencial o real, o bien una
oportunidad para reforzar el sistema de control interno con la finalidad de favorecer la
consecución de los objetivos de la entidad.
Fuentes de información
Una de las mejores fuentes de información relativa a las deficiencias de control es el

propio sistema de control interno. Las actividades de supervisión continuada de una entidad,
incluyendo las de gestión y supervisión diarias del personal, proporcionan la percepción de las
personas dilectamente involucradas en las actividades de la entidad. El personal puede advertir
aspectos de relevancia en tiempo real que pueden servir para identificar las deficiencias
existentes rápidamente. Las evaluaciones puntuales del sistema de control interno constituyen
otra fuente de detección de las deficiencias de control. Las evaluaciones realizadas por la
dirección, los auditores internos u otros empleados pueden señalar áreas que necesiten
mejoras.
Existe una serie de interlocutores externos que, de forma periódica, suministran
información respecto del funcionamiento del sistema de control interno de la entidad. Dentro
de los mismos se incluyen los clientes, los suministradores y otros que tienen transacciones
con la entidad, tales como auditores contables externos y organismos de control. Conviene
estudiar los informes presentados por fuentes externas, buscando sus posibles repercusiones en
el control interno de la entidad y determinando las correspondientes acciones correctivas.
De qué se debe informar
¿De qué deficiencias se debe informar? No es posible que una sola respuesta sea aplicable
a todas las entidades, siendo un tema muy susceptible de interpretación subjetiva. No obstante,
se pueden delimitar algunos parámetros.
Naturalmente, todas las deficiencias que puedan afectar a la consecución de los objetivos
de la entidad deben ponerse en conocimiento de las personas que pueden tomar las medidas
necesarias, tal como se comenta en el siguiente apartado. La naturaleza de los temas a
comunicar dependerá del nivel de autoridad asignada al que detecta las incidencias para
resolverlas a medida que vayan surgiendo, así como de las actividades de supervisión de los
superiores.
Para determinar qué deficiencias se deben comunicar, conviene examinar el impacto de
las mismas. Por ejemplo, un comercial señala un error de cálculo en las comisiones de ventas.
El departamento de nóminas investiga el tema, descubriendo que se utilizó el precio antiguo
de un determinado producto, por
lo que las comisiones estaban infravaloradas, así como la facturación a los clientes. Las
medidas a tomar incluyen la rectificación de todas las comisiones y todas las facturas
emitidas desde que entró en vigor el cambio de precios. No obstante, es posible que
esta medida no cubra una serie de cuestiones importantes relacionadas: ¿Por qué no se
utilizó el precio nuevo en un principio? ¿Qué controles existen para asegurar que los
incrementos de precio se introduzcan correctamente en el sistema informático y en el
momento debido? ¿Existe algún problema en los programas informáticos que calculan
las comisiones y la facturación? En caso afirmativo, ¿requieren atención los controles
sobre el desarrollo de software y sobre su mantenimiento? En caso de que el
representante no hubiese comunicado el error, ¿otro componente del control interno
habría identificado la deficiencia de forma oportuna?
De esta manera, un problema aparentemente sencillo con una solución evidente
puede tener implicaciones de mayor trascendencia para el control interno. Esto viene a
subrayar la necesidad de comunicar los errores y otras incidencias a niveles de mayor
autoridad en la entidad, siendo vital que, además de comunicar la transacción o
incidencia concreta, se vuelvan a evaluar los controles potencialmente defectuosos.
Se puede argumentar que no existe problema tan insignificante para no investigar
sus implicaciones de control. El hecho de que un empleado se apropie indebidamente
de una pequeña cantidad de la caja chica para su uso personal no sería importante en si
ni con respecto al importe del fondo de la caja chica, por lo que tal vez no merezca la
pena realizar una investigación o el coste de la misma puede sen sensiblemente
superior al importe investigado. No obstante, la aceptación implícita por parte de la
entidad del uso de sus fondos para fines particulares puede constituir, de forma
involuntaria, un mensaje negativo captado por el personal.
A quién informar
La información generada por los empleados en el curso normal de sus tareas se

comunica a través de los canales habituales a su superior inmediato, quien, a su vez,
puede llevar la información a niveles superiores u horizontalmente en la organización,
de forma que llegue a las personas que pueden y deben toman medidas. Tal como se
comenta en el Capitulo 5, deberían existir líneas alternativas pana comunican
información sensible, tal como la relativa a posibles actuaciones ilegales o incorrectas.
Al detectar una deficiencia del control interno, se debe comunicar el hecho a la
persona responsable de la función o actividad implicada, que podrá tomar medidas
correctivas, así como al nivel superior en la entidad. Este proceso permite que el
responsable dé el apoyo y la supervisión necesarios para las acciones correctivas a
tomar e informe a las otras personas en la organización cuyas actividades pueden verse
afectadas. En el caso de que la deficiencia tenga un efecto horizontal, la comunicación
del hecho también debe ser horizontal y alcanzar el nivel suficiente para asegurar que
se tomen las medidas correspondientes.
Directrices sobre comunicación de deficiencias
El suministro de la información necesaria con respecto a las deficiencias en el control

interno a la persona adecuada es imprescindible para mantener la eficacia del sistema de
control interno. Se pueden establecer procedimientos para identificar la información necesaria
a cada nivel jerárquico para la toma de decisiones.
Dichos procedimientos se basan en la regla general de que un responsable deberá recibir la
información de control necesaria para influir en las actuaciones o el comportamiento de las
personas bajo su responsabilidad o para conseguir los objetivos de la actividad. En el caso de
un director general, normalmente deseará que he comuniquen, por ejemplo, las infracciones
graves de políticas y procedimientos, así como que he faciliten la documentación de las
incidencias que podrían tener importantes consecuencias financieras o implicaciones
estratégicas. Los directores deben ser informados de las deficiencias en el control interno que
afecten a sus unidades. Dichas deficiencias incluyen, a modo de ejemplo, casos en que unos
activos de un determinado valor monetario corren riesgos, cuando existen deficiencias en la
competencia del personal o no se realizan como es debido importantes conciliaciones
financieras. La gerencia deberá ser informada de las deficiencias en el control interno en sus
unidades, con mayor grado de detalle en los niveles inferiores de la organización.
Los procedimientos serán establecidos por los responsables, quienes deberán definir los
aspectos a comunican por sus subordinados. El grado de detalle variará, normalmente siendo
mayor en los niveles inferiores de la organización. Si bien los procedimientos de comunicación
pueden limitar la eficacia de la comunicación si se definen de modo demasiado restrictivo,
también pueden mejorar el proceso de comunicación si se les incorpora suficiente flexibilidad.
Las personas a las que se han de comunicar las deficiencias tal vez establezcan
orientaciones especificas con respecto a la información a comunicar. El consejo de
administración o el comité de auditoría, por ejemplo, podrían pedir a la dirección o a los
auditores (internos o externos) que se les informe solamente de las deficiencias detectadas que
lleguen a un determinado umbral de gravedad o de importancia. Un umbral utilizado en la
auditoría es el de “las deficiencias a comunicar”. Las mismas quedan definidas a continuación:
“... deficiencias importantes en el diseño o en el funcionamiento del control interno que pudieran
tener un efecto negativo en la capacidad de la entidad para registrar, procesar, resumir y presentar
información financiera de acuerdo con las aseveraciones implícitas efectuadas por la dirección en
los estados financieros
Esta definición se aplica al objetivo de fiabilidad de la información financiera, si bien se

podría adaptar el concepto para dar cobertura a los objetivos operacionales y de
cumplimiento.
Las actividades de supervisión continuada en la pequeña y mediana empresa seguramente

serán más informales, implicando al director general y a otros directivos clave. El seguimiento
que éstos realizan se deriva del control que ejercen sobre la empresa, a través de la participación
activa en la mayoría de los aspectos del negocio, sino en todos. Su participación estrecha en el
día a día suele poner de manifiesto las desviaciones importantes respecto de las previsiones, así
como toda inexactitud en los datos operativos y financieros. El director-propietario de una
empresa visitará el taller, las instalaciones de montaje o el almacén a menudo, comparando el
inventario físico con los importes generados por el sistema informático. El conocimiento directo
de las reclamaciones realizadas por clientes y vendedores, así como de toda comunicación
recibida de los organismos públicos, también puede poner a la dirección de la pequeña y mediana
empresa en la pista de problemas operativos o de cumplimiento, que posiblemente tengan su
origen en un fallo en los controles.
En la pequeña empresa seguramente no se realizan evaluaciones puntuales de los sistemas
de control interno, lo que se compensa con actividades de supervisión continuada de gran
eficacia. En la empresa mediana, puede existir un auditor interno que realiza las evaluaciones
puntuales. Incluso en las empresas más pequeñas, es posible que se asignen algunas tareas al
personal contable, lo que lace las veces de una evaluación de los controles. Algunas empresas
encargan la evaluación de determinados aspectos del sistema de control al auditor externo,
posiblemente de forma rotativa, para informar al director general sobre la eficacia de los
controles.
1 “Las deficiencias a comunicar” incluyen las denominadas “deficiencias significativas” que se describen en detalle en
la Sección tercera: “Información a terceros”.
Dado que las estructuras de las pequeñas empresas son más simples, las deficiencias
detectadas a través de los procedimientos de supervisión son fácilmente comunicadas a la
persona adecuada. El personal de la pequeña empresa suele tener clara la problemática de la que
los niveles superiores de la empresa deben tener conocimiento. Sin embargo, puede ser más
difícil conocer la persona responsable de determinar la causa de un problema concreto y tomar
las medidas correspondientes. Este aspecto resulta tan importante en la pequeña y mediana
empresa como en las de mayores dimensiones.
Evaluación
Para Llegar a una conclusión sobre la eficacia de la supervisión del control interno,
conviene consideran tanto las actividades de supervisión continuada como las evaluaciones
puntuales del sistema de control interno, o de partes del mismo. A continuación se detallan
algunos aspectos a tener en cuenta. No se trata de una relación exhaustiva y todos los aspectos
no serán aplicables a todas las entidades, sirviendo esta relación Únicamente de punto de
referencia.
La supervisión continuada
 Hasta qué punto el personal al realizar sus actividades normales obtiene evidencia de que el
sistema de control interno está funcionando adecuadamente.
 En qué medida las comunicaciones procedentes de terceros corroboran la información
generada internamente o indican problemas.
 Comparaciones periódicas entre los importes registrados por el sistema contable con los
activos físicos.
 Receptividad ante las recomendaciones del auditor interno y externo respecto de la forma de
mejorar los controles internos.
 En qué medida los seminarios de formación, las sesiones de planificación y otras reuniones
facilitan información a la dirección sobre silos controles operan eficazmente.
 Si se hacen encuestas periódicas al personal para que manifieste si entiende y cumple el
código de conducta de la entidad y si se realizan normalmente las tareas de control críticas.
 Eficacia de las actividades de auditoría interna.
La evaluación puntual
 Alcance y frecuencia de las evaluaciones puntuales del sistema de control interno.

 Idoneidad del proceso de evaluación.
 Si la metodología para evaluar el sistema es lógica y adecuada.
 Adecuado volumen y calidad de la documentación.
La comunicación de las deficiencias
 Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada en el

control interno.
 Idoneidad de los procedimientos de comunicación. U Idoneidad de las acciones de
seguimiento.
7
Limitaciones del control interno

Resumen del capitulo: El sistema de control interno, por muy bueno que sea su diseño y funcionamiento, es capaz
de proporcionar sólo una seguridad razonable a la dirección y al consejo de administración respecto de la conse-
cución de los objetivos de la empresa. La posibilidad de conseguir dichos objetivos está afectada por las
limitaciones inherentes de todo sistema de control interno, que incluyen, por ejemplo, juicios erróneos en la toma de
decisiones o disfunciones debidas a fallos humanos o a simples errores. Por otra parte, dos o más personas pueden
confabularse para burlar los controles y la dirección siempre tiene la posibilidad de eludir el sistema de control
interno. Finalmente, otra limitación es la necesidad de considerar los costes y beneficios relativos de cada control a
implantar.
Algunas personas consideran el control interno como una garantía de que la entidad no tendrá fallos,
esto es, que siempre conseguirá sus objetivos operacionales, de información financiera y de cumplimiento.
En este sentido, a veces se considera el control interno como un remedio universal a todos los males reales
y potenciales de la empresa. Esta posición es equivocada. El control interno no es una panacea.
Al considerar las limitaciones del control interno, tenemos que distinguir dos conceptos distintos:
 El control interno (incluso un control interno eficaz) funciona a diferentes niveles con respecto a los
diferentes objetivos. En el caso de los objetivos relacionados con la eficacia y eficiencia de las
operaciones (consecución de su misión básica, de los objetivos de rentabilidad y análogos) el control
interno puede ayudar a asegurar que la dirección sea consciente del progreso o del estancamiento de la
entidad. Sin embargo, no puede proporcionar ni siquiera una seguridad razonable de que se conseguirán
los objetivos.
 El control interno no puede proporcionar una seguridad absoluta con respecto a cualquiera de las tres
categorías de objetivos.
El primer conjunto de limitaciones se refiere al hecho de que determinados acontecimientos o

situaciones simplemente son ajenos al control de la dirección, tema que se comenta en detalle en la
sección “La consecución de objetivos” del Capitulo 3. El segundo conjunto de limitaciones tiene que ver
con el hecho de que ningún sistema hará siempre lo que se quiere que laga. Lo más que se puede esperar
de un sistema de control interno cualquiera es la obtención de una seguridad razonable. Este capítulo trata
este último aspecto.
El concepto de seguridad razonable no lleva implícito el que el sistema de control interno falle con
frecuencia. Muchos factores actúan, individual o colectivamente, para reforzar el concepto de seguridad
razonable. El efecto acumulativo de los controles, que satisface objetivos múltiples, y la naturaleza
polifacética de los controles reducen el riesgo de que la empresa no consiga sus objetivos. Por otra parte,
las tareas diarias y responsabilidades de las personas en los distintos niveles de la organización tienen la
finalidad ultima de conseguir los objetivos de la empresa. Efectivamente, de entre un grupo de empresas
bien controladas, es muy probable que la mayoría tenga información periódica respecto del progreso
realizado lacia los objetivos operacionales del negocio, normalmente conseguirán objetivos de
cumplimiento y producción año tras año (período tras período) estados financieros fiables. No obstante,
debido a las limitaciones inherentes comentadas anteriormente, no existe garántia alguna de que, por
ejemplo, un acontecimiento ajeno al control de la empresa, un error o una incidencia en la información
financiera no ocurra nunca. En otras palabras, incluso un sistema eficaz de control interno puede sufrir
fallos: la seguridad razonable no es sinónimo de una seguridad absoluta.
Juicio
La eficacia de los controles se ve limitada por el riesgo de errores humanos en la toma de decisiones.
Estas decisiones se tienen que tomar basadas en el juicio humano, dentro de unos limites temporales, en
base a la información disponible y bajo la presión diana del negocio. Tal vez, a la luz de la observación
posterior, se concluya que algunas decisiones basadas en el juicio huma no layan producido resultados no
deseados, por lo que puede ser necesario modificarlas.
A continuación se describe la naturaleza de las decisiones que afectan al control, basadas
necesariamente en el juicio humano, bajo los epígrafes “Disfunciones del sistema”, “Controles eludidos
por la dirección” y “Relación coste/beneficio”.
Disfunciones del sistema
A pesar de estar bien diseñados, los controles internos pueden fallar. Puede que el personal
comprenda mal las instrucciones o que se cometan errores de juicio. También se pueden cometer errores
debido a la dejadez, fatiga o despistes. El supervisor del departamento de contabilidad, responsable de in-
vestigar todas las excepciones, podría sencillamente olvidarse o dejar de investigar lo suficiente para
adoptar las medidas apropiadas. Es posible que el personal eventual realice incorrectamente las tareas de
control que normalmente son realizadas por empleados de baja por vacaciones o enfermedad.
Es también posible que se layan efectuado cambios en el sistema antes de formar al personal para que
sepa reaccionar adecuadamente ante indicios de un funcionamiento incorrecto del mismo.
Elusión de los controles por la dirección
El sistema de control interno no puede ser más eficaz que las personas responsables de su
funcionamiento. Incluso en las entidades que tienen un buen entorno de control (aquéllas que tienen
elevados niveles de integridad y conciencia del control) existe la posibilidad de que el personal directivo
eluda el sistema de control interno.
El término “elusión de los controles por la dirección” en el sentido en que se emplea aquí se refiere a
la omisión de políticas o procedimientos establecidos con finalidades ilegitimas, con ánimo de lucro
personal o para mejorar la presentación de la situación financiera o para disimular el incumplimiento de
obligaciones legales. El director de una división o unidad o un miembro de la alta dirección podría eludir
el sistema de control por diversos motivos: para mejorar la cifra de negocios declarada y así disimular una
reducción no anticipada en la cuota del mercado, para mejorar artificialmente resultados con el fin de
cumplir con unos presupuestos poco realistas, para hacer subir el valor de mercado de la empresa antes de
una oferta pública o una venta, para infravalorar las previsiones de ventas o beneficios con el fin de
aumentar los incentivos por ventas, pana disimular una situación que con arreglo a condiciones
contractualmente establecidas podría suponen el reembolso inmediato de los préstamos o para encubrir el
incumplimiento de determinadas obligaciones legales. La elusión incluye prácticas tales como actos
deliberados de falsificación ante bancos, abogados, contables y proveedores, así como la emisión
intencionada de documentos falsos, tales como órdenes de compra y facturas de venta.
La elusión no se ha de confundir con la intervención, término que se refiere a los actos de la dilección
efectuados con finalidades legitimas, que se desvían de las políticas y procedimientos establecidos. La
intervención de la dirección es necesaria para hacer frente a transacciones o acontecimientos puntuales y
no recurrentes que, de otra forma, no serian procesados correctamente pon el sistema de control. Es
necesario posibilitan la intervención de la dirección en todo sistema de control interno, dado que es
imposible diseñar un sistema capaz de anticiparse a todas las situaciones posibles. Las intervenciones de
la dirección, en general, se efectúan de forma abierta y tienen su correspondiente soporte documental, o de
lo contrario se comunican al personal adecuado, mientras que la elusión normalmente ni se documenta ni
se comunica, en un claro intento de encubrir los hechos.
Confabulación
La confabulación de dos o más personas puede provocar fallos en el sistema de control. Cuando las
personas actúan de forma colectiva para cometer y encubrir un acto, los datos fináncienos y otras
informaciones de gestión pueden verse alterados de un modo no identificable por el sistema de control. A
modo de ejemplo. El empleado que realiza una importante función de control podría confabularse con un
cliente, proveedor u otro empleado. En otro caso, varios estratos de la dirección comercial o divisional
podrían confabularse para burlar los controles a fin de que los resultados presentados cumplan con los
presupuestos u objetivos base para los incentivos.
Relación costes / beneficios
Los recursos siempre son escasos, debiendo las entidades considerar los costes y beneficios relativos a la
implantación de controles.
A la hora de decidir si se la de implantan un determinado control, se consideran tanto el riesgo de fracaso
como el posible efecto en la entidad, junto a los costes correspondientes a la implantación del nuevo
control. En este sentido, tal vez no resulte rentable implantar un sistema muy sofisticado de inventario
para controlar los niveles de materia prima; si el coste de la materia prima utilizada en el proceso de
producción no es realmente significativo, las materias no son perecederas, existe la posibilidad de un
suministro constante de la misma y se dispone de suficiente espacio de almacenaje.
Existen distintos niveles de precisión en cuanto a la determinación del coste y el beneficio de la
implantación de controles. Generalmente resulta más fácil determinar el coste, pudiéndose cuantificar de
forma bastante precisa. Normalmente se tienen en cuenta todos los costes directos correspondientes a la
implantación de un control, así como los costes indirectos si resultan cuantificables. Algunas empresas
también incluyen los costes de oportunidad asociados al uso de los recursos.
En otros casos, sin embargo, la cuantificación de costes podría entrañar mayor dificultad. Por ejemplo,
resultaría difícil cuantificar el tiempo y los esfuerzos correspondientes a determinados factores del entorno
de control, tales como el compromiso ático de la dirección o la competencia del personal, la evaluación de
riesgos y la recogida de ciertas informaciones externas, tales como información del mercado respecto de
las preferencias de los consumidores. En cuanto a los beneficios, la valoración suele suponer un alto grado
de subjetividad. Por ejemplo, los beneficios aportados por programas de formación suelen ser evidentes, si
bien difíciles de cuantificar. No obstante, existen determinados factores que se pueden considerar al
evaluar los beneficios potenciales: la probabilidad de que la condición no deseada se laga realidad, la
naturaleza de las actividades y el efecto potencial financiero u operativo que el hecho pueda tener en la
entidad.
La relación costes / beneficios se vuelve más compleja al existir relaciones entre los controles y las
actividades. En el caso de controles integrados o incorporados en los procesos de gestión y del negocio,
será difícil aislar los costes y beneficios correspondientes.
Igualmente, muchas veces un conjunto de controles de variada naturaleza pueden servir, individual o
colectivamente, para reducir un determinado riesgo. Tomemos el caso de la devolución de un envió.
Cuando se contabiliza, ¿será suficiente la conciliación del inventario actualizado y el fichero maestro de
deudores con el total de devoluciones? ¿Será necesario verificar los códigos de clientes individuales? Si es
así, ¿hasta qué punto? ¿Será suficiente la conciliación mensual de los ficheros auxiliares con los ficheros
maestros? ¿Se necesitan procedimientos más amplios para asegurar que los registros auxiliares se
actualicen correctamente por las devoluciones habidas? Qué mecanismos están implantados para poner de
manifiesto si las devoluciones son un indicio de un problema sistemático en el diseño del producto, su
fabricación, su envió, facturación o el servicio al cliente? Las respuestas a las anteriores
preguntas dependerán de los riesgos implicados en las circunstancias concretas del caso y de los costes y
beneficios correspondientes a la implantación de cada procedimiento de control.
La relación costes / beneficios también variará considerablemente en función de la naturaleza de las
actividades desarrolladas por la entidad. A modo de ejemplo, en el caso de una empresa de venta por
correspondencia, será muy importante que el sistema informático suministre información relativa a la
frecuencia de pedidos por los clientes, el valor de cada pedido y el número de artículos comprados en cada
pedido. Por contra, en el caso de un fabricante de veleros de primera calidad, dicha información detallada
del perfil de sus clientes seria mucho menos importante, y seguramente no estimaría practico un sistema
informático de estas características desde el punto de vista de sus costes y beneficios relativos. Debido a la
poca importancia relativa de una determinada actividad o su riesgo correspondiente, tal vez ni siquiera
resulte necesario realizar un análisis de los costes y beneficios. Es posible que no haya justificación
suficiente del esfuerzo necesario para realizar el análisis.
Es una cuestión de equilibrio. Un control excesivo resulta costoso y contraproducente. El cliente que
realiza sus pedidos por teléfono pondrá resistencia a procedimientos de aceptación de pedidos que sean
demasiado farragosos o largos. Igualmente, el banco que obliga a los prestatarios potenciales con buen
historial crediticio a hacer “malabarismos” tendrá dificultades para captar muchos clientes nuevos. Por
otra parte, la falta de control supone el riesgo de morosos. Es necesario, pues, hallar el equilibrio
adecuado en un entorno sujeto a mucha competencia. Sin embargo, a pesar de las dificultades, se podría
tomar decisiones en base a la relación costes/beneficios.
8
Resumen del capítulo: Todos los miembros de una organización tienen alguna responsabilidad en materia de control
interno. Sin embargo, la responsabilidad del sistema de control interno recae en la dirección y, en primer lugar, en el
presidente o director general. Los responsables de las dreas de finanzas y contabilidad son personas claves en cuanto
a la forma en que la dirección ejerce el control, si bien todo el personal directivo tiene un papel importante en la
inédita que cada uno es responsable del control de las actividades de sus unidades. Asimismo, los auditores internos
contribuyen a la eficacia continuada del sistema de control interno, si bien no son los principales responsables en su
establecimiento o mantenimiento. El consejo de administración y su comité de auditoria supervisan el sistema de
control interno.Algunos terceros, como los auditores externos, contribuyen a menudo a la
consecución de los objetivos de la entidad y proporcionan información útil para ejercitar el control
interno. No obstante, no son responsables de la eficacia del sistema de control interno de la
entidad, ni forman parte de él.
El sistema de control interno se realiza por diferentes personas, cada una con responsabilidades
importantes. El consejo de administración (directamente o a través de sus comités), la dirección, los
auditores internos y demás miembros del personal contribuyen de forma importante a la eficacia del sistema
de control interno. Determinados terceros, tales como los auditores externos y los organismos de control,
están a veces relacionados con el control interno. Debe distinguirse entre aquellas personas que son parte del
sistema de control interno y las que, sin serlo, pueden, por sus actuaciones, afectar al sistema o ayudar a
alcanzar los objetivos de la organización.
Las personas pertenecientes a una organización forman parte del sistema de control interno. Contribuyen,
cada una a su manera, a un control interno efectivo, es decir, a proporcionar un grado razonable de seguridad
de que se alcancen los objetivos específicos de la entidad.
Los terceros también pueden ayudar a que la entidad consiga sus objetivos realizando acciones que
proporcionen información útil para el control interno, o contribuyan de forma independiente al cumplimiento
de sus objetivos. No obstante, el mero hecho de contribuir, directa o indirectamente, a alcanzar los objetivos
de la entidad no implica la pertenencia a su sistema de control interno.
Responsables
Todos los empleados de una entidad desempeñan alguna función en la operativa del control interno. Las
funciones varían según el tipo de responsabilidad y el grado de implicación. Las funciones y
responsabilidades de la alta dirección, el consejo de administración, los auditores internos y demás miem-
bros del personal se explican a continuación.
La dirección
La dirección es directamente responsable de todas las actividades de una entidad, entre ellas su sistema
de control interno. Naturalmente, las responsabilidades de los diferentes niveles directivos de una entidad en
relación al control interno varían, en función de su jerarquía y diferirán a menudo considerablemente, según
las características de la entidad.
En cualquier organización, el presidente o director general es el máximo responsable del sistema de
control interno. Uno de los aspectos más importantes del ejercicio de esta responsabilidad es asegurar que
existe un entorno de control positivo. Más que ningún otro individuo o función, el presidente marca la pauta
en cuanto a los factores del entorno de control y otros componentes del control interno. Su influencia sobre
la entidad no debe ser subestimada. Lo que puede resultar menos obvio es la influencia que ejerce el
presidente sobre la selección de los miembros del consejo de administración. Un presidente con altos valores
éticos puede ayudar mucho a instaurar los mismos valores en el consejo de administración. En cambio, un
presidente que carezca de dichos valores no podrá o no querrá tener miembros del consejo que si los posean.
Un miembro de varios consejos y comités de auditoria la afirmado claramente que, si tuviera alguna duda
sobre la integridad del presidente de una entidad, rechazaría tajantemente la invitación de incorporarse a su
consejo.
Los consejos y comités de auditoria eficaces deben examinar la integridad y valores éticos de los altos
cargos para determinar si el sistema de control interno dispone de los necesarios apoyos críticos.
Las responsabilidades del presidente incluyen averiguar que todos los componentes del control interno
están en funcionamiento. En general, el presidente cumple con esta responsabilidad de las siguientes
maneras:
 Dirigiendo y orientando las actividades de los altos cargos. Con su ayuda, el presidente establece los valores,
principios y políticas operativas importantes que forman la base del sistema de control interno de la
entidad. Pon ejemplo, el presidente y los principales altos cargos fijan los objetivos generales de la entidad.
Ellos mismos toman medidas en cuanto a la estructura organizativa de la entidad, el contenido y la
comunicación de políticas claves y el tipo de planificación y sistemas de información que se van a utilizar.
 Reuniéndose periódicamente con los responsables de las áreas funcionales más importantes (ventas,
marketing, producción, compras, finanzas, recursos humanos, etcétera.) para revisar sus responsabilidades
y, en particular, la manera en que controlan sus actividades. El presidente aumentará sus conocimientos
sobre los controles inherentes a sus operaciones, las mejoras necesarias y la evolución de las medidas en
curso de mejoramiento. Para cumplir con esa responsabilidad es muy importante que el presidente defina
de forma clara la información que necesita.
Los directivos de cada unidad tienen responsabilidad sobre el control interno relacionado con los
objetivos de su unidad. Ellos el desarrollo y la implantación de políticas y procedimientos de control
interno que permitan la consecución de los objetivos de su unidad y aseguran que estos sean coherentes
con los objetivos de la entidad. Los directivos en este nivel elaboran, por ejemplo, instrucciones tanto
sobre la estructura de la organización y las prácticas de contratación del personal y su formación, como
sobre la preparación de presupuestos y otros sistemas de información que contribuyan al control sobre las
actividades de la unidad. Así, en una estructura con responsabilidades descentralizadas, cada ejecutivo es,
en cierta manera, el presidente de su área de responsabilidad.
En general, los directivos asignan la responsabilidad de establecer procedimientos de control interno
más específicos al personal responsable de las funciones de cada unidad, que normalmente tendrá una
participación directa en la determinación de los procedimientos de control interno específicos para su
unidad. A menudo, son responsables directos de establecer procedimientos de control interno que permitan
la consecución de los objetivos de la unidad,
como el desarrollo de procedimientos de autorización para comprar materias primas, aceptar nuevos
clientes o la revisión de informes para supervisar los niveles de producción. También harán
recomendaciones sobre los controles, realizarán un seguimiento de su aplicación e informarán a sus
superiores sobre su funcionamiento.
En función de los niveles jerárquicos que existan en una entidad, los responsables de subunidades, o
mandos inferiores o supervisores, están directamente involucrados en la ejecución detallada de las políticas
y procedimientos de control. Su responsabilidad es emprender acciones cuando surjan excepciones u otros
problemas. Ello se traduce, por ejemplo, en la investigación de errores en la introducción de datos para las
transacciones que aparezcan en el informe de excepciones, en el análisis de las desviaciones del presu-
puesto de gastos de un departamento, en el seguimiento de pedidos de clientes pendientes de servir o de la
situación de las existencias de un producto. Los asuntos importantes, relacionados con una transacción en
particular o que sean indicio de problemas mayores, deben comunicarse a los niveles superiores de la
organización.
Cada responsable debe tener la autoridad necesaria para ejercer sus funciones, pero también la
responsabilidad en lo referente al sistema de control interno de su área, y el presidente tiene la
responsabilidad última ante el consejo de administración.
Aunque los distintos niveles directivos tienen responsabilidades y funciones distintas en cuanto al
control interno, sus actuaciones deben integrarse en el seno del sistema de control interno de la entidad.
Responsables de las funciones financieras
Los directores financieros y sus equipos tienen una importancia vital porque sus actividades están
estrechamente vinculadas con el resto de unidades operativas y funcionales de una entidad. Normalmente
están involucrados en el desarrollo de presupuestos y en la planificación financiera. Controlan, siguen y
analizan el rendimiento, no sólo desde una perspectiva financiera sino también, en muchas ocasiones, en
relación al resto de operaciones de la entidad y al cumplimiento de requisitos legales. Normalmente estas
actividades forman parte de la organización central o “corporativa” de la entidad, pero a menudo, también
tienen responsabilidades claves en el seguimiento de las actividades a nivel de división, filial u otras
unidades. El director financiero, el jefe de contabilidad, el “controller” y otros responsables de las
funciones financieras de una entidad son claves para determinar la forma en que la dirección ejerce el
control.
En el informe de la Comisión Treadway se subraya la importancia del papel del jefe de

contabilidad en prevenir y detectar información financiera fraudulenta: “Como miembro de la
dirección, el jefe de contabilidad contribuye, a establecer las normas éticas de comportamiento de la
organización. Es responsable de los estados financieros y, en general, es el ultimo responsable en el
diseño, implantación y supervisión del sistema de información financiera de la entidad. Está en una
posición clave para identificar situaciones anormales causadas por información financiera
fraudulenta”. El informe especifica que las funciones propias del jefe de contabilidad pueden sen
desempeñadas por el director financiero o el “controller”.
Cuando se examinan los componentes del control interno, está claro que el director financiero (o
el jefe de contabilidad) y su equipo tienen funciones básicas. Deberían tener un papel importante a la
hora de establecer los objetivos y decidir sobre la estrategia de la organización, analizar los riesgos y
tomar decisiones sobre cómo implantar cambios que afecten a la entidad. Su aportación a dichos
procesos es valiosa y su posición es estratégica para asegurar la supervisión y el seguimiento de las
actuaciones decididas.
Por consiguiente, las intervenciones del director financiero (o del jefe de contabilidad) deberían
tener la misma relevancia que las de los demás responsables operativos y funcionales de la entidad.
Cualquier intento de la dirección de limitar su área de influencia (por ejemplo, únicamente a las áreas
de información financiera y tesorería) podría limitar seriamente la capacidad de éxito de cualquier
entidad.
Consejo de administración
La dilección es responsable ante el consejo de administración, cuya función es gobernar, orientar

y controlar las actividades de la entidad. Al seleccionar a la dirección, el consejo define sus
expectativas en cuanto a integridad y valores éticos, debiendo confirmarlas mediante sus actividades
de supervisión. Además, al reservarse la autoridad para tomar decisiones de cierta relevancia, el
consejo puede desempeñar un papel importante en el establecimiento de objetivos y en la
planificación estratégica. A través de su supervisión, el consejo se involucra en todos los aspectos
referentes al control interno.
El consejero eficaz es objetivo, competente y curioso. Conoce las actividades y el entorno de la
entidad y dedica el tiempo necesario al desempeño de sus responsabilidades en el consejo. Debería
disponer de los medios necesarios para investigar cualquier asunto que considere importante, y
debería poderse comunicar abiertamente y sin restricciones con todo el personal, incluyendo los
auditores internos, así como con los auditores externos y los asesores legales.
Muchos consejos de administración llevan a cabo sus tareas a través de comités. Sus funciones y
la importancia de sus trabajos varían de una entidad a otra, pero suelen incluir las áreas de auditoria,
remuneraciones, finanzas, nombramientos y prestaciones sociales. Cada comité puede poner un
énfasis especifico en determinados elementos del control interno. Por ejemplo, el comité de auditonía
tiene un papel directo en la información financiera y el comité de nombramientos desempeña un
papel importante en el control interno, al considerar la competencia de posibles futuros miembros del
consejo. De hecho, todos los comités del consejo, a tnavés de su papel de supervisión, son elementos
importantes del sistema de control interno. Para las áreas en que no se laya creado un comité
especifico, las funciones correspondientes serán realizadas dilectamente por el consejo.
Comité de auditoria
Durante los últimos años, organizaciones profesionales y organismos de control han dedicado
mucha atención al establecimiento de comités de auditoría. Si bien con el paso del tiempo se les la
dado cada vez más importancia, los comités de auditoria no son obligatorios ni están definidas de
manera oficial sus tareas y actividades especificas. Los comités de auditoria tienen responsabilidades
diferentes de una entidad a otra, variando también la importancia de su participación.
Si bien son necesarias y apropiadas algunas diferencias en cuanto a responsabilidades y
funciones, existen ciertas características que, en general, son comunes a todo comité de auditoria
eficaz. Aunque la dirección es responsable de la fiabilidad de los estados financieros, un comité de
auditoria eficaz también desempeña un papel importante. El comité de auditoria (o, en su defecto, el
consejo) está en una posición privilegiada. Tiene la autoridad para interrogan a los directivos sobre la
forma en que están asumiendo sus responsabilidades en cuanto a la información financiera, y para
asegurar que se tomen medidas correctivas. El comité de auditoria, junto con, o además de, una
función de auditoria interna fuerte, está muchas veces en la mejor posición dentro de una entidad para
identificar situaciones en que los altos directivos intentan eludir los controles internos o tergiversar
los resultados financieros y actuar en consecuencia. Por ello, existen situaciones en las que el comité
de auditoria o el consejo deben afrontar dilectamente asuntos o circunstancias graves.
La Comisión Treadway la emitido directrices generales sobre el tamaño del comité de auditoria y
los plazos de nombramiento, calendarios de reuniones y participantes, información al consejo, el
conocimiento por parte de cada miembro de las operaciones de la empresa, la revisión de los planes
de los auditores internos y externos, la adopción de nuevos principios de contabilidad, estimaciones
importantes, reservas, contingencias y las variaciones de un ejercicio a otro.
La Comisión Treadway la hecho hincapié en la utilidad de los comités de auditoria y recomienda
la obligatoniedad de constituir comités de auditoría compuestos únicamente por consejeros
independientes en las empresas con cotización en bolsa. La New York Stock Exclange exige la
existencia de dichos comités y la National Association of Securities Dealers exige comités de
auditoría con una mayoría de consejeros independientes a las empresas que tengan acciones u
obligaciones cotizadas en el NASDAQ (National Market System). La Comisión Treadway ha
reconocido las dificultades prácticas, sobre todo para empresas pequeñas que no lleven cotizando en
bolsa mucho tiempo, de reclutar un numero suficiente de consejeros independientes y cualificados.
También la reconocido que pueden existir procedimientos y controles que sean funcionalmente
equivalentes a un comité de auditoria. Si bien no hay una obligación general de constituir estos
comités de auditoría, está claro que su presencia refuerza el control interno. Tener un comité de
auditoría compuesto por consejeros independientes tiene sentido incluso para las empresas pequeñas,
si es factible.
Comité de remuneraciones
Este comité puede asegurar que se potencien acuerdos salariales que contribuyan a alcanzar los
objetivos de la entidad y que no pongan demasiado énfasis en el corto plazo en detrimento de los
resultados a largo plazo.
Comité de finanzas
Este comité es útil para controlar grandes compromisos financieros y para asegurar que los
presupuestos de inversiones están en línea con los planes operativos.
Comité de nombramientos
Este comité controla la selección de candidatos para ocupar los cargos directivos y, en ocasiones,
para los altos cargos.
Comité de prestaciones sociales
Este comité supervisa los planes de prestaciones a los empleados y asegura su coherencia con los
objetivos de la entidad y el correcto cumplimiento de las responsabilidades fiduciarias.
Otros comités
El consejo de administración puede proceder a la creación de otros comités que supervisen otras
áreas especificas, tales como el respeto de normas éticas, políticas públicas y tecnología. En general,
estos comités sólo se establecen en algunas grandes organizaciones o en circunstancias particulares.
Auditores internos
Los auditores internos examinan directamente los controles internos y recomiendan mejoras a los
mismos. Las normas emitidas por el Institute of Internal Auditors especifican que el alcance de una
auditoría interna debería abarcar el examen y la evaluación de la suficiencia y la efectividad del siste-
ma de control interno de la entidad así como una evaluación cualitativa de las actuaciones
individuales para cumplir con las responsabilidades asignadas1. Según dichas normas, los auditores
internos deberían:
 “Revisar la fiabilidad y la integridad de la información financiera y operativa y los procedimientos

empleados pana identifican, medir, clasificar y difundir dicha información.”
 “Revisar los sistemas establecidos pana asegurar el cumplimiento de aquellas políticas, planes,
procedimientos, leyes y normativas susceptibles de tener un efecto importante sobre las operaciones e
informes, así como determinar si la organización cumple con los mismos.”
 “Revisar los medios utilizados para la salvaguarda de activos y verificar la existencia de los mismos.”
 “Valorar la eficiencia en el empleo de los recursos”.
 “Revisar las operaciones o programas pana cerciorarse de silos resultados son coherentes con los
objetivos y las metas establecidas y si se han llevado a cabo según los planes previstos.”
1 The Institute of Internal Auditors, Inc., Codification of Standards for the Professional Practice of Internal Auditing
(Altamonte Springs, FL:IIA, 1989)
Todas las actividades dentro de una organización caen, potencialmente, dentro del ámbito de
responsabilidad de los auditores internos. En algunas entidades, la función de auditoría interna está
muy involucrada en los controles sobre las operaciones. Por ejemplo, los auditores internos pueden
verificar periódicamente la calidad de la producción, los envíos a clientes en los plazos previstos o la
eficiencia de la organización de la fábrica. En otras organizaciones, la función de auditonía interna
puede centrarse básicamente en el cumplimiento de requerimientos legales o en actividades
relacionadas con la información financiera.
Las normas del Institute of Internal Auditors también delimitan la responsabilidad del auditor
interno en sus actuaciones. Estas normas establecen, entre otras cosas, que los auditores internos
deberían ser independientes de las actividades que auditan. Esta independencia resulta, o debería
resultar, de su posición y autoridad dentro de la entidad y del reconocimiento de su objetividad.
Su posición y autoridad en el seno de una organización depende de que exista una vía de
comunicación con una persona que tenga la autoridad suficiente para asegurar, por un lado, la
cobertura de todas las actividades de la entidad por parte de la auditoria, y, por otro, la
profesionalidad con que se afronten los problemas y la validez de las soluciones aportadas. Sus
prerrogativas también dependen de que el consejo de administración o el comité de auditoria
aprueben el nombramiento y destitución del responsable de la auditoria interna, las vías de
comunicación que existan entre el auditor interno y el consejo o comité de auditoria y la autoridad
que tenga para efectuar un seguimiento de las conclusiones y recomendaciones a las que laya llegado
a través de su trabajo.
Los auditores internos solo pueden sen imparciales cuando no están obligados a subordinar su
juicio sobre asuntos de auditoría al juicio de otros. El principal medio de aseguran la objetividad de la
auditoria interna es la asignación de personal adecuado para la función de auditoria, evitando posibles
conflictos de intereses y prejuicios. Debería haber una rotación periódica en el personal asignado y
los auditores internos no deberían asumir responsabilidades operativas. Igualmente, no deberían estar
asignados a la auditoria de actividades en las cuales hubiesen tenido alguna responsabilidad operativa
reciente.
Debe recordarse que la función de auditoria interna (en contra de lo que cree algún sector de
opinión) no tiene como responsabilidad principal el establecimiento o mantenimiento del sistema de
control interno. Esta responsabilidad, como se la dicho antes, he incumbe al presidente, junto con los
altos directivos (que pueden incluir al responsable del departamento de auditoria interna). Los
auditores internos tienen un papel importante en la evaluación de la eficacia de los sistemas de
control contribuyendo así a su eficacia continuada. Gracias a su posición y autoridad en el seno de
una entidad, y a la objetividad en el desarrollo de sus actividades, la auditoria interna desempeña, a
menudo, un papel muy importante en el control interno eficaz.
Otro personal de la entidad
El control interno es, en ciento modo, responsabilidad de todos los miembros de la organización por lo
que debería ser mencionado, de manera explicita o implícita, en la descripción de los puestos de trabajo de
todos los empleados. Esta responsabilidad es doble:
 En primer lugar, casi todos los empleados desempeñan algún papel a la hora de efectuar el control. Puede
ser que generen información utilizada en el sistema de control interno (por ejemplo, registros de
existencias, información sobre el trabajo en curso, estadísticas de ventas o de gastos), o que tomen las
medidas necesarias pana asegurar el control. Estas actuaciones incluyen, pon ejemplo, la realización de
conciliaciones, el seguimiento de informes de excepciones, la realización de recuentos físicos, o el análisis
de las variaciones en costes u otros indicadores de rendimiento. El esmero con el que se realizan estas
actividades incide directamente en la eficacia del sistema de control interno.
 En segundo lugar, todo el personal debería poner en conocimiento de los niveles superiores cualquier
problema operativo, incumplimiento del código de conducta o de las políticas establecidas o actuaciones
ilegales. El control interno depende de las comprobaciones, la segregación de funciones, y de que los
empleados no “hagan la vista gorda” ante actuaciones incorrectas o irregulares. El personal debería
entender la necesidad de no ceder ante las presiones de sus superiores pana participar en actividades
irregulares y, en consecuencia, deberían existir vías de comunicación fuera de las habituales pana permitir
la denuncia de tales circunstancias.
El control interno es asunto de todos y las funciones y las responsabilidades de todo el personal deben
quedar bien definidos y sen comunicados de forma eficaz.
Terceros ajenos a la entidad
Otras personas ajenas a la entidad pueden contribuir a la realización de sus objetivos, a veces a través
de actividades paralelas a las que tienen lugar
dentro de la misma. En otros casos, pueden proporcionar información útil para las actividades de control interno
de la entidad.
Auditores externos
Quizás ningún otro tercero ajeno a la entidad tenga un papel tan importante en la consecución de sus objetivos
de información financiera como los auditores externos. Ellos aportan a la dirección y al consejo de administración
un punto de vista objetivo e independiente, y contribuyen a la consecución de los objetivos de información
financiera operativos y de cumplimiento de los requisitos legales de la entidad.
En relación con la auditoria de estados financieros, el auditor expresa una opinión sobre la imagen fiel
presentada por los estados financieros conforme a los principios contables generalmente aceptados y así contribuye
a alcanzar los objetivos de información financiera de la entidad. El grado de seguridad que el sistema de control
interno de una entidad puede proporcionar, con respecto a la presentación fiel de los estados financieros, queda
reforzado por los auditores externos. Además, el auditor suele proporcionar información útil a la dirección para
cumplir con sus responsabilidades en materia de control.
Hay diferentes percepciones acerca de la atención dedicada al sistema de control interno en el transcurso de
una auditoria de estados financieros. Existe la creencia de que un informe sin salvedades sobre los estados
financieros emitido por un auditor también implica que el sistema de control interno de la entidad es eficaz. Otros
opinan que, como mínimo, el auditor la realizado, necesariamente, una revisión lo suficientemente profunda del
sistema de control interno como para identificar todas o la mayoría de las deficiencias importantes. Ninguno de
estos dos puntos de vista es acertado.
Hay que tener en cuenta que un sistema de control interno ineficaz no significa que el auditor no pueda opinar
que los estados financieros reflejan una imagen fiel de la entidad. En tal situación el auditor centra su atención
directamente sobre los estados financieros. Si se requieren ajustes en los estados financieros, éstos se pueden
registrar y se puede seguir emitiendo un informe sin salvedades. El auditor expresa una opinión sobre los estados
financieros, no sobre el sistema de control interno. No obstante, los controles inadecuados pueden afectan a la
auditoria e incrementar su coste, debido a la necesidad del auditor de realizar un mayor número de pruebas sobre
los saldos registrados en los estados financieros, antes de formular una opinión.
Un auditor debe adquirir conocimientos suficientes del sistema de control de una entidad pana planificar su
auditoria. La atención prestada al control interno varía de una auditoria a otra. En ocasiones se he presta mucha
atención y en otras relativamente poca. Pero, incluso en el primer caso, un auditor
normalmente no estará en situación de identificar todas las deficiencias de control interno que pudieran
existir.
En la mayoría de los casos, cuando realizan una auditoría de estados financieros los auditores
proporcionan información útil a la dirección en el desempeño de sus responsabilidades relacionadas con el
control interno:
 Comunicando las conclusiones de la auditoria, los resultados de la revisión analítica y las recomendaciones
para tomar las medidas necesarias para conseguir los objetivos de la entidad.
 Comunicando las conclusiones sobre las deficiencias del control interno detectadas en el desarrollo de la
auditoria, así como sus recomendaciones de mejora.
Esta información se comunica a la dirección y, según su importancia, al consejo de administración o el

comité de auditoría; se refiere, a menudo, no sólo a la información financiera, sino también a las actividades
operativas y al cumplimiento de obligaciones legales y puede contribuir en gran medida a la consecución de
los objetivos de una entidad en cada una de dichas áreas.
Legisladores y organismos de control
Los legisladores y los organismos de control tienen incidencia sobre el control interno de muchas
entidades, bien controlándolas directamente, bien obligándolas a establecer controles internos. Muchas leyes
y normativas relevantes se centran exclusivamente en los controles internos sobre la información financiera,
aunque algunas, especialmente las que se aplican a entidades gubernamentales, también pueden abarcar los
objetivos operacionales y de cumplimiento.
La Foreign Corrupt Practices Act (Ley sobre Prácticas Corruptas en el Extranjero), de 1977, obliga a las
empresas que cotizan en bolsa a establecer y mantener sistemas de control contables que satisfagan
determinados objetivos. Otras leyes y normativas federales americanas son de aplicación a programas
federales de asistencia financiera y cubren una amplia gama de actividades, desde los derechos civiles a la
gestión de tesorería, especificando los procedimientos o prácticas de control interno requeridas. La Single
Audit Act, de 1984, exige a los auditores externos la emisión de informes sobre el cumplimiento pon parte de
la entidad de los requisitos legales, así como sobre el cumplimiento de la normativa de diversos sectores,
como el de servicios financieros. La Federal Deposit Insurance Corporation Improvement Act, de 1991,
obliga a ciertos bancos a publicar un informe sobre la eficacia de sus controles internos sobre la información
financiera, acompañado del informe de un auditor externo independiente.
Diversos organismos de control examinan directamente las entidades sobre las que tienen
responsabilidad de supervisión. Por ejemplo, los inspectores bancarios federales y estatales llevan a cabo
inspecciones de bancos, centrándose en muchas ocasiones en ciertos aspectos de los sistemas de control
interno. Estos organismos efectúan recomendaciones y en muchos casos tienen la facultad de tomar medidas
para asegurar su cumplimiento.
De esta manera, los legisladores y organismos de control inciden de dos maneras en los sistemas de
control interno de las entidades. Establecen normativas que motivan a la dirección pana que asegure que los
sistemas de control interno satisfagan los mínimos establecidos por los requisitos legales y reglamentarios.
Asimismo, y tras la inspección de una, entidad en particular, proporcionan información utilizada por el
sistema de control interno de la misma, y emiten recomendaciones y algunas veces directrices a la dirección
sobre mejoras necesarias en el sistema de control interno.
Terceros relacionados con la entidad
Los clientes, los proveedores y otros terceros que tienen relación con la entidad son una fuente
importante de información que se utiliza en las actividades de control:
 Un cliente, por ejemplo, puede informar a la entidad sobre las demoras en la entrega de pedidos, el
empeoramiento de la calidad de los productos o cualquier otro aspecto en el que no se satisfagan sus
necesidades. Otro cliente podrá ser más activo y colaborar con la entidad en el desarrollo de la mejoras
necesarias en el producto.
 Un proveedor proporciona información sobre los pedidos, total o parcialmente entregados, y las facturas
emitidas, permitiendo así identificar y corregir diferencias y conciliar saldos.
 Un proveedor potencial puede informar a la dirección acerca del intento de corrupción por parte de un
empleado de la entidad.
Estos terceros proporcionan una información que, en algunos casos, puede ser sumamente importante
para que la entidad cumpla con sus objetivos relativos a operaciones, información financiera y cumplimiento
de la normativa. La entidad debe implementar los mecanismos necesarios pana recibir dicha información y
tomar las medidas apropiadas. Estas medidas no deben estar dirigidas a afrontan y resolver únicamente una
situación en concreto, sino también a investigar y resolver la causa de fondo del problema.
Además de los clientes y los proveedores, otros terceros, tales como los acreedores, pueden
proporcionan alguna visión sobre la consecución de los objetivos de la entidad. Un banco, por ejemplo,
puede pedir informes sobre el cumplimiento de acuerdos sobre endeudamiento y recomendar indicadores de
rendimiento o controles necesarios.
Analistas financieros, agendas de calificación de valores y medios de

comunicación
Los analistas financieros y las agencias de calificación de valores tienen en cuenta muchos factores
relevantes al determinan el valor de una entidad como inversión. Analizan los objetivos y las estrategias de la
dirección, los estados financieros históricos, las proyecciones financieras, las acciones emprendidas como
respuesta a las condiciones cambiantes de la economía y del mercado, las posibilidades de éxito a corto y a
largo plazo, los resultados del sector en que operan y realizan comparaciones con otras sociedades del sector.
En ocasiones, los medios de comunicación, en particular la prensa económica, también realizan análisis
similares.
Las actividades de investigación y de seguimiento de estos terceros permiten a la dirección conocen
cómo otras personas perciben el comportamiento de la entidad, los riesgos micro y macroeconómicos que
afronta, las estrategias innovadoras operativas y financieras que pueden mejorar el rendimiento de la
sociedad, y las tendencias en el sector. A veces esta información se comunica de forma directa en reuniones
entre los terceros y la dirección, o indirectamente a través de análisis efectuados pana accionistas, posibles
inversores y el público en general. En ambos casos, la dirección debería tener en cuenta las observaciones y
puntos de vista de los analistas financieros, las agencias de calificación de valores y los medios de
comunicación que puedan implicar posibles mejoras en el control interno.
Anexo A
Antecedentes y acontecimientos que condujeron a este estudio
La necesidad de ejercer un control dentro de las organizaciones fue constatada por los primeros
gobernantes, jefes religiosos y dirigentes empresariales. Dada la necesidad de dirigir y supervisar las
actividades de la organización, se establecieron controles para asegurar la consecución de los
objetivos.
Con el tiempo, la importancia del control interno para el éxito de una entidad ha sido reconocida
no sólo por sus responsables sino también por un gran número de terceros. Algunos han acudido al
control interno para resolver temas que iban más allá de aquellos que los empresarios consideraban,
a priori, relevantes pana sus necesidades.
En los últimos años, diversos órganos públicos, privados y profesionales han dedicado una
considerable atención al control interno y han propuesto recomendaciones o directrices sobre el
tema. De este interés creciente han surgido diversas filosofías que han originado distintas opiniones
sobre la naturaleza, el objetivo y la forma de conseguir un control interno eficaz. A titulo
informativo, se presenta a continuación un breve resumen de los desarrollos principales.
Quizás el primer cambio importante en la manera de considerar el control interno surgió de la
necesidad de contar con información fiable como un medio indispensable para llevar a cabo un
control eficaz. Los directivos de empresas en expansión han venido dando cada vez más importancia
al uso de información financiera y no financiera para controlar las actividades de las mismas. Por
ello, se elaboraron sistemas pana mejorar la utilidad y la fiabilidad de la información. Asimismo, los
directivos de sociedades de mayor dimensión, por tamaño y empleados, han ido tomando conciencia
de la necesidad de controlar y limitan las decisiones que podían ser tomadas sin consultar a un
superior. De ahí el desarrollo de practicas de dirección eficaces para orientan las actividades de los
empleados y ejercen un mayor control sobre sus actuaciones.
Desde el punto de vista de la auditoria, lace tiempo se la‟ reconocido que una auditoria de los
estados financieros de entidades con sistemas de control interno eficaces se podría llevar a cabo de
forma más eficiente centrando la atención en los controles internos. A partir de los años cuarenta, las
organizaciones profesionales de auditoria interna y externa han publicado informes,
recomendaciones y normas acerca de las implicaciones del control interno en las auditorias. Estos
documentos también incluyen la definición y los elementos del control interno, así como las técnicas
para su evaluación y la responsabilidad de las diversas partes implicadas.
Watergate
Hasta mediados de los años setenta, las actividades relativas al control interno predominaban en
las áreas de diseño de sistemas y en auditoria, centrándose en cómo mejorar los sistemas de control
interno y cómo integrarlos en las auditorias. No obstante, a partir de las investigaciones del caso
Watergate llevadas a cabo entre 1973 y 1976, las autoridades legislativas y de control comenzaron a
prestan considerable atención al control interno. Otras investigaciones paralelas, llevadas a cabo por
parte de la Oficina del Fiscal especial del caso Watergate y la Securities and Exclange Commission
revelaron que varias grandes empresas estadounidenses habían estado involucradas en operaciones
ilegales de financiación de partidos políticos y en pagos dudosos o ilegales, entre ellos sobornos a
representantes de gobiernos extranjeros. En respuesta a estas investigaciones se creó un comité
formado por miembros del Congreso para investigar los pagos indebidos a representantes de gobier-
nos extranjeros realizados pon empresas norteamericanas. Se elaboró un proyecto de ley que
finalmente fue aprobado con el nombre de Foreign Corrupt Practices Act, de 1977 (FCPA).
Foreign Corrupt Practices Act, de 1977
Además de las disposiciones contra sobornos, la FCPA contiene disposiciones relacionadas con la
contabilidad y el control interno. Según estas disposiciones, el empresario está obligado a llevar libros,
registros y cuentas que reflejen de manera fiel y exacta las transacciones y la utilización de los activos
de la empresa y a elaborar y mantener un sistema de control interno adecuado para conseguir ciertos
objetivos. Esta ley pretendía que un buen sistema de control interno podía actuar como medida
disuasoria de pagos ilegales.
Inmediatamente después de la aprobación de esta ley, numerosas entidades empezaron a diseñar
sistemas de control interno. Muchas empresas con cotización en bolsa ampliaron el tamaño y las
funciones de sus auditorias internas y examinaron cuidadosamente sus sistemas de control interno.
Además, varios organismos, tanto profesionales como reguladores, estudiaron diversos aspectos del
control interno y emitieron una serie de propuestas y directrices.
La Comisión Cohen
La Commission on Auditors‟ Responsabilities, más conocida como la Comisión Cohen, fue

constituida en 1974 por el AICPA con el fin de estudiar las responsabilidades de los auditores. Una de
las recomendaciones de dicha comisión1 fue que, junto con los estados financieros, la dirección debía
publicar un informe sobre el sistema de control interno de la sociedad. Otra recomendación fue que los
auditores opinaran sobre dicho informe. Después de la publicación de las conclusiones de la Comisión
Cohen en 1978, el Financial Executives Institute (FEI) dirigió un escrito a sus miembros aprobando la
recomendación de la Comisión Cohen en relación a la publicación de un informe sobre el control
interno y dando directrices para su aplicación. Dichos informes han aparecido cada vez con mayor
frecuencia en las memorias anuales dirigidas a los accionistas.
Securities and Exchange Commission (SEC)
En 1979, la SEC continuó en la línea de la Comisión Cohen y del FEI y propuso la introducción de
normas exigiendo a los directivos la publicación de un informe sobre los procedimientos de control
interno contable 2. Las normas propuestas exigían también la presentación de un informe elaborado por
un auditor externo.
La propuesta de la SEC fue importante pon varias razones. Afirmaba que mantener un sistema de
control interno era siempre una responsabilidad importante de la dirección. También sugería que la
información relativa a la eficacia del sistema de control interno de una entidad era necesaria para per-
mitir a los inversores evaluar mejor el cumplimiento de las responsabilidades de la dirección así como
la fiabilidad de información intermedia y otra información financiera no auditada. Aunque la propuesta
fue posteriormente retirada —tras las críticas recibidas por el coste que todo ello suponía, la irrelevan-
cia de la información que se daba y su correlación demasiado estrecha con la FPCA en cuanto al
requisito de lacen mención del cumplimiento de la ley por las empresas— contribuyó a afianzar el
reconocimiento de la responsabilidad de la dirección de mantener un sistema eficaz de control intenno
sobre la información financiera intermedia y demás información no auditada. Al retirar la propuesta, la
SEC afirmó que la cuestión de la emisión de un informe sobre el control interno pon parte de la
dirección senía revisada de nuevo.
El Comite Minahan
En parte como respuesta a la FPCA y a las propuestas de informar sobre el sistema de control
interno, en 1979 el AICPA constituyó un comité especial
—Special Advisory Committee on Internal Control—, encargado de proponer recomendaciones para
establecen y evaluar el control interno. Este comité, que se creá justo antes de la aprobación de la
FPCA, fue instaurado para cubrir el vacío detectado en materia de directrices de control interno. Las
directrices existentes sólo aparecían en bibliografía relativa a la auditoría profesional y habían sido
elaboradas especialmente para los auditores. Se consideró necesario elaborar directrices adicionales
pana ayudar a la dirección en el cumplimiento de sus responsabilidades sobre el control interno. Si bien
ese comité no fue creado específicamente con este fin, declaró que las recomendaciones que contenía
su informe ayudarían a la dirección y a los consejos de administra
ción a considerar si sus empresas cumplían con las disposiciones de control interno establecidas por la
FPCA.
Financial Executives Research Foundation (FERF)
En respuesta a la FCPA, la FERF contrató un equipo de investigadores para estudian la situación

del control interno en las empresas estadounidenses. Una aportación importante del estudio 3, publicado
en 1980, fue la catalogación de las características, condiciones, prácticas y procedimientos de control
interno y la identificación de los diversos puntos de vista con respecto a la definición, naturaleza y
objetivo del control interno, así como la forma de asegurar su eficacia. En 1981, un estudio
complementario4 al anterior identificó criterios conceptuales generales pana evaluar el control interno.
Pronunciamientos de auditoria
Entre 1980 y 1985 se produjo un desarrollo y perfeccionamiento de las normas profesionales de

auditoría relacionadas con el control interno:
 En 1980, el AICPA publicó una norma sobre la evaluación del control interno y los informes
correspondientes, por parte del auditor externo5.
 En 1982, el AICPA publicó una revisión de las directrices relativas a la responsabilidad del auditor
externo en el examen y evaluación del sistema de control interno en el marco de una auditoria de
estados financieros6.
 En 1983, el Institute of Internal Auditors (IIA) publicó una norma dirigida a los auditores intennos que
establecía nuevas directrices sobre la naturaleza del control interno y las funciones de aquellos que
intervienen en su establecimiento y evaluación7.
 En 1984, el AICPA publicó directrices adicionales relativas al efecto de la informática sobre el control
interno 8.
R.K. Mautz, W.G. Kell, M.W. Maher, A.G. Merten, R.R. Reilly, D.C. Severance and B.J. White, Internal Control in U.S. Corporations: The State of the Art
(New York: Financial Executives Research Foundation, 1980).
R.K. Mautz and J. Winjum, Criteria for Management Control Systems (New York: Financial Executives Research Foundation, 1980).
Statement on Auditing Standards N° 30. Reporting on Internal Accounting Control (New York: AICPA, 1980). 6 Statement on Auditing Standards N0 43.
Omnibus Statement on Auditing Standards (New York: AICPA,
1982).
Statement on Internal Auditing Standards N° 1. Control: Concepts and Responsabilities (Altamonte Springs,
FL: The Institute of Internal Auditors, Inc., 1983).
8 Statement on Auditing Standards N0. 48. The Effects of Computer Processing on the Examination of Financial Statements (New York: AICPA. 1984).
Iniciativas legislativas
En torno a 1985 el control interno volvió a ser, y con más intensidad, el centro de atención. A
causa de una serie de fracasos empresariales y errores de auditoria, un subcomité formado por
miembros del Congreso comenzó a indagar sobre diversos acontecimientos relacionados con empresas
con cotización en bolsa, que ponían en duda el comportamiento de la dirección, la presentación correcta
de la información financiera y la eficacia de las auditorias externas.
Durante estas investigaciones se redactó legislación que intentaba corregir los problemas
relacionados con la presentación de la información financiera, incluyendo la obligación de evaluar e
informar sobre la eficacia del control interno pon parte de la dirección de las sociedades con cotización
en bolsa. Uno de los proyectos de la ley contenía una disposición que requería un informe de auditoria
sobre el informe presentado por la dirección.
Aunque la citada legislación no fue aprobada, el subcomité amplió el alcance de sus
investigaciones para examinar otros aspectos del proceso de presentación de la información financiera
y mantuvo el tema de control interno en el centro de la atención publica.
La Comisión Treadway
La National Commission on Fraudulent Financial Reporting, más conocida como la Comisión

Treadway, fue creada en 1985 bajo el patrocinio conjunto de la AICPA, la American Accounting
Association, el FEI, el JIA y el Institute of Management Accountants (IMA, antes National Association
of Accountants). El objetivo principal de la Comisión Treadway era identificar los factores causantes
de información financiera fraudulenta y emitir recomendaciones pana reducir su incidencia. El informe
de la comisión9, publicado en 1987, incluía recomendaciones para la dirección y los consejos de
administración de empresas con cotización en bolsa, para los profesionales de la contabilidad, la SEC y
otros organismos de control y legislativos así como académicos.
La comisión propuso una serie de recomendaciones referentes al sistema de control interno.
Subrayó la importancia del entorno de control, los códigos de conducta, la existencia de comités de
auditoria involucrados y competentes y una auditoria interna activa y objetiva. Reiteró la necesidad de
emitir informes
9 Report of the National Commission on Fraudulent Financial Reporting (National Commission on Fraudulent Financial Reporting, 1987).
sobre la eficacia del control interno. Además, la comisión pidió que las organizaciones patrocinadoras
trabajaran juntas con el fin de integrar los diversos conceptos y definiciones relacionados con el control
interno y desarrollar una base común de referencia. Se sugirió que estas guías generales ayudarían a las
empresas con cotización en bolsa a mejorar sus sistemas de control interno y a juzgar su eficacia.
En base a esta recomendación, y bajo los auspicios del Committee of Sponsoring Organization of
the Treadway Commission, se formó un equipo de trabajo para revisar la bibliografía existente sobre
control interno. El estudio, publicado por el IMA, recomendaba a las organizaciones patrocinadoras que
proporcionaran criterios prácticos y generalmente aceptados para establecer el control interno y evaluar
su efectividad. El equipo de trabajo recomendó que los criterios fueran los adecuados para cubrir las
necesidades de la dirección, dado que es la última responsable en el establecimiento, supervisión,
evaluación e informe sobre el control interno. No obstante, sugirió que los criterios fueran desarrollados
de forma que pudieran ser adoptados por otros grupos con interés en el control interno, tales como
auditores internos y externos, educadores y organismos de control. Este estudio es el resultado de dicha
recomendación.
Iniciativas recientes
Lan surgido otras iniciativas en materia de control interno. En 1988, el Auditing Standards Board del
AICPA publicó una nueva versión de las normas de auditoria relativas al control interno‟0. Esta versión
define de forma más explicita los elementos de la estructura del control interno de una entidad, aumenta
la responsabilidad de comprenderlo por parte del auditor y proporciona directrices sobre la evaluación
del riesgo de control en una auditoria de los estados financieros.
Asimismo, la SEC confirmó, en 1988, la recomendación de la Comisión Treadway en cuanto a la
emisión de un informe sobre el control interno. Propuso un reglamento que, entre otras disposiciones,
exigía a la dirección publicar informes estableciendo su responsabilidad en materia de control interno así
como su evaluación de la eficacia del sistema. La propuesta requería asimismo ciento grado de
participación del auditor externo en el informe presentado por la dirección.
10 Statement on Auditing Standards N0 55. Consideration of the Internal Control Structure in a Financial Statement Audit (New York: AICPA, 1988).
Actualmente, el Auditing Standards Board est~ en proceso de revisión de las normas de información sobre el control interno.
Desde entonces, los legisladores y organismos de control han tomado diversas iniciativas en el
ámbito del control interno. Algunas han ido dirigidas a sectores específicos como bancos, cajas de ahorro
y entidades de crédito y empresas dependientes del Ministerio de Defensa mientras que otras han sido
más generales, pudiendo afectar a todas las entidades inscritas en la SEC. La legislación propuesta
incluía la obligación por parte de la dirección de evaluar e informar sobre la eficacia de sus controles
internos y que un auditor externo acreditara la validez de dichos informes. Uno de estos proyectos de ley
relativo al sector bancario, fue aprobado por la Federal Deposit Insurance Corporation Improvement Act,
de 1991. Los interesados en el tema esperan que surjan más iniciativas de este tipo.
También en 1991 se ultimaron dos iniciativas diferentes que contemplaban cientos aspectos del
control interno. En primer lugar el Institute of Internal Auditors‟ Research Foundation publicó un
informe con directrices sobre el control y la auditoria de los sistemas de información 11 En ese mismo
año, la US Sentencing Commission aprobó unas directrices para el uso del derecho
penal en la determinación de las sanciones correspondientes a delitos cometidos en el entorno
profesional. Estas directrices, que permiten reducir considerablemente las sanciones a las entidades que
cuenten con sistemas efectivos pana prevenir y detectar acciones ilegales, contemplan en gran medida lo
que se consideran controles internos relacionados con el cumplimiento de leyes y normas.
El estudio
A lo largo de los años, se ha desarrollado una gran diversidad de conceptos y puntos de vista
relacionados con el control interno, materializados en proyectos de ley, reglamentos, normas
profesionales y directrices, informes públicos y privados y bibliografía especializada.
El alcance de estos documentos es tan amplio como los posibles objetivos del control interno y las
muchas perspectivas desde las que puede sen contemplado. Contienen distintas definiciones del control
interno, diferentes opiniones acerca de la función del control interno en una entidad y cómo debe sen
establecido, así como opiniones diversas sobre cómo se debe evaluar la eficacia de dicho control.
~ Systems Auditability and Control (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 1991).
12 United States Sentencing Commission, Federal Sentencing Guidelines (Washington, DC, 1991).
El mayor énfasis dado al control interno, tanto por el sector público como el privado, ha aumentado la
sensibilidad de la dirección, los auditores internos y externos, legisladores y organismos de control y
académicos y el público en general hacia la necesidad de un sistema eficaz de control interno para dirigir y
controlan las actividades de una entidad. Este estudio se inició para llegar a una interpretación común del
control interno por todas las partes implicadas y para ayudar a la dirección a ejercer un control más eficaz
sobre las actividades de su organización.
Anexo B
La metodologia
La metodología empleada para realizar este estudio tenia por objeto la elaboración de un informe
que satisficiera los objetivos siguientes: ayudar a la dirección a mejorar los sistemas de control interno
de sus entidades y ofrecer a todas las partes interesadas una interpretación estándar del control interno.
Esta metodología tenia como objetivo la obtención de un informe que sentara las bases teóricas del
control interno, además de satisfacer las necesidades de los directivos y demás responsables en su
implantación a nivel práctico.
Dada la gran diversidad de necesidades, se diseñó el plan del proyecto de forma que contemplara
los puntos de vista de todas las personas que pudieran estar interesadas en el control interno, entre
ellas, ejecutivos, legisladores, miembros de la administración pública, académicos y auditores.
Numerosos directivos de categorías diversas (directores generales, directores financieros, controllers,
auditores internos) pertenecientes a sociedades de distintos tamaños, con cotización en bolsa o no, y
de diferentes sectores, han contribuido a este proyecto.
El proyecto se realizó en siete fases:
1. Recopilación de información: con el fin de identificar los diferentes conceptos, puntos de vista e
interpretaciones que existen respecto al control interno.
2. Entrevistas individuales: para recoger los puntos de vista de personas bien informadas y de
diversa procedencia, sobre cómo controlan las actividades de sus empresas, tanto a nivel teórico
como en la práctica.
3. Cuestionario: con el fin de obtener aportaciones adicionales respecto a determinados aspectos
poco claros en la información obtenida en las fases anteriores.
4. Grupos de trabajo: para obtener comentarios y recomendaciones sobre el primer borrador del
informe.
5. Presentación del informe: con el fin de determinan la validez del informe, su lógica y su utilidad
para los directivos de empresas y otras partes interesadas.
6. Pruebas: con el fin de obtener respuestas adicionales sobre los criterios de evaluación, las
metodologías y las herramientas utilizadas.
7. Segunda presentación y reuniones: con el fin de determinar si las modificaciones al primer
borrador recogían adecuadamente los problemas identificados.
El proyecto fue diseñado como un proceso acumulativo, por lo que no se trataron todas las
materias en cada fase. Los resultados de una fase alimentaban la siguiente y determinaban su
desarrollo posterior. De este modo, los conceptos, elementos y criterios recogidos en este informe
evolucionaron a lo largo del proyecto, siendo el resultado de informaciones recibidas en cada una de
las fases de dicho proyecto.
Como era de esperar, las opiniones sobre los temas tratados eran diversas y a veces
contradictorias, tanto dentro de una fase del proyecto como entre las distintas fases. El equipo del
proyecto sopesaba la validez de las distintas posturas, tanto de forma individual como teniendo en
cuenta su efecto sobre los temas relacionados, otorgando mayor importancia a aquéllas que facilitasen
el desarrollo de criterios pertinentes, lógicos y coherentes.
A lo largo del proyecto, el equipo recibió el asesoramiento y las recomendaciones del Advisory
Council to the Committee of Sponsoring Organizations. Dicho consejo, compuesto por directores
financieros, auditores internos y externos y académicos, se reunía periódicamente con el equipo para
revisar el plan del proyecto, estudiar los borradores del informe y comentar las cuestiones surgidas. El
punto de vista del Advisory Council se refleja sin restricciones en este informe.
A continuación se resumen las fases del proyecto.
Recopilación de información
Se recopiló información con el fin de identificar los diferentes conceptos, puntos de vista e
interpretaciones del control interno, es decir, se identificó información relevante ya publicada. La
información se obtuvo principalmente de dos bases de datos.
Se utilizó la base de datos Accountants Index para identificar la bibliografía relacionada de forma
directa con el control interno. Por otra parte, se recurrió a la base de datos Abstracted Business
Information/Inform para identificar fuentes no relacionadas directamente con el control interno
aplicado a la información financiera, centrándose en campos no relacionados con la contabilidad y la
auditoría. Por ejemplo, se encontraron documentos sobre los criterios de evaluación de Ia eficacia de
un departamento de investigación y desarrollo, de una institución académica y de un centro de
asistencia sanitaria.
El equipo del proyecto leyó resúmenes de aproximadamente 1.700 artículos, libros y otras
publicaciones con información susceptible de ser útil. A partir de dichos resúmenes, se seleccionaron y
leyeron 700 documentos aproximadamente, los cuales se complementaron con información procedente
de otras fuentes aportadas al equipo.
Entrevistas individuales
Se realizaron entrevistas con directores generales, directores financieros, legisladores, miembros
de La administración pública, auditores, consultores de gestión y académicos.
Los directivos de empresa fueron seleccionados mediante un proceso de selección aleatoria
coordinado por la Decision Research Corporation (DRC) con la ayuda de la base de datos FINEX, con
el fin de obtener una muestra representativa basada en el tamaño de las empresas, su localización
geográfica, el sector y la estructura del accionariado. Esta muestra fue completada con otras personas
designadas por la Financial Executives Research Foundation, el Advisory Council y el equipo del
proyecto.
Se realizaron 45 entrevistas individuales según el siguiente detalle:
Directores generales 7
Directores financieros 14
Controllers 2
Auditores internos 1
Legisladores y miembros de la administración pública 8
Directivos de firmas auditoras y consultoras de
distintas dimensiones 8
Académicos 5
TOTAL 45
Muchos entrevistados iban acompañados por colegas de la profesión. Generalmente, dos

miembros del proyecto asistían a las entrevistas, que se realizaban de acuerdo con la guía preparada
por el equipo del proyecto con la cooperación de la DRC. Los resultados de las entrevistas se
resumieron en un formato estándar.
Cuestionario
El cuestionario fue diseñado pana obtener aportaciones adicionales a una serie de temas que,
como consecuencia de las informaciones obtenidas en fases anteriores, el equipo del proyecto
identificó como susceptibles de sen estudiados en mayor profundidad.
Se enviaron cuestionarios a directivos de empresas (directores generales, directores financieros,
controllers y directores de auditoria interna), miembros de consejos de administración y de la
administración pública, legisladores, auditores externos y académicos.
Los directivos incluidos en el mailing fueron seleccionados al azar por la DRC a partir de Ia base
de datos FINEX. La selección de los administradores se hizo en base a los otorgamientos de poderes
publicados durante el año anterior al mailing. El equipo seleccionó los legisladores y miembros de la
administración pública de acuerdo con los datos obtenidos durante las entrevistas individuales y, en el
caso de determinadas categorías funcionales, tales como comisiones de bancos o de aseguradoras, con
la ayuda del Congressional Directory for Committees, Departments or Independent Agencies y del
State Legislative Leadership, Committees & Staff del período 1989-1990. Los auditores externos
fueron seleccionados por el equipo del proyecto a partir de una lista facilitada pon el AICPA, que
incluía socios de auditoría y consultoría de firmas de diverso tamaño y de distintos puntos del país.
Los académicos, entre ellos, profesores universitarios de contabilidad, finanzas y dirección de
empresas, fueron seleccionados a partir del Accounting and Faculty Directory de 1989, así como de
listas recomendadas por los decanos de escuelas de negocios.
Las 522 respuestas recibidas se distribuyen de la siguiente forma:
Directores financieros 108
Controllers 78
Responsables de auditoría interna 86
Miembros de consejos de administración, incluyendo
presidentes y miembros de comités de auditoría
Legisladores y miembros de la administración pública 60
Auditores externos 49
Académicos 81
TOTAL 522
Grupos de trabajo
Se organizaron ocho grupos de trabajo pana obtener comentarios y recomendaciones en relación

al primer borrador del informe. Se organizó un grupo de trabajo con cada una de las cinco
organizaciones patrocinadoras, uno con miembros de organismos legislativos y de control, uno con
directivos del sector de servicios financieros y otro con representantes del Committee on Law and
Accounting de la Business Law Section de la American Bar Association.
Todas las organizaciones patrocinadoras designaron a los miembros de su organización que
debían participar en los grupos. El equipo del proyecto seleccionó a las personas que debían
participar en el grupo de organismos legislativos y de control; el FERF seleccionó los participantes
en el grupo del sector de servicios financieros y el presidente del ABA seleccionó a los participantes
de este último grupo.
Cada grupo fue dirigido por dos miembros del equipo del proyecto. Previamente, los
participantes habían recibido una copia del borrador del informe para que pudiesen identificar los
temas que debían ser discutidos. Los grupos de trabajo constaban de una presentación general del
proyecto y del borrador del informe, seguida por una discusión de los temas identificados en la
lectura previa.
Presentación del informe
Con el fin de recoger comentarios sobre el informe, se distribuyó un borrador del mismo a los
miembros de las cinco organizaciones patrocinadoras, a directores generales, legisladores y
organismos federales. Se distribuyeron más de 40.000 copias.
Se recibieron 211 cartas procedentes de las siguientes categorías profesionales (los
comentarios de organizaciones profesionales se recogen en la categoría correspondiente):
Directores financieros y controllers 107
Auditores internos 37
Legisladores y organismos públicos 12
Auditores externos 23
Académicos 14
Otros 5
TOTAL 211
Pruebas
Con el fin de obtener información adicional, cinco empresas realizaron pruebas sobre los
criterios de evaluación, la metodología y las herramientas utilizadas. Las empresas provenían de
sectores distintos, desde empresas con ventas inferiores a 10 millones de dólares, hasta una
empresa con una cifra de ventas de miles de millones de dólares. Los encargados del análisis
sopesaron cada aspecto, centrándose en al menos una actividad: en algunos casos, la evaluación se
limitó a los controles sobre la información financiera y en otros, se analizaron también los
controles operacionales y de cumplimiento.
Presentación y reuniones
Se distribuyó el informe revisado a las personas que habían contestado a la distribución del
primer borrador, a grupos elegidos por las organizaciones patrocinadoras y a otros que lo
solicitaron. Se distribuyó un total de 3.000 copias aproximadamente y se recibieron 45 cartas con
comentarios.
Se celebraron doce reuniones, con un alcance similar al de los grupos de trabajo, para obtener
comentarios y recomendaciones sobre el borrador revisado. Se celebraron un total de cinco
reuniones con cuatro de las organizaciones patrocinadoras. Asimismo, se celebraron reuniones
con representantes de organismos de control del sector bancario, de la SEC y el General
Accounting Office y del Committee on Law and Accounting de la Business Law Section de la
American Bar Association, así como con miembros del American Banking Association, de
consejos de administración, de comités de auditoría y del AICPA Public Oversight Board. Por otra
parte, se celebró una reunión abierta con aquellos que habían recibido el borrador revisado y que
no habían participado en las otras reuniones.
Agradecimientos
El Project Advisory Council y Coopers & Lybrand desean expresar su agradecimiento a las
personas que hicieron contribuciones importantes a este estudio.
Las siguientes personas aportaron sus comentarios sobre diversos temas durante las reuniones:
Lewis E. Burnham, auditor general, Phillips Petroleum; John H. Dykes, vicepresidente y director
financiero, Engraph Inc.; Wilhiard E. Hick, segundo vicepresidente, Mass. Mutual Life Insurance
Company; James
K. Loebbecke, School of Accounting, College of Business, Universidad de Utah; James L. Moody,
Jr., presidente y director general, Lannaford Bros. Co; Donald S. Perkins, ex-presidente del consejo
de administración, Jewel Companies, Inc.; Owen Robbins, vicepresidente financiero, Teradyne;
Robert J. Sack, profesor, Darden Graduate School of Business, Universidad de Virginia; Edward J.
Sot, controller, Merck & Co., Inc.; John B. Sullivan, socio, Deloitte & Touche; y Dr. Wanda A.
Wallace, School of Business Administration, The College of William and Mary.
Las siguientes personas asesoraron a Coopers & Lybrand en el transcurso del estudio: Henry R.
Jaenicke, profesor de contabilidad, Universidad de Drexel; Alan J. Winters, profesor de contabilidad,
Universidad de Carolina del Sur; y Maureen Berman, Decision Research Corporation.
Roland L. Laing de la Financial Executives Research Foundation coordinó las primeras fases del
estudio.
Muchas otras personas, entre ellas ejecutivos, miembros de la administración pública, auditores
y académicos dedicaron tiempo y esfuerzos participando y contribuyendo en diferentes aspectos de
este estudio.
Anexo C
Interpretaciones de la definición
Muchos grupos utilizan, pero con diferente significado, el término “control

interno” o un termino similar. Para responder a las necesidades de cada grupo se
han creado diferentes términos y definiciones, empleados tanto en la práctica como
en la bibliografía existente sobre el control interno.
Si bien es necesario que laya diferentes acepciones sobre el control interno, la
variedad de las definiciones impide tener una noción clara sobre el mismo. Por ello,
los responsables ejecutivos o financieros, los administradores, los auditores internos
y externos, los legisladores y organismos de control, así como los inversores y los
acreedores, a menudo perciben de forma distinta el control interno.
Antes de intentar definir el control interno, sería necesario revisar el signi-
ficado de las palabras “control” e “interno”, para después considerar las inter-
pretaciones de las distintas partes.
La palabra “control” puede tener las siguientes acepciones: comprobación,
inspección, fiscalización, intervención; dominio, mando, preponderancia; re-
gulación, normal o automática, sobre un sistema‟. Estas definiciones lacen todas
referencia a la guía o dirección de actividades, pero no se centran en el resultado
final deseado. Sin embargo, el concepto de búsqueda de un objetivo deseado si que
aparece en la siguiente definición:
“Ejercer una influencia deliberada para conseguir un objetivo

predeterminado
1 Real Academia Española, Diccionario de la Lengua Española, vigésima primera edición (Espasa Calpe,1992).
2 James R. Beniger, The Control Revolution (Cambridge, MA: Larvard University Press, 1986).
Esta definición engloba dos conceptos estrechamente relacionados:
 Pana ejercen el control, es necesaria la existencia de objetivos predeterminados. Sin

objetivos, el control carece de sentido.
 Ejercer un control implica ejercen influencia sobre alguien o sobre algo
—pon ejemplo, los empleados, una unidad de negocio o toda una empresa— con el
fin de alcanzar los objetivos.
Establecen objetivos y emprender acciones para conseguirlos son elementos

fundamentales del concepto de control. Las acciones pueden consistir en dirigir,
guiar, restringir, regular o gestionar. Peno pana ejercer el control dichas acciones
deben in encaminadas a conseguir unos objetivos preestablecidos.
El diccionario define “interno” de la siguiente forma: “que existe o está situado
dentro de los limites de algo”. A efectos de este estudio, ese “algo” es una entidad o
una empresa. Es decir, el centro de atención es el interior de un negocio o cualquier
otro tipo de entidad, como, pon ejemplo, las universidades, la administración pública,
organizaciones sin fines lucrativos o un plan de prestaciones sociales. De esta forma
el control interno incluiría, por ejemplo, las actuaciones del consejo de administración
de una entidad, los directores u otros empleados, incluyendo auditores internos, peno
excluiría las actuaciones de organismos de control y auditores externos.
Distintas interpretaciones
El hecho de que existan distintas acepciones sobre el control interno no es del todo
indeseable. El control interno está relacionado con los objetivos de la entidad y los
diferentes grupos tienen interés en distintos objetivos por razones varias.
Dirección
La dirección contempla el control interno desde una perspectiva amplia que incluye
toda la organización. Su responsabilidad es desarrollar los objetivos y estrategias de la
entidad, así como dirigir sus recursos humanos y materiales para conseguir dichos
objetivos.
Para la dirección, el control interno cubre diversas áreas, entre las que se encuentran
las políticas, los procedimientos y las actuaciones que ayudan a asegurar que una entidad
logre sus objetivos. Incluye todas las actividades llevadas a cabo, personalmente o de
forma descentralizada, que permiten a la dirección dirigir y supervisar las operaciones,
tener conocimiento de todos
los acontecimientos internos y externos relevantes e identificar y gestionar riesgos.
El control interno permite a la dirección reaccionar rápidamente ante cambios en las
condiciones del entorno. Proporciona información sobre, por ejemplo, niveles de producción,
ventas, existencias y otras áreas que son importantes para tomar decisiones eficientes.
También contempla hechos de carácter más general, como podrían sen cambios tecnológicos,
innovaciones industriales, actuaciones de los competidores, clientes y proveedores, así como
cambios en la legislación. Esto permite a la dirección atenuar efectos negativos o aprovechar
oportunidades emergentes. El control interno también ayuda a la dirección a asegurarse del
cumplimiento de sus obligaciones medioambientales, sociales y legales. Estas obligaciones
incluyen las normas sobre planes de prestaciones a empleados, los reglamentos sobre
seguridad en el trabajo y la normativa sobre la correcta eliminación de residuos peligrosos.
Asegurar el cumplimiento de estas obligaciones protege la reputación de la entidad.
Auditores internos
El Institute of Internal Auditors (IIA) define el control interno como “cualquier acción
emprendida por la dirección para aumentar la probabilidad de conseguir los objetivos y metas
establecidos”, destacando que el control es el resultado de la planificación, organización y
gestión adecuada por parte de la dirección3.
Esta amplia concepción del control interno es consecuente con el punto de vista del IIA
sobre la función de la auditoria interna en una entidad: “la auditoria interna consiste en el
examen y evaluación de los procesos de planificación, organización y gestión con el fin de
determinar si existe una seguridad razonable de que se alcanzarán los objetivos y metas
establecidos”. Todos los sistemas, procesos, operaciones, funciones y actividades de una
entidad quedan dentro del ámbito del control interno. En la práctica, el alcance de la función
de auditoria interna variará en función de sus competencias dentro de la entidad.
Statement on Internal Auditing Standards No. 1. Control: Concepts and Responsabilities (Altamonte Springs, FL: The Institue
of Internal Auditors, Inc., 1983).
Auditores externos
Los auditores externos, debido a su papel de auditores de estados financieros, han enfocado su
concepción del control interno básicamente sobre aquellos aspectos que inciden, positiva o
negativamente, sobre la información financiera de la entidad divulgada a terceros.
En principio, la bibliografía publicada por el AICPA define el control interno, en términos generales,
de la siguiente forma: “las políticas y los procedimientos establecidos pana proporcionar una seguridad
razonable de que los objetivos específicos de una entidad podrán alcanzarse” .4„. Esta definición es
coherente con las interpretaciones de la dirección y los auditores internos antes mencionadas.
Sin embargo, esta definición general es delimitada posteriormente para identificar los aspectos del
control interno relacionados con las responsabilidades del auditor externo. Esta delimitación se realiza
destacando que las políticas y procedimientos son relevantes para la auditoria de los estados financieros
de una entidad cuando “se refieren a la capacidad de la misma de registrar, procesar, resumir y publicar
información financiera de conformidad con la información contenida en los estados financieros”
Si bien para la planificación de la auditoria los auditores externos adquieren conocimientos del
negocio de la entidad y el sector en la que opera (incluyendo sus objetivos, estrategias y su posición
respecto a la competencia), no es necesario efectuar un análisis profundo de la totalidad del control
interno pana auditar los estados financieros de la entidad.
Otros terceros
Legisladores, organismos de control, inversores y acreedores tienen todos ellos una concepción
diferente del control interno.
Los legisladores y los organismos de control han desarrollado diversas definiciones del control
interno que se ajustan a sus responsabilidades. Estas definiciones suelen relacionarse con los tipos de
actividades que supervisan y pueden incluir la consecución de las metas y objetivos de la entidad, la
obligación de divulgar la información financiera, el uso de los recursos de conformidad con las leyes y
reglamentos, y la salvaguarda de los recursos frente al despilfarro, pérdida y uso indebido. En
determinados casos, como en el Foreign Corrupt Practices Act (FCPA) de 1977, el gobierno se la
centrado en
Statement on Auditing Standards No. 55. Consideration of the Internal Control Structure in a Financial Statement Audit (New York:
AICPA, 1988), para 6.
Ibid.
una área en particular. Según la definición del FCPA, el control interno debe proporcionar una seguridad
razonable en cuanto a la consecución de ciertos objetivos relacionados con la ejecución de transacciones
autorizadas por la dirección, el registro de las transacciones para poder preparar los estados financieros de
acuerdo con principios contables generalmente aceptados y para mantener un sistema adecuado de control
sobre los activos, restringiendo el acceso a los mismos y comparándolos con los registros contables.
Los inversores y los acreedores necesitan información, básicamente financiera, que suele ser del
mismo tipo que la examinada por los auditores externos. Otros terceros necesitan otro tipo de información
sobre una entidad; sin embargo, estas personas tienen una capacidad limitada a la hora de exigir que las
empresas proporcionen dicha información y normalmente no están en situación de imponer su
interpretación del control interno.
Definición
A pesar de la diversidad de interpretaciones, existen puntos en común. Generalmente se considera que

el control interno se refiere a un conjunto de actividades llevadas a cabo dentro de una organización.
También existe consenso en cuanto a que la finalidad del control interno es ayudar a alcanzar los objetivos
de una entidad, siendo así un medio para conseguir un fin. También está comúnmente reconocido que el
control interno constituye un conjunto de acciones positivas realizadas por una entidad para fomentar un
comportamiento apropiado por parte de sus empleados. Estas interpretaciones comunes son consecuentes
con la ya mencionada definición de control, a saber: “influencia deliberada pana conseguir un objetivo
predeterminado” y nos llevan a la conclusión de que existen dos elementos esenciales para cualquier
definición del control interno:
 Deben existir objetivos que la entidad quiera alcanzar.

 Deben tomarse acciones pana alcanzar tales objetivos.
Aunque los distintos interesados puedan utilizar definiciones diferentes, cualquier definición en
particular debe ser lo suficientemente precisa como para evitar malentendidos y expectativas no realistas.
Dado que la consecución de los objetivos es la razón pon la cual se implantan controles internos, su
definición básica debería ser integral —lo suficientemente amplia como para cubrir la mayoría de los
objetivos aplicables a todas las entidades— y al
- mismo tiempo, lo bastante estructurada para permitir una delimitación de su significado, a un solo
objetivo o a una categoría de objetivos. La relación entre el control interno y los objetivos proporciona la
base para establecer una definición básica, a partir de la cual se pueden extrapolar todas las demás
definiciones.
Definición básica
En este estudio se utiliza una definición básica que reúne las características necesarias:
El control interno es un proceso efectuado por el consejo de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionan una seguridad razonable en cuanto a
la consecución de objetivos dentro de las siguientes categorías:

Las tres categorías de objetivos son diferentes, aunque a veces se solapan,

en general, responden a necesidades distintas. En general, la mejor forma de evaluar la eficacia de
los controles es verificándolos para las tres categorías por separado.
El control interno implantado en una de estas categorías, o en todas ellas, puede sen eficaz e ineficaz.
El control interno será considerado eficaz si el consejo de administración y la dirección tienen una
seguridad razonable acerca de:
 La medida en que se están alcanzando los objetivos de la entidad.

 Los estados financieros divulgados a terceros se preparan con fiabilidad.
 Se están cumpliendo las leyes y normas que sean aplicables.
Definiciones especificas
Una entidad puede considerar la eficacia de las tres categorías de objetivos, o centrarse en alguna
de ellas en particular, y quizás sólo en ciertas actividades dentro de una categoría. Por esta razón, son
necesarias ciertas definiciones especificas para determinadas actividades u objetivos. La identificación
y descripción de objetivos específicos permiten la elaboración de las definiciones de control interno
correspondientes, a partir de la definición
Una definición específica de control interno básica, referente a la eficacia y eficiencia de las actividades de ventas,
derivada de la definición, sería a la siguiente:
El control interno sobre las operaciones de ventas es un proceso, implantado por el director comercial y otros empleados de la
empresa, diseñando para obtener una seguridad razonable de que se están alcanzando los objetivos señalados en el presupuesto
de ventas de l9xx.
El control interno sobre las operaciones de ventas podrá ser evaluado como eficaz cuando el director comercial obtenga
una seguridad razonable acerca de la medida en que se están alcanzando los objetivos señalados en el presupuesto de ventas de
l9xx de la entidad.
En relación con el objetivo de información financiera fiable, una posible definición sería:
El control interno sobre la preparación de los estados financieros públicos es un proceso, realizado por el consejo de
administración, la dirección y resto del personal de una entidad, destinado a obtener una seguridad razonable acerca de la
fiabilidad de dichos estados financieros.
El control interno sobre la preparación de los estados financieros públicos será eficaz cuando el consejo de
administración y la dirección de una entidad tengan la seguridad razonable de que la preparación de dichos estados
financieros es fiable.
Asimismo, una definición para el objetivo de cumplimiento con la reglamentación gubernamental sobre contratación
seria como sigue:
El control interno sobre el cumplimiento de la reglamentación gubernamental sobre contratación es un proceso, realizado por
el consejo de administración, la dirección y el personal de una entidad, destinado a obtener una seguridad razonable de que se
están cumpliendo dichos reglamentos.
El control interno sobre el cumplimiento de la reglamentación gubernamental sobre contratación será eficaz cuando el
consejo de administración y la dirección de una entidad tengan la seguridad razonable de que se están cumpliendo todos los
requisitos gubernamentales sobre la contratación que le sean aplicables.
Anexo D
Análisis de los comentarios
Tal como se ha señalado en el Anexo B, se publicó un borrador de este informe para obtener
comentarios al mismo, recibiéndose 211 cartas. Las cartas recogen miles de comentarios sobre las
diversas cuestiones tratadas en el informe. Posteriormente, se distribuyó un borrador modificado a
los encuestados que habían respondido al primer borrador; el borrador modificado fue utilizado en
las reuniones celebradas para tratar su contenido. Esa segunda fase generó 45 cartas de
comentarios y multitud de comentarios verbales. Se tuvieron en cuenta todos los comentarios al
elaborar los distintos borradores del informe.
En este anexo se resumen los comentarios más importantes, así como las modificaciones
resultantes reflejadas en la versión final del informe. También se exponen las razones por las que
ciertos puntos de vista fueron aceptados y otros no.
Definición
Alcance de la definición
El primer borrador definió el control interno de forma general, contemplando la consecución
de todas las categorías de objetivos de la entidad:
eficacia y eficiencia en las operaciones, fiabilidad de la información financiera y cumplimiento de
las leyes y normas en vigor. Algunos encuestados apoyaron la definición general, pero otros
consideraron que era demasiado global y que debía centrarse únicamente en los objetivos
relacionados con la
información financiera. Estos últimos indicaron que la definición general podía dar lugar a expectativas no
realistas y malentendidos respecto de la capacidad de la entidad para conseguir todos sus objetivos y que
no estaba en consonancia con las directrices respecto a la información divulgada para terceros, que se
limitan a la fiabilidad de la información financiera.
Se llegó a la conclusión de que se debía mantener una definición general, por varios motivos:
 Un concepto básico en todo marco de análisis es que defina el objeto en su conjunto, así como sus
componentes. Por lo tanto, un análisis del control interno debe definir lo que éste abarca en su
totalidad, así como sus categorías especificas. Una definición general, junto con la identificación de
los componentes facilitará la comunicación, evitará los malentendidos y reducirá la diferencia entre lo
que se espera del control interno y lo que, en la práctica, éste es capaz de proporcionar.
 Una definición general del control interno puede englobar interpretaciones más precisas. La
definición propuesta en este informe incluye la mayoría, si no todas las definiciones más concretas
que han sido sugeridas y permite poner mayor énfasis sobre conceptos específicos.
 Las tres categorías del control interno —operaciones, información financiera y cumplimiento de
legislación— están relacionadas entre si, mientras que el control interno mismo está integrado en el
negocio y la gestión. Se perderían estas relaciones al utilizar una definición concreta, limitada, por
ejemplo, a la información financiera.
Categorías de objetivos
El primer borrador presentó tres categorías de objetivos pero sin reflejarlos explícitamente en
la definición formal del control interno. Algunos encuestados consideraron que las categorías de
objetivos debían incluirse en la definición.
Se acordó la inclusión explicita de las tres categorías en la definición por dos motivos: por su
importancia básica en el control interno y porque su enumeración dejaría claro que se podía prestar
atención a una de esas categorías en concreto.
Proceso
El primer borrador definió el control interno como un proceso. Algunos encuestados estuvieron de
acuerdo con este concepto, pero otros opinaron que el control interno es un estado o una condición.
LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO
Se llegó a la conclusión de que, en efecto, el control interno es un proceso y que debía ser
definido como tal a fin de evidenciar su relación con el proceso de gestión y su naturaleza
dinámica. Sin embargo, a fin de reconocer que el procedimiento puede ser identificado como un
cierto estado o condición, se acordó presentar otra definición en relación al estado del control
interno. Por consiguiente, el informe final contempla dos definiciones: una del control interno,
como proceso, y otra del control interno “eficaz”, como estado o condición del proceso.
Objetivos específicos
La definición enunciada en el primer borrador se refería a la consecución de “objetivos

específicos”. Algunos encuestados sugirieron que un término más acertado seria “los objetivos
específicos de la entidad”, al entender que no existen objetivos comunes a todas las entidades.
Se ha modificado el informe para reflejar esta observación. La definición del control
interno eficaz refleja la idea de que los objetivos relacionados con las operaciones son distintos
en cada entidad. La definición si mantiene, sin embargo, la idea de que los objetivos
relacionados con la fiabilidad de la información financiera y el cumplimiento de las leyes y
normas en vigor son establecidos principalmente por terceros y son generalmente los mismos
para todas las entidades.
Seguridad razonable
La definición del primer borrador incluyó el término “seguridad razonable”. Algunos

encuestados manifestaron que, si bien el control interno no puede dar una seguridad absoluta,
no se debía emplear la palabra “razonable” porque la dirección podría utilizarla para eludir
responsabilidades. Otros consideraron que la palabra “seguridad” no era adecuada porque
implicaba una garantía de que siempre se cumplirían los objetivos. Como alternativa, se sugirió
6 el término “probabilidad razonable”.
Se ha mantenido el término “seguridad razonable” en la definición por considerar que
describe de la mejor manera posible las limitaciones del control interno. Gran parte de la
bibliografía existente sobre la materia emplea este termino, que se utiliza de forma habitual en el
mundo empresarial. Para comunicar mejor el significado de la seguridad razonable, en el
informe final se ha vinculado el concepto de forma más directa con las materias tratadas en el
capitulo sobre las limitaciones del control interno. Esta vinculación directa pretende representar
de forma más completa el concepto de seguridad razonable, así como dar cabida a los puntos
propuestos por los encuestados.
Otro comentario relacionado con el término “seguridad razonable” se centra en la cuestión
de a quién se ofrece esta seguridad. El informe final deja claro que el control interno es una
herramienta de gestión para ser utilizada por y para la dirección y el consejo. (Al publicar un
informe de gestión, la dirección afirma públicamente que ella y el consejo tienen una seguridad
razonable en cuanto a la consecución de los objetivos especificados.)
Mención de los componentes en la definición
La definición del primer borrador incluía los nueve componentes del control interno. Algunos
encuestados propusieron su eliminación de la definición porque la hacían demasiado
extensa, lo que dificultaba su comprensión. Otros sugirieron que se conservaran los
componentes porque, al constituir un elemento fundamental en el marco de análisis del
control interno, debían formar parte de la definición. Es más, mantenerlos en la definición
ayuda a transmitir la idea de que todos los componentes son aplicables a cada una de las
tres categorías de objetivos.
Se concluyó que se podían eliminar los componentes de control interno de la definición
para reducir su extensión sin perder la claridad o la importancia atribuida a los conceptos
correspondientes a los diferentes componentes. Asimismo, con el fin de describir mejor las
relaciones entre las categorías de objetivos y los componentes, se ha incluido una tabla
ilustrando dichas relaciones.
Consecución de los objetivos relacionados con las operaciones
Algunos encuestados opinaron que la definición del primer borrador daba a entender que
para tener un control interno eficaz, la entidad debía alcanzar todos sus objetivos, incluyendo
los objetivos relativos a las operaciones. En general, estaban de acuerdo con la idea de que el
sistema de control interno puede proporcionar información sobre el grado de realización de los
objetivos operativos y propusieron modificar la definición para reflejar mejor este hecho.
La incorporación en el informe final de una definición del control interno eficaz responde
a dicha propuesta. El informe define de forma explicita el control interno eficaz sobre las
operaciones, precisando que esta eficacia se consigue cuando la dirección y el consejo de
administración disponen de información apropiada sobre en qué medida los objetivos
operativos de la entidad son susceptibles de ser alcanzados.
157
Fiabilidad de la información financiera
El borrador utilizaba el término “fiabilidad” de la información financiera. Algunos

encuestados señalaron que el término tenia connotaciones negativas de responsabilidad, por lo
que debía ser sustituido. Por las mismas razones, opinaron que debía evitarse el uso del
término “materialmente correcto”.
El informe final mantiene el término “fiable” porque es de uso común, si bien lo define en
el contexto de la preparación de estados financieros que proporcionen una imagen fiel de la
entidad, apoyado en afirmaciones concretas respecto de los estados financieros. Se eliminó el
término “materialmente correcto”.
Salvaguarda de activos
Aquellos encuestados que opinaban que la definición del control interno debía limitarse
únicamente a los objetivos de la información financiera, también sugirieron la inclusión de
objetivos relacionados con la salvaguarda de activos.
El informe final tiene en cuenta dicho comentario, señalando que, si bien los objetivos de
salvaguarda están relacionados con los objetivos operativos, determinados aspectos de dicho
concepto quedan enmarcados dentro de cada una de las categorías de objetivos: operaciones,
información financiera y cumplimiento y normas que sean aplicables. El informe final contiene
comentarios adicionales acerca de las circunstancias en las cuales se podrían incluir deter-
minados controles de salvaguarda de activos en la categoría de objetivos relacionados con la
información financiera.
Componentes del control interno

Agrupación de los componentes
Algunos de los encuestados que habían hecho comentarios sobre los componentes del
control interno estuvieron de acuerdo con los componentes propuestos. Otros, en cambio,
opinaron que nueve eran demasiados, produciéndose coincidencias y reiteraciones entre los
mismos. Se realizaron numerosas sugerencias para la reestructuración de los componentes.
Se llegó a la conclusión de que se podía racionalizar la estructura de los
componentes, eliminando las repeticiones innecesarias sin afectar a la esencia del texto,
realizando la siguiente reestructuración:
157
Primer borrador Informe final

Integridad, valores éticos y competencia Entorno de control
profesional Entorno de control
Objetivos
Evaluación de riesgos Gestión de cambios Evaluación de los riesgos
Procedimientos de control Actividades de control
Sistemas de información Comunicación Información y comunicación
Supervisión Supervisión
El componente “objetivos” ha sido eliminado como componente independiente. Se ha adoptado el

criterio de algunos encuestados, a saber, que el establecimiento de objetivos forma parte del proceso de
gestión, pero no del control interno. El informe final contempla esta distinción, y considera que el
establecimiento de objetivos es una condición previa al control interno.
Se efectuaron dos cambios en la terminología utilizada. La expresión “procedimientos de control” fue
sustituida por “actividades de control”, para remarcar que engloba tanto las políticas como los
procedimientos necesarios para poner a aquéllas en práctica. El término “sistemas de información” ha sido
sustituido por “información”, para que no parezca que se limita a sistemas informáticos. El componente
“información (y comunicación)” es un concepto mucho más amplio.
Determinación de la eficacia
Algunos encuestados pusieron en tela de juicio la afirmación del borrador según la cual los nueve
componentes han de estar presentes para poder concluir que el control interno es eficaz. Señalaron que se
debían considerar los componentes en su conjunto, no siendo necesaria su presencia de forma
individualizada para que el control interno fuera eficaz. Sugirieron que el informe reconociese que las
deficiencias en unos componentes podían ser compensadas con otros componentes.
Se llegó a la conclusión de que el concepto presentado en el borrador, a saber, que todos los
componentes debían estar presentes para que el control
interno fuera eficaz debía mantenerse en el informe. Sin embargo, también se ha reconocido la
validez de la opinión según la cual las debilidades de determinados componentes pueden
quedar compensadas por los otros. El informe final reconoce que los controles de un
componente pueden compensar los controles deficientes en otro, destacando que la existencia
de controles complementarios en los distintos componentes pueden, en conjunto, proporcionar
un control interno eficaz.
El control interno y el proceso de gestión
Actividades de gestión
Algunos encuestados dijeron que el control interno es únicamente una parte, aunque
importante, del proceso de gestión y que el primer borrador definía el control interno
incorrectamente, dando a entender que engloba, o que parece englobar, todo el proceso de
gestión. Estos encuestados consideraron que la definición sugería que el control interno
puede garantizar la consecución de los objetivos de la entidad por parte de la dirección, lo
que puede agravar la distancia entre lo que se espera del control interno y lo que realmente
es capaz de realizar.
En respuesta a estos comentarios, se ha hecho una distinción muy clara en el informe final
entre el control interno y otros aspectos del proceso de gestión. Se ha precisado claramente que
muchas responsabilidades de gestión, tales como el establecimiento de objetivos, la toma de
decisiones empresariales, realización de transacciones e implantación de planes, figuran entre
las actividades que están integradas en el sistema de control interno, pero sin formar parte de él.
Prevenir las quiebras
Además de las observaciones descritas anteriormente, algunos encuestados opinaron que el

borrador daba a entender que un control interno eficaz podía prevenir la quiebra y otros
problemas en la entidad, lo cual también podía incrementar la diferencia entre lo que se espera
del control interno y lo que éste es capaz de proporcionar. Sugirieron una presentación más
detallada de las limitaciones inherentes al control interno.
El informe final pone un mayor énfasis en las limitaciones inherentes al control
interno, señalando explícitamente que el control interno no puede garantizar la
consecución de los objetivos, y que no es una panacea. La incorporación
de una definición de control interno eficaz y la clarificación de la distinción entre el control
interno y el proceso de gestión (comentado en párrafos anteriores) también pretenden dar cabida
a dichas observaciones.
Responsabilidad de la dirección
Algunos encuestados sugirieron que el informe debía ser más concreto en cuanto a la
responsabilidad de la dirección frente al consejo de administración.
El informe fue modificado para dejar claro que la dirección es responsable del sistema de
control interno y que es responsable ante el consejo de administración del establecimiento de un
sistema que proporcione una seguridad razonable acerca de la consecución de los objetivos de la
entidad. El consejo de administración, por su parte, dirigirá y supervisará las actividades,
aportando directrices sobre la forma de llevarlas a cabo.
El consejo de administración y comité de auditoria
Algunos encuestados sugirieron que el informe debía recomendar que los comités de
auditoria estuviesen formados únicamente por consejeros independientes, pues su independencia
aumentaría la eficacia del comité. Algunos encuestados opinaron que los consejos de
administración deben estar formados mayoritariamente por consejeros independientes, para que
el sistema de control interno pueda ser eficaz. Según ellos, sólo un consejo de administración
formado de esa manera podrá oponerse a las acciones de la dirección y juzgar con objetividad la
integridad y los valores éticos de los directivos.
Se consideró conveniente resaltar los beneficios de la existencia de un comité de
auditoria independiente, por lo que el informe final incluye recomendaciones y requisitos
para la puesta en marcha de comités de auditoria independientes. También indica su
utilidad y conveniencia, reconociendo, no obstante, que para algunas empresas existen
limitaciones prácticas. El informe final deja claro que es necesario un consejo de
administración activo para que el control interno sea eficaz (con la excepción de entidades
pequeñas dirigidas por sus propietarios en los que no existen otros accionistas). Aunque no
se considera esencial que exista una mayoría de consejeros independientes, silo es que
tengan un peso importante en el consejo.
Entidades grandes y pequeñas
Algunos encuestados indicaron que el borrador parecía estar dirigido únicamente a las
grandes entidades, no siendo aplicable para la pequeña y mediana empresa.
Se concluyó que, aunque se pretendía que el informe fuera aplicable a todo tipo de
empresas, especialmente a las empresas pequeñas que necesitan orientación a la hora de evaluar
y mejorar sus sistemas de control interno, dicha pretensión no había quedado suficientemente
reflejada. Por dicho motivo, se ampliaron los comentarios sobre la aplicabilidad de los conceptos
del control interno en la pequeña y mediana empresa. Estos comentarios figuran, en el informe
definitivo, dentro de los capítulos referentes a los componentes del control interno.
Información divulgada a terceros

El borrador del informe contenía un capitulo sobre la información del control interno que
debía ser proporcionada a terceros. Algunos encuestados opinaron a favor, otros lo hicieron en
contra, mientras que otros presentaron propuestas alternativas.
Los encuestados contrarios a la inclusión de esta información argumentaron que quedaba
fuera del alcance del estudio, puesto que el propósito era desarrollar un marco de análisis para el
control interno. El estudio es el resultado de una recomendación de la Comisión Treadway a las
organizaciones patrocinadoras en cuanto a la realización de un trabajo conjunto para desarrollar
una definición común del control interno, así como formular directrices para evaluar su eficacia y
mejorarlo. Tal como se indica en el borrador, la publicación de información sobre el control
interno no es un componente del control interno, pues no es necesario que una entidad informe
sobre su sistema de control interno para que éste sea eficaz. Por otra parte, dichos encuestados
opinaron que la publicación de información sobre el control interno es un asunto que debe ser
resuelto por la legislación y los organismos de control correspondientes.
Los encuestados a favor de la inclusión de dicha información consideraban que se trataba de
un tema importante para la dirección, que debía estar estrechamente vinculado a un informe que
pretende diseñar un marco de análisis del control interno. Señalaron que muchas empresas que
cotizan en bolsa incorporan un informe sobre el control interno en sus cuentas anuales, por lo que
podría ser útil incluir directrices sobre su elaboración.
Por último, algunos encuestados sugirieron que el estudio sobre la publicación de
información sobre el control interno formase parte de un anexo o documento independiente.
Indicaron que, aunque el tema no debía incluirse dentro del marco de análisis del control interno,
si seria útil proporcionar una serie de directrices al respecto.
Finalmente, se concluyó que el estudio sobre la publicación de información sobre el control
interno debía separarse del documento principal sobre el marco de análisis del control interno, ya
que la publicación de información sobre el control interno no tiene relación con la definición del
control interno ni con la determinación de su eficacia. Sin embargo, dado el elevado número de
empresas que publican informes sobre el control interno o que se lo plantean, se decidió que la
presentación del estudio proporcionaría información útil y que podría contribuir a una mejor y
más coherente comunicación a los lectores del informe. Por consiguiente, el estudio se presenta
en un documento independiente.
Otras consideraciones
Concepto de persona prudente
Al tratar las limitaciones inherentes a todo sistema de control interno, el borrador describía
el concepto de persona prudente. Algunos encuestados consideraron que no era apropiado
incluirlo puesto que dicho concepto se refiere a La responsabilidad legal de los autores de actos
dolosos.
Se ha sustituido este punto por un comentario sobre la necesidad de tomar, con buen juicio,
las decisiones referentes al control interno.
Forma y presentación
Los encuestados también opinaron sobre la extensión, el formato, el estilo y el tono del
borrador, aportando una serie de ideas para la presentación y simplificación del informe.
En base a los comentarios recibidos, se concluyó que debía reestructurarse el borrador y
reducir su extensión. El resumen del borrador fue sustituido por un resumen más breve, incluido
en este documento. Se han publicado en documentos individuales el capítulo sobre la
información a divulgar a terceros referente al control interno y las herramientas de gestión,
debido a que complementan el cuadro de análisis del control interno, aunque sin ser parte
integrante del mismo. Por otra parte, se han reducido las reiteraciones y se ha simplificado la
redacción del informe.
Bibliografía
Algunos encuestados propusieron incluir una bibliografía compuesta por los artículos y
demás publicaciones utilizados durante la fase de estudio del proyecto.
Se decidió no incluir esta bibliografía porque constituye sólo una de las muchas fuentes de
información utilizadas al desarrollar el marco de análisis y porque, debido a que los resultados
de una fase del proyecto eran utilizados como punto de partida para la siguiente, no existe una
relación directa entre la bibliografía y el informe final. Por consiguiente, se concluyó que la
inclusión de una bibliografía no seria de utilidad y que, de hecho, podría crear confusiones.
Glosario
Algunos encuestados manifestaron que podía ser útil la inclusión de un glosario con los
principales términos utilizados en el estudio.
Se incluyó dicho glosario porque se consideró que, de este modo, se facilitaría la
comprensión de dichos términos y la comunicación de los conceptos básicos.
Herramientas de evaluación
Algunos encuestados consideraron que podía interpretarse que las herramientas de

evaluación eran normas para la evaluación de la eficacia del control interno. Expresaron la
preocupación de que, en caso de que la dirección se viera legalmente obligada a informar sobre
el control interno, cabía la posibilidad de que los legisladores esperasen que las herramientas
de evaluación sustituyeran los métodos de evaluación actualmente utilizados en sus entidades.
Otros encuestados opinaron que las herramientas de evaluación constituían una ayuda
importante.
Se incluyeron las herramientas en el borrador con la pretensión de ilustrar una técnica,
entre muchas, que podían ser utilizada parcial o totalmente en una evaluación de control
interno o, incluso, no ser utilizada en absoluto. El informe final expresa esta pretensión de
forma más clara, poniendo especial énfasis en que se han incluido las herramientas sólo como
guía para mostrar una forma de realizar la evaluación. Con La finalidad de subrayar que las
herramientas no forman parte directa del documento de análisis principal, se han publicado en un
documento independiente. Por otra parte, se resaltó la necesidad de que aquellas entidades que
utilicen las herramientas propuestas las adapten a sus propias necesidades.
Reglamentación innecesaria
Algunos encuestados expresaron la preocupación de que el marco de análisis podía dar lugar
a una reglamentación innecesaria, altos costes de implantación y mayor responsabilidad. Esta
cuestión tiene relación con la preocupación sobre la amplitud de La definición del control interno
y la información que debe proporcionar la dirección.
Como ya se ha mencionado anteriormente, la definición que figura en el informe final
resalta las diferencias entre las tres categorías del control interno, analizándolas de forma
pormenorizada. Asimismo, la sección de “Información a terceros” amplia los comentarios acerca
de las diferencias y ofrece directrices explicitas únicamente respecto a la segunda categoría, los
controles sobre la información financiera.
Existe la posibilidad de examinar los comentarios al informe, que se encuentran

depositados en la biblioteca del American Institute of Certified Public
Accountants, 121] Avenue of the Americas, New York, NY, 1 0036-8775,
U.S.A.
Anexo E
Glosario
Categoría
Uno de los tres grupos de objetivos de control interno, actividades de control o controles. Las
categorías son la eficacia y eficiencia de las operaciones, la fiabilidad de la información financiera y el
cumplimiento de las leyes y normas que sean aplicables. Las categorías se solapan de modo que un
objetivo concreto puede, por ejemplo, pertenecer a más de una categoría.
Componente
Uno de los cinco elementos de control interno. Los componentes de control interno son: el
entorno de control, la evaluación de los riesgos, las actividades de control, la información y
comunicación, y la supervisión.
Control
1) Sustantivo utilizado como sujeto para indicar la existencia de una política o procedimiento
que forma parte del control interno. Un control puede existir dentro de cualquiera de los cinco
componentes de control interno. 2) Sustantivo utilizado como complemento, para indicar el
resultado de políticas y procedimientos diseñados para controlar.
Controlar
Regular. Establecer o implantar una política mediante la cual se ejerce control.
Control detectivo
Control diseñado para detectar un acontecimiento o resultado no intencionado (compárese con
Control preventivo).
Controles de las aplicaciones

Los procedimientos programados en el software de las aplicaciones y los procedimientos manuales
correspondientes, diseñados para asegurar la totalidad y la exactitud de la información procesada. Por
ejemplo, verificaciones programadas de la información introducida en el ordenador, verificaciones de las
secuencias numéricas y procedimientos manuales para realizar el seguimiento de los informes de
excepciones.
Controles generales
Políticas y procedimientos que contribuyen a asegurar el funcionamiento correcto y continuado de los
sistemas informáticos. Incluyen controles sobre las operaciones de los centros de proceso de datos, la
adquisición y el mantenimiento de los sistemas, los controles de acceso y el desarrollo y mantenimiento de
las aplicaciones. Los controles generales apoyan el funcionamiento de los controles programados de las
aplicaciones. Otros términos utilizados para describir los controles generales son “Controles generales
informáticos” y “Controles informáticos”.
Controles informáticos
1) Controles llevados a cabo por el sistema informático, es decir, controles
programados en el software (compárese con Controles manuales). 2) Controles sobre el procesamiento
informático de la información, que comprenden los controles generales y los de las aplicaciones (tanto
programados como manuales.
Controles jerárquicos
Controles llevados a cabo por uno o más responsables de cualquier nivel de la organización.
Controles manuales
Controles que son ejecutados manualmente y no a través del sistema informático (compárese con
Controles informáticos, 1.a acep.).
Control interno
Un proceso efectuado por el consejo de administración, la dirección y los demás empleados de
una entidad, diseñado para proporcionar un grado de seguridad razonable con respecto a la
consecución de objetivos dentro de las siguientes categorías
Cuando un sistema de control interno cumple unos criterios específicos se puede considerar eficaz.
Control interno eficaz

El control interno puede considerarse eficaz en cada una de las tres categorías, respectivamente, si el consejo de
administración y la dirección tienen la seguridad razonable de que:
 Conocen en qué medida se están consiguiendo los objetivos operacionales de la entidad.

 Los estados financieros públicos se han preparado de manera fiable.
 Se están cumpliendo las leyes y normas que sean aplicables.
Se trata de una condición del control interno.
Control preventivo
Control diseñado para evitar que se produzca un resultado o acontecimiento no intencionado (compárese con Control
detectivo).
Criterios
Pautas a través de las cuales se puede determinar la eficacia del sistema de control interno. Los cinco componentes
del control interno, considerados desde la perspectiva de las limitaciones inherentes del control interno, representan
criterios de eficacia del control interno para cada una de las tres categorías de control. Para la categoría fiabilidad de la
información financiera, existe un criterio más detallado: el concepto de deficiencia significativa.
Cumplimiento
Término que hace referencia al cumplimiento de las leyes y normas aplicables a una entidad.
Deficiencia
Es un defecto detectado, potencial o real, del control interno o una oportunidad para fortalecer el sistema de control
interno con el fin de incrementar las posibilidades de conseguir los objetivos de la entidad.
Deficiencia a comunicar
Deficiencia de control interno relacionada con la información financiera, es una deficiencia importante en el diseño o
en el funcionamiento del control
interno que pudiera tener un efecto negativo en la capacidad de la entidad para registrar, procesar, resumir
y presentar la información financiera de acuerdo con las aseveraciones de acuerdo implícitas efectuadas
por la dirección en los estados financieros.
Diseño
1) Utilizado en la definición de control interno, el diseño del sistema de control interno tiene como
propósito proporcionar un grado de seguridad razonable acerca de la consecución de los objetivos.
Cuando dicho propósito se logra, se puede considerar que el sistema es eficaz. 2) La forma en que debería
funcionar un sistema, en contraposición a cómo funciona realmente.
Efectuado
Usado en relación a un sistema de control interno: diseñado y mantenido.
Elusión de controles por parte de la dirección

Acciones de la dirección para dejar de aplicar, por razones ilegitimas, unas políticas o unos
procedimientos establecidos con el objeto de obtener un beneficio personal, mejorar la imagen de la
situación financiera o encubrir el incumplimiento de leyes y reglamentos en vigor (compárese con
Intervención por parte de la dirección).
Entidad
Organización de cualquier tamaño, creada para un propósito concreto. Una entidad puede ser, por
ejemplo, una empresa comercial, una organización sin mínimo de lucro, un organismo gubernamental o
una institución académica. Organización y empresa se utilizan como sinónimos.
Estados financieros públicos

Son los estados financieros o cuentas anuales, los estados financieros intermedios o resumidos,
además de los datos relevantes derivados de dichos estados financieros, tales como la publicación de
resultados.
Fiabilidad de la información financiera

Utilizado en el contexto de los estados financieros públicos, la fiabilidad se define como la capacidad
de los estados financieros para reflejar la imagen fiel de la entidad de acuerdo con principios contables
generalmente aceptados (u otros principios pertinentes y apropiados) y los requisitos legales aplicables a
la documentación financiera publicada, dentro del contexto de la materialidad. La noción de imagen fiel se
basa en cinco aseveraciones implícitas sobre los estados financieros: existencia, totalidad, derechos y
obligaciones, valoración y presentación y desglose. En el caso de estados financieros intermedios
o resumidos o datos relevantes derivados de dichos estados
financieros, los factores que representan la presentación correcta y
las afirmaciones previamente mencionadas sólo son aplicables en la
medida en que sean relevantes.
Información financiera
Utilizada junto con “objetivos” o “con troles” se refiere a la fiabilidad de los estados financieros públicos.
Integridad
Honradez, honestidad y sinceridad. El deseo de hacer lo correcto. Profesar con una serie de valores y
expectativas y actuar de acuerdo con los mismos.
Intervención por parte de la dirección

Actuaciones llevadas a cabo por la dirección para dejar de aplicar por razones legitimas unas políticas o
unos procedimientos establecidos. La intervención de la dirección normalmente es necesaria en transacciones o
acontecimientos no recurrentes y atípicos que, en el caso de no producirse tal intervención, podrían ser tratados
inadecuadamente por el sistema (compárese con Elusión de controles por parte de la dirección).
Limitaciones inherentes
Las limitaciones que son propias a todo sistema de control interno. Estas limitaciones resultan de lo
limitado del juicio humano, la escasez de recursos y la necesidad de considerar el coste de los controles en
relación con los beneficios previstos, el riesgo de crisis del sistema, la posibilidad de elusión de los controles
por parte de la dirección y el riesgo de confabulación
Operaciones
Al utilizarse con “objetivos” o “controles”, se refiere a la eficacia y la eficiencia de las operaciones de una
entidad, incluyendo los objetivos de rendimiento y de rentabilidad, y la salvaguarda de los recursos disponibles.
Política
Directriz emitida por la dirección sobre lo que hay que hacer para efectuar el control. Constituye la base de
los procedimientos que se requieren para la implantación del control.
Procedimiento
Conjunto de acciones mediante el cual se implanta una política.
Proceso de gestión
Conjunto de acciones emprendidas por la dirección para gestionar una entidad. El sistema de
control interno forma parte de dicho proceso y está integrado en él.
Seguridad razonable
Concepto según el cual el control interno, por muy bien diseñado y ejecutado que esté, no
puede garantizar que los objetivos de una entidad se consigan, debido a las limitaciones
inherentes de todo sistema de control interno.
Sistema de control interno

Sinónimo de control interno.
Sistema de control interno eficaz

Sinónimo de control interno eficaz.
Valores éticos
Valores morales que permiten determinar una línea de comportamiento apropiada en la toma
de decisiones. Estos valores deberían basarse en lo que es correcto y no limitarse únicamente a la
legalidad.
Sección tercera
Información a terceros
9
Información a terceros
Resumen del capítulo: En los Estados Unidos muchas entidades incluyen informes de la
dirección sobre el control interno en sus informes anuales. Estos informes tratan del
sistema de control interno aplicado en el proceso de formulación de los estados
financieros públicos. También existen iniciativas por parte de los legisladores y
autoridades reclamando que se facilite dicha información. Las recomendaciones
contenidas aquí sugieren que, Si se emiten informes sobre el control interno, los mismos
aborden la eficacia de tales controles e identifiquen los criterios aplicados para evaluar
el sistema y la fecha a la que se refieren la conclusiones de la dirección. Se incluyen
ejemplos de informes a título ilustrativo.
En los últimos años, en Estados Unidos, se ha prestado una atención especial a la publicación de
informes sobre el control interno. Entidades tanto privadas como públicas han presentado muchas
recomendaciones y propuestas y actualmente algunas empresas ya incluyen en sus memorias anuales Un
informe de la dirección sobre el control interno.
Determinados organismos privados, tales como la Cohen Commission, el Financial Executives
Institute y la Treadway Commission, han recomendado que la dirección publique un informe sobre el
control interno. Recientemente se ha aprobado una ley que obliga a determinadas entidades financieras a
publicar dicho informe. Siguen en estudio las normas propuestas (pendientes de aprobar en su versión
definitiva) por el SEC (Security and Exchange Commission) así como otras leyes y normas.
Aproximadamente una de cada cuatro entidades mercantiles incluye en su memoria un informe de la
dirección que contempla algunos aspectos del
control interno 1. Entre las 500 empresas más grandes (las Fortune 500), el porcentaje llega
aproximadamente al 60%. Como se expone a continuación, el contenido de estos informes varia mucho de
una a otra entidad.
La gran mayoría de tales informes tratan del control interno en lo que afecta a la formulación de los
estados financieros públicos. Asimismo, las mencionadas recomendaciones y propuestas contemplan este
tema de forma exclusiva. Salvo que se indique lo contrario, este análisis sólo estudia los asuntos
relacionados con el control interno sobre el proceso de formulación de los estados financieros públicos
de una entidad.
Los informes anuales publicados suelen tratar otros asuntos, además del control interno. Los informes
anuales pueden tratar temas tales como, por ejemplo, la responsabilidad de los administradores con
referencia a los estados financieros, la aplicación de estimaciones y elementos de juicio en su formulación,
la responsabilidad de los auditores independientes en cuanto a su examen de los estados financieros, los
cambios de auditores, las responsabilidades sociales de la entidad y las incertidumbres a que se enfrenta.
Salvo que se indique lo contrario, las recomendaciones del presente estudio sólo se refieren a la
información facilitada por la dirección sobre el control interno.
Tradicionalmente se conoce con el nombre de “Informe de la dirección” sobre el control interno el
informe firmado por los administradores en nombre de la empresa. Debido a este uso común el término
“Informe de la dirección” es utilizado en esta exposición para referirse a dicho informe.
El objeto del presente documento es orientar a las entidades que ya publican información sobre sus
sistemas de control interno o que están considerando la posibilidad de hacerlo. El interés de que se emita
un informe sobre el control interno está siendo analizado por las entidades públicas y privadas que tienen
responsabilidad o interés en este tema. Este informe no expresa una posición sobre el mismo. El
compromiso de los auditores externos con los informes públicos de la dirección sobre control interno está
también siendo analizado por diversos organismos públicos y privados. Este es un tema que queda fuera
del alcance de este informe.
Debe quedar claro que informar públicamente sobre el control interno no constituye un componente
del control interno eficaz ni es un criterio para conseguirlo. Una entidad puede tener un sistema de control
interno eficaz sin emitir un informe público al respecto. Si bien es posible que los miembros del consejo
de administración que prevén la emisión de un informe sobre el control interno tiendan a analizar el
sistema con más detalle e introducir mejoras
1
Basado en memorias publicadas del ejercicio 1989
en el mismo, su eficacia vendrá finalmente determinada por las características del sistema y no
por los comentarios efectuados acerca del mismo.
Alcance del informe

Un aspecto de particular importancia de un informe de la dirección sobre el control interno
es que contenga una definición sobre el alcance de la información facilitada. Tal y como se
expone en la sección de este informe titulada “Marco general” de este informe, la siguiente
definición básica del control interno puede cubrir todos los objetivos de una entidad:
El control interno es un proceso efectuado por el consejo de administración, la dirección y

los demás miembros de una entidad, diseñado para proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos en los siguientes ámbitos:

 Cumplimiento de leyes y normas que sean aplicables.
Los informes preparados exclusivamente para uso interno pueden referirse a controles
internos relacionados con cualquiera de estos objetivos. Sin embargo, los informes públicos se
han limitado casi siempre a los controles relativos a la fiabilidad de los estados financieros. De
acuerdo con este enfoque, y con la definición básica expuesta arriba, el control interno puede
definirse de la siguiente forma:
El control interno relativo a la formulación de estados financieros públicos es un proceso

realizado por el consejo de administración, la dirección y el resto del personal de una
entidad, diseñado para proporcionar un grado razonable de seguridad en cuanto a la
fiabilidad de dichos estados financieros.
El control interno relativo a la formulación de estados financieros públicos puede

considerarse eficaz si el consejo de administración y la dirección de la entidad tienen una
seguridad razonable de que dichos estados financieros se estén preparando de forma
fiable. El término “estados financieros públicos” en este contexto se refiere a los estados
financieros propiamente dichos, estados financieros intermedios o abreviados así como
datos seleccionados que se derivan de dichos estados, tales como comunicados sobre
beneficios
dos en un periodo, que se divulgan públicamente. El término “fiabilidad” está relacionado con la
formulación de estados financieros de modo que expresen una “imagen fiel” de acuerdo con los
principios contables generalmente aceptados (u otros principios pertinentes) y que se adecuen a
los requisitos reglamentarios aplicables a los documentos de difusión pública. El término “imagen
fiel” y las afirmaciones subyacentes de los estados financieros estén definidos en la sección
titulada “Marco general” del presente informe. Al analizar si el control interno cubre estos
objetivos adecuadamente, hay que recurrir a Los cinco componentes de control interno, teniendo
en cuenta Las limitaciones inherentes a todos los sistemas de control interno (que se comentan en
la sección “Marco general”) así como el nivel de las deficiencias del sistema (que se trata más
adelante).
La publicación de dichos informes coincide con las necesidades de los accionistas,
obligacionistas y terceros que posiblemente busquen en los informes sobre el control interno las
afirmaciones de la dirección sobre el proceso seguido para formular los estados financieros. Al
centrar los informes sobre control interno exclusivamente en los controles establecidos sobre la
formulación de estados financieros, se delimita la profusión de información, considerando las
limitaciones inherentes a cualquier sistema. Si el alcance de la información a proporcionar se
extendiese a los objetivos operacionales y de cumplimiento, no sólo se incrementarían
sustancialmente los esfuerzos y los costes relacionados, sino que además surgirían nuevos
problemas. Esto se debe al hecho de que la evaluación y la preparación de informes sobre la
formulación de estados financieros son disciplinas más desarrolladas.
Controles sobre el cumplimiento de las leyes y normas
El respeto a las leyes y normas es un aspecto que cada vez se trata con mayor
frecuencia en los informes sobre el control interno publicados por la dirección. En Estados
Unidos, este tipo de informes han sido emitidos principal, si no exclusivamente, por
organismos públicos. La “Federal Managers Financial Integrity Act” exige que se facilite
información sobre los controles de cumplimiento, pero se puede considerar que esta
información es básicamente para el uso interno de los administradores.
Por otra parte, en un futuro cercano, la “Federal Deposit Insurance Corporation Improvement
Act” de 1991 obligará a ciertos bancos a informar sobre el cumplimiento de las leyes. Si bien la
ley se refiere de momento a informar sobre el cumplimiento propiamente dicho, es posible que en
el futuro se exijan información sobre los controles aplicados para asegurar su cumplimiento. De
hecho, centrarse en el sistema de control seria la mejor manera de conseguir el objetivo básico de
prevenir el incumplimiento. Al informar sobre los controles
la dirección dirigiría sus esfuerzos más hacia las condiciones del sistema y en acciones
preventivas que en detectar casos de incumplimiento ocurridos en el pasado.
Si la normativa acaba por obligar a la dirección a proporcionar información sobre los
controles de cumplimiento, la sección “Marco general” podría utilizarse como referencia. No
obstante, habría que identificar un umbral apropiado para medir la gravedad de las deficiencias
de control, quizás algo parecido al concepto de importancia relativa. El concepto de deficiencia
significativa, si bien es aplicable a la información sobre los controles de fiabilidad de la
información financiera, no es tan relevante para los controles de cumplimiento, y ello por dos
razones. La primera es que seria engorroso intentar relacionar deficiencias de control sobre,
por ejemplo, la seguridad en el trabajo o del medioambiente, a la importancia relativa en los
estados financieros. La otra es que es poco probable que la normativa pretenda limitar esta
información al umbral de importancia relativa de los estados financieros, por lo que sí informar
sobre controles de cumplimiento ha de ser viable, habrá que desarrollar un umbral apropiado.
Definición de diferentes categorías de control
Al existir áreas comunes entre los objetivos, puede resultar difícil determinar cuáles de los
controles deben considerarse dentro del alcance de un informe referido a los controles sobre la
información financiera. A pesar de esta dificultad, es importante delimitar el campo de
actuación para asegurar que la realidad del alcance del informe se ajuste a las expectativas
razonables de los usuarios del mismo.
En la sección “Marco general”, se describen tres categorías de objetivos:
operacionales, sobre información financiera y de cumplimiento, con ejemplos de cada una. En
los párrafos siguientes se describen unas pautas adicionales para distinguir entre los controles
sobre información financiera y otros tipos de controles. Se presentan ejemplos de controles
sobre información financiera para cada componente. También se analizan los controles que,
por estar dirigidos fundamentalmente hacia objetivos de operaciones o de cumplimiento, no
suelen tenerse en cuenta al determinar si el sistema de control interno de una entidad
proporciona una seguridad razonable de que se estén consiguiendo sus objetivos en cuanto a la
Al considerar los párrafos siguientes, han de tenerse en cuenta dos conceptos:
 En primer lugar, la mayor parte de los controles internos sirven para cumplir más de un
objetivo. En muchas ocasiones, los controles establecidos
en principio para conseguir objetivos de operaciones o de cumplimiento también pueden
satisfacer objetivos relativos a la información financiera. En estos casos, donde los controles
tradicionales sobre la fiabilidad de la información financiera no están presentes, la dirección
puede recurrir a otros controles que cumplen la misma función. Dichos controles pueden
quedar dentro del alcance de los informes sobre control interno.
 En segundo lugar, los controles dirigidos hacia las operaciones o el cumplimiento pueden
cubrir acontecimientos, transacciones u otros sucesos que hay que divulgar en los estados
financieros de la entidad. Esto no quiere decir que los controles sobre las operaciones y el
cumplimiento entran dentro del alcance del informe de la dirección sobre control interno,
sino que los resultados de las actividades sujetas a estos otros controles deben reflejarse
debidamente en los estados financieros.
Entorno de control
La sección “Marco general” identifica siete factores que deben formar parte integrante del
entorno de control. Una evaluación del grado en que el entorno de control de una entidad
favorece sus objetivos de información financiera seguramente se centraría en algunos
aspectos concretos de dichos factores.
Integridad y valores éticos. Los indicios de falta de integridad o valores éticos en cualquier
acción de los altos ejecutivos, ya sean en relación con la dirección ejecutiva, operativa o
financiera, ponen en entredicho la fiabilidad del proceso de formulación de información
financiera. Es difícil, si no imposible, distinguir claramente entre los aspectos de la integridad y
los valores éticos que están relacionados con la formulación de la información financiera y
aquellos que no lo están. Las dudas sobre la integridad o la ética del personal de una entidad
deberían, como mínimo, causar preocupación por La posibilidad de que tales defectos repercutan
en la fiabilidad de la información financiera.
Los factores siguientes, entre otros, tienen impacto sobre la fiabilidad de los estados
financieros:
 La actitud de la dirección hacia el incumplimiento de los controles establecidos

principalmente para la consecución de objetivos de información financiera.
 Los acuerdos de la dirección con los auditores internos y externos y asesores externos sobre
asuntos relacionados con la información financiera,
como podría ser el grado de divulgación de información sobre asuntos que podrían tener un
efecto negativo en los estados financieros.
 La integridad de la dirección durante la formulación de los estados financieros (tratada más
adelante en el apartado “Filosofía de dirección y el estilo de gestión”).
Compromiso de competencia profesional. La fiabilidad de los estados financieros de

una entidad puede resultar comprometida si personas incompetentes o carentes de convicción
están involucradas en el proceso de formulación de los mismos. Los conocimientos y La
capacidad profesional del personal que prepara los estados financieros, respecto a la naturaleza
y el alcance de la información financiera y de las operaciones, inciden directamente en la
fiabilidad de los mismos. También hay que considerar si tales conocimientos y capacidad
profesional son adecuados para dar un tratamiento adecuado a las nuevas actividades, productos
y servicios, en su caso, o a Los ya existentes, en el caso de una reorganización.
Filosofía de dirección y el estilo de gestión. La delegación de autoridad en el proceso

de formulación de la información financiera es esencial para alcanzar los objetivos de la entidad
al respecto; particularmente para ejercer el juicio y hacer las estimaciones contables que son
parte integrante del proceso de formulación de dicha información. Igualmente, conviene
considerar la razonabilidad de las políticas y estimaciones contables utilizadas en la preparación
de los estados financieros, y especialmente determinar si tales estimaciones y políticas de la
dirección son prudentes o agresivas (es decir, al limite de lo “razonable”). Se debería considerar
la inclusión de las deficiencias detectadas en este ámbito en el informe de la dirección sobre el
control interno. Por contra, la cuestión de si la dirección es o no reacia a asumir el riesgo de
entrar en nuevos mercados puede afectar a los objetivos operativos de una entidad pero, en
general, no incidirá en la preparación de información financiera.
La actitud de la dirección hacia la información financiera también afecta a la capacidad de
la entidad de alcanzar sus objetivos en este sentido. Por ejemplo, la actitud de la dirección hacia
la función de contabilidad y la autoridad delegada a la misma (sin intervención injustificada en
la obtención de información relevante y de las conclusiones apropiadas) pueden tener un im-
pacto importante sobre la consecución de los objetivos de información financiera. ¿El personal
de contabilidad es considerado un vehículo importante para ejercer el control? ¿Tiene el
personal de contabilidad de cada división la responsabilidad de informar a la dirección
corporativa? ¿La dirección corporativa o las direcciones operacionales ejercen presión excesiva
para conseguir que los informes financieros sean favorables?
Estructura organizativa. Entre los aspectos de la estructura organizativa que tienen una
relación especifica con los objetivos de información financiera hay factores relacionados con el
personal de contabilidad, tales como:
 Adecuación de las vías de comunicación existentes.

 Número suficiente de personal con experiencia adecuada.
 Claridad en la delegación de autoridad y tareas.
 El grado en que la estructura organizativa permite al personal contable colaborar con otros
departamentos y actividades de la organización, tener acceso a datos clave y contabilizar
correctamente Las conclusiones resultantes.
Si personas ajenas al departamento de contabilidad realizan funciones de control importantes

para la información financiera (como es el caso del personal de producción que realiza la
conciliación entre las existencias de producto en curso contabilizadas y reales, o el personal que
analiza las desviaciones entre costes estándar y reales a los efectos de la información financiera),
estas funciones pueden ser relevantes para un informe sobre el control interno. Sin embargo, los
aspectos no contables de la estructura organizativa, tales como la organización y las
responsabilidades del departamento de marketing de la entidad, o de sus asesores legales,
normalmente son relevantes sólo para conseguir objetivos operacionales y de cumplimiento.
Asignación de autoridad y responsabilidad. Las deficiencias detectadas en la manera de

asignar poderes y responsabilidades entre los empleados con funciones contables, de custodia y
gestión de activos pueden afectar a la capacidad de la organización de alcanzar sus objetivos de
información financiera, por lo que dichas deficiencias normalmente deberían incluirse en el
informe sobre el control interno. Los temas a tener en cuenta incluyen la suficiencia de los
recursos humanos y si la organización asegura una adecuada segregación de funciones. La
delegación de poderes y la asignación de responsabilidades a los empleados en otras áreas, tales
como La función de ventas, generalmente están encaminadas a alcanzar objetivos operacionales
más que objetivos de información financiera.
Políticas y prácticas de recursos humanos. Las políticas y procedimientos de recursos humanos

suelen tener un enfoque operativo. Sin embargo, la capacidad de una entidad de con seguir sus
objetivos de información financiera puede reflejar sus procedimientos y políticas de contratación,
formación, promoción, retención y retribución en cuanto afecten a la actuación del personal
contable y de los empleados en otras funciones que llevan a cabo controles
180 LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO
sobre la información financiera. En aquellas áreas en las que tal actuación sea clave para
mantener controles eficaces sobre la información financiera, las deficiencias potenciales
en las políticas y prácticas de recursos humanos han de tenerse en cuenta.
Consejo de administración y comité de auditoria. La composición del consejo de

administración y del comité de auditoria así como la forma en que sus miembros
cumplen sus responsabilidades en cuanto a control del proceso de formulación de
estados financieros son aspectos fundamentales del entorno de control. La participación
del consejo y del comité de auditoria en la supervisión del proceso de formulación de la
información financiera, tarea que incluye la evaluación de la razonabilidad de las
decisiones contables tomadas por la dirección y sus estimaciones así como la revisión de
las principales declaraciones o cuentas presentadas ante los organismos de control, es de
particular interés para los controles sobre la información financiera.
Evaluación de riesgos y actividades de control
Teniendo en cuenta la cultura de control y los objetivos globales de la entidad, la

dirección establece objetivos a nivel de actividades así como mecanismos para
identificar y analizar los riesgos relacionados con su consecución y desarrolla las
acciones y actividades de control necesarias para afrontar estos riesgos. Estos
componentes del sistema de control interno, la evaluación de los riesgos y las actividades
de control se consideran de forma conjunta en este informe.
El alcance de un informe de la dirección sobre el control interno normalmente
incluirá los riesgos asociados con la consecución de los objetivos relacionados con la
formulación de estados financieros que expresen una “imagen fiel”, así como las cinco
aseveraciones implícitas de los estados financieros, además de las actividades de control
para asegurar que se realicen las acciones dirigidas a satisfacer dichos objetivos. En la
mayoría de los casos es relativamente fácil reconocer los objetivos, riesgos y actividades
de control relacionados con la información financiera. Un mecanismo de control se
incluye dentro del alcance del informe si es importante para satisfacer los requisitos de
reflejar una imagen fiel o para apoyar las aseveraciones implícitas de los estados
financieros. En caso contrario, queda fuera del alcance del informe. También hay que
tener en cuenta Los conceptos ya mencionados en relación con los controles que cubren
más de un objetivo, y la distinción entre los controles sobre operaciones y cumplimiento
y los controles destinados a informar correctamente sobre los resultados de estas
actividades en los estados
A modo de ejemplo, consideremos el objetivo de operaciones de que los proveedores
suministren material de calidad que reúna las especificaciones técnicas de la entidad. Los riesgos
asociados incluyen la insatisfacción del cliente con el producto de la entidad, el incumplimiento
con los objetivos de ventas del producto, la existencia de procesos de producción impracticables
o con un coste excesivamente elevado y que existan costes sustanciales en el proceso de retirar,
rehacer o reparar el producto bajo garantía. Este objetivo, y la evaluación de los correspondientes
riesgos, planes de actuación y actividades de control, están orientados hacia las operaciones por
Lo que quedan fuera del alcance del informe sobre control interno. A pesar de Las implicaciones
para la información financiera, puesto que el material defectuoso puede requerir ajustes al valor
de existencias y afectar a la estimación por parte de la dirección de las provisiones para garantías,
deberían existir controles sobre la información financiera para captar la información necesaria
para reflejar estos riesgos en los estados financieros. Si no es así, la dirección debe centrarse en
los controles dirigidos a operaciones para determinar si se están satisfaciendo los objetivos de
información financiera. Sólo en ese caso se procedería a incluir dichos controles en el alcance del
informe de la dirección sobre control interno.
Otro ejemplo sería que el objetivo de operaciones de una entidad de alcanzar objetivos
específicos de ventas y de beneficio se viera afectado por la entrada de un nuevo competidor en el
mismo mercado. Este hecho también tiene implicaciones para La información financiera, como la
posible necesidad de reflejar las existencias a su valor neto de realización debido a reducciones de
márgenes. No obstante, los controles relacionados con la consecución de este objetivo estarían
fuera del alcance del informe siempre que existan controles realizados por el personal con
responsabilidad de preparar la información financiera para identificar el impacto que la entrada de
un nuevo competidor podría tener sobre el precio de venta del producto de la entidad.
El componente del control interno que constituye la información y comunicación requiere la

identificación, captación, tratamiento y comunicación de información relevante a toda la
organización. Algunos de estos mensajes son relevantes para conseguir los objetivos de
información financiera de la entidad. Como ejemplo de la información y comunicación que
permiten a una entidad alcanzar sus objetivos de información financiera podemos citar la
comunicación a todos los niveles de las normas de conducta ética o el envío de extractos
mensuales a clientes con el correspondiente seguimiento de cualquier discrepancia.
Muchos aspectos de los sistemas de información y comunicación guardan relación con los
objetivos de operaciones y de cumplimiento, y en general quedan fuera del alcance de un
informe sobre el control interno. Un ejemplo es la obtención de datos del personal de ventas
sobre posibles mejoras en productos para satisfacer las necesidades futuras de los clientes y la
posterior comunicación de dichos datos al personal técnico y de producción. Otros ejemplos
son los procedimientos para recibir y responder a las reclamaciones de los clientes sobre
productos defectuosos, presentar reclamaciones a proveedores sobre defectos en los materiales
comprados y el correspondiente seguimiento. En cada uno de estos casos, el control se
establece para conseguir objetivos operacionales, y no los objetivos de información financiera.
Aunque las comunicaciones en los dos últimos casos pueden contener información
importante para la información financiera, es decir información que puede ayudar a valorar los
saldos a cobrar y las existencias, así como para determinar los pasivos, una organización debería
tener un mecanismo dentro de la función contable para identificar la necesidad de hacer los
ajustes necesarios a estas cuentas, a efectos de la información financiera. Si no fuera el caso, un
seguimiento adecuado de las comunicaciones con los clientes y los proveedores podría servir
como un método alternativo para conseguir los objetivos de la entidad en cuanto a la
información financiera en las mencionadas áreas y podría incorporarse en el alcance de un
informe de la dirección sobre control interno.
Supervisión
Las actividades de supervisión continuada contemplan la eficacia de otros componentes

del control interno para conseguir los objetivos de la información financiera, por ejemplo:
 Supervisión de la exactitud y totalidad de los saldos de existencias realizada por el

personal de contabilidad como parte de los procedimientos de recuento mensual de
inventarios cíclicos.
 Supervisión de la valoración de las cuentas a cobrar realizada por el encargado de crédito,
a través de sus comunicaciones mensuales con los clientes morosos.
 Supervisión de las cuentas a pagar contabilizadas por el departamento de compras en
relación con el trato con los proveedores.
Los procedimientos de supervisión continuada de este tipo, o procedimientos con fines

similares realizados en conexión con evaluaciones puntuales, se incluyen normalmente dentro
del alcance de un informe de la dirección.
Muchas actividades de supervisión tienen que ver con los controles sobre objetivos
operacionales y de cumplimiento y, generalmente, quedan fuera del alcance de un informe sobre
el control interno. A modo de ejemplo, la dirección puede realizar revisiones periódicas de
informes sobre operaciones para seguir la evolución de la producción y las ventas. En cada caso,
el fin principal del control de supervisión es ayudar a la entidad a conseguir sus objetivos
operacionales, y no sus objetivos de información financiera. No obstante, como ya se ha
observado, al llevar a cabo estos controles sobre operaciones, el responsable de realizar la
revisión puede estar en condiciones de identificar datos financieros inexactos o incompletos. En
ese caso, y si no existieran los tipos tradicionales de controles de supervisión sobre la
información financiera, estos controles sobre operaciones y cumplimiento podrían ser
considerados dentro del alcance del informe sobre control interno.
La utilización por parte de la dirección de las conclusiones de los auditores internos y
externos estará dentro o fuera del alcance del informe de la dirección en función de la
naturaleza de las actividades y los controles correspondientes a los que se refieren dichas
conclusiones.
Marco temporal
Los informes pueden referirse al control interno durante un periodo de tiempo o a su
situación en un momento concreto. Por ejemplo, la dirección puede informar sobre el
funcionamiento del control interno a lo largo de un ejercicio completo (periodo de tiempo) o en
un día durante el ejercicio (momento en el tiempo). El marco temporal es importante por dos
motivos: influye en el proceso de evaluación y en la divulgación de las deficiencias detectadas y
corregidas durante el periodo.
Cuando la dirección informa sobre los controles durante un periodo de tiempo, su proceso de
evaluación normalmente será bastante más extenso que cuando se trata de un informe referido a
una fecha especifica. Cuando el informe se refiere a un momento concreto (el cierre del ejercicio,
por ejemplo)2, se puede limitar el alcance de la evaluación para contemplar solamente la eficacia
de los controles en vigor a dicha fecha3. Por otra parte, un informe
2
La dirección puede preferir informar sobre otro momento en el tiempo, como podría ser la fecha en que se publican las cuentas anuales.
3
Desde un punto de vista práctico, no se realizará una evaluación sobre un momento en el tiempo. Las actividades de supervisión
continuada del sistema de control interno, que identifican las deficiencias de control y las oportunidades de mejora, normalmente servirán
de base a la evaluación. En ocasiones, la dirección lleva a cabo procedimientos de evaluación en varias oportunidades a lo largo del
ejercicio, prestando atención a cambios posteriores introducidos en el sistema antes del cierre del ejercicio.
que cubra un ejercicio entero requerirá una evaluación de la eficacia del sistema de control
durante todo el periodo de referencia, que es un proceso mucho más extenso.
En relación con la divulgación de deficiencias, cuando un informe se refiere a un momento
determinado, muchas veces la dirección ya habrá tenido tiempo para corregir una deficiencia
detectada anteriormente durante el período. En tales casos, la dirección estaría en condiciones
de informar sobre la existencia de un sistema de control interno eficaz en aquel momento. Por
otra parte, si el informe cubriese un periodo, como un ejercicio anual entero, la existencia de
una deficiencia importante por un periodo de tiempo significativo dentro de ese ejercicio
podría impedir que la dirección pueda manifestar que el sistema de control interno había
funcionado de forma eficaz durante todo el ejercicio de referencia.
La información emitida sobre un periodo de tiempo o sobre un momento determinado,
como el cierre del ejercicio social, debería satisfacer las necesidades de los accionistas,
obligacionistas y otros destinatarios de dicha información. Sin embargo, es probable que
informar sobre un momento determinado sea la alternativa preferida, ya que crea un ambiente
más propicio a la identificación y corrección de deficiencias. Tanto los sistemas de control
interno como las condiciones de su entorno están cambiando continuamente y es importante
entender que seguramente surgirán deficiencias de vez en cuando. Informar sobre un momento
determinado proporciona un enfoque constructivo, que permite a la dirección dedicar su
atención en la rápida solución de problema más que en la divulgación de las deficiencias ya
identificadas durante el año y oportunamente corregidas.
Información anual o intermedia
Aunque muchos de los mismos controles se aplican a los procesos de formulación de

información financiera tanto anual como intermedia (por ejemplo, trimestral), es posible
aplicar controles diferentes4. Por consiguiente, en un informe sobre el control interno de un
momento determinado, como el cierre del ejercicio5, cabe preguntarse si el informe sólo cubre
el proceso de formulación de información correspondiente al ejercicio completo o si también
cubre el proceso de formulación de información intermedia.
4
La Accounting Principles Board Opinion No 28, Interim Financial Reporting (New York: AICPA, 1973), reconoce las
“dificultades inherentes” al informar sobre los resultados de las operaciones de períodos intermedios y comenta los tipos de
estimaciones que requiere el proceso de formulación de la información interina (párrafo 4).
5
A partir de aquí se supone que sólo se utilizan informes correspondientes a un momento determinado.
Dado que el informe de la dirección contempla el control interno sobre la formulación de todos los
estados financieros publicados de una entidad, es apropiado que haga referencia a los controles sobre la
información intermedia, además de la anual. No obstante, hay que reconocer que el informe se refiere a la
situación del control interno sobre los procesos de preparación de información intermedia y anual en un
momento determinado, como la fecha de cierre del ejercicio.
En consecuencia, no quiere decir que el control interno sobre la información intermedia fuera
necesariamente eficaz al final de cada periodo interino. Por ejemplo, la dirección puede haber tenido
conocimiento de la existencia de deficiencias en los controles sobre la información intermedia durante el
año, pero si la dirección corrigiera estas deficiencias antes del cierre y confirmara que las correcciones
fueron eficaces, podría afirmar que el sistema era eficaz al cierre del ejercicio.
No obstante el hecho de que no es preciso informar sobre deficiencias identificadas en el control
y corregidas antes del cierre, existen circunstancias en las que la dirección puede considerar
conveniente informar sobre ellas. Por ejemplo, en el caso de una deficiencia que haya obligado a
efectuar correcciones a los estados financieros intermedios después de ser emitidos, los usuarios del
informe pueden no disponer de evidencia inmediata de por qué el informe sobre control interno
correspondiente afirmaba que el sistema de control interno era eficaz. En tales circunstancias, la
dirección puede desear utilizar dicho informe como medio para tratar la deficiencia, afirmando que
la misma fue identificada y corregida antes del cierre del ejercicio.
Períodos futuros
Pueden surgir dudas sobre hasta qué punto el informe de la dirección sobre el control interno
permite a los lectores conseguir un determinado grado de seguridad en cuanto a la eficacia del
sistema en el futuro. Desde un punto de vista práctico, los accionistas, obligacionistas u otras
personas que lean la memoria anual más reciente de una entidad que incluye un informe de la
dirección sobre el control interno, así como los estados financieros auditados de la misma (ambos a
la fecha del cierre del último ejercicio), probablemente estudiarán el informe sobre los controles
desde la perspectiva de las conclusiones que se pueden sacar sobre la eficacia del control de cara al
ejercicio siguiente, más que del ejercicio anterior.
¿Qué es, pues, lo que se puede suponer con respecto a los periodos posteriores a la fecha cubierta por
un informe sobre el control interno? En muchos casos, los lectores pueden, y con razón, asumir que un
sistema de control interno que fue eficaz al cierre de un ejercicio lo seguirá siendo durante el
siguiente. La existencia de mecanismos para gestionar las condiciones cambiantes y
procedimientos de supervisión continuada constituyen una base para esperar que el sistema
continúe siendo eficaz.
Sin embargo, es realista preguntarse ¿durante cuánto tiempo? Si la dirección comunicara a
los lectores del informe, por ejemplo, que sigue revisando los controles de supervisión y gestión
del cambio y que considera que el sistema sigue siendo eficaz, entonces los lectores del informe
tendrían una base para sacar conclusiones sobre la eficacia continuada del sistema. Sin embargo,
la falta de tal comunicación no permitiría a los lectores saber si se han producido cambios
internos que han repercutido en mecanismos de control esenciales.
Por lo tanto, aunque seria poco usual que un sistema de control eficaz dejara de serlo de un
día para otro, las suposiciones sobre la eficacia suelen perder validez con el paso del tiempo. Al
final, para tener seguridad con respecto a la eficacia del control interno en un momento
determinado, se necesita un informe actualizado.
Contenido del informe

Como ya se ha comentado, en la actualidad son muchas las empresas americanas que
incluyen informes de la dirección que abordan el control interno en sus informes anuales para los
accionistas. Los párrafos que vienen a continuación tratan del contenido de estos informes. La
siguiente sección “Nuevas pautas para los informes” contiene sugerencias para los informes que
serian consecuentes con los criterios de este estudio.
Declaración de responsabilidad de la dirección
Los informes de la dirección sobre el control interno que han sido publicados hasta ahora
tratan la cuestión de la responsabilidad de la dirección en base a uno de los dos enfoques
siguientes. Según el primer enfoque, la dirección reconoce sus responsabilidades sobre el control
interno, a veces citando uno o más asuntos específicos, pero sin llegar a afirmar explícitamente
que la dirección haya cumplido con unas tareas determinadas. Por ejemplo, el informe podría
afirmar que la dirección es responsable de diseñar y mantener un sistema de control interno que
tenga unas características u objetivos especificados. También podría afirmar que el sistema de
control interno ha sido diseñado para conseguir unos objetivos determinados.
Según el otro enfoque, la dirección afirma haber cumplido con ciertas tareas específicas
relativas a su responsabilidad. Por ejemplo, el informe
podría afirmar que la dirección ha establecido y mantiene un sistema de control interno que
proporciona una seguridad razonable de que se toman ciertas medidas o se consigan ciertos
objetivos. De igual manera, los administradores podrían tratar de la eficacia o del carácter
adecuado del sistema de control interno de la entidad.
Estos dos enfoques se diferencian en que uno reconoce responsabilidades particulares en
relación con el control interno mientras que el otro analiza si se ha cumplido con dichas
responsabilidades.
Análisis de elementos específicos
Varios individuos y organizaciones han recomendado que se incluya en este informe un

análisis de los elementos específicos del sistema de control interno de las entidades. Las áreas
específicas cubiertas en los informes hasta la fecha han variado, pero generalmente se hace
hincapié en algunos o en la totalidad de los siguientes puntos6:
 Comité de auditoria.— La composición, el papel y las funciones del comité de auditoria

forman parte habitualmente de los comentarios sobre el control interno. Estos comentarios
pueden subrayar la función del comité de auditoria y describir sus obligaciones.
 Establecimiento y comunicación de políticas escritas.— Algunos informes publicados
contienen comentarios afirmando que la dirección ha establecido políticas y procedimientos
escritos sobre el control interno que están de acuerdo con los objetivos de control interno de
la entidad. Los informes a menudo afirman que la dirección ha comunicado las políticas y
los procedimientos a los empleados.
 Relaciones dentro de la organización.— A veces los informes publicados reconocen la
importancia de la delegación de poderes y la segregación de responsabilidades pana
conseguir un control interno eficaz. Una forma de constatar dicho reconocimiento podría sen
una afirmación de que el sistema de control interno prevé unas vías de comunicación y una
división de responsabilidades adecuadas.
 Personal.— A veces los informes publicados hablan de la selección y formación cuidadosa
del personal y pueden incluir comentarios sobre el sistema de contratación y el desarrollo.
Las afirmaciones se refieren al personal en general, o al personal de las áreas financieras o
de operaciones, o a los niveles directivos.
6
Como se menciona en “Nuevas pautas para los informes”, los informes sobre el control interno basados en este estudio harán
referencia a materias algo distintas.
 Código de conducta.— Algunos informes publicados incluyen comentarios sobre el
código de conducta de la entidad, contemplando la comunicación de las estipulaciones del
mismo, los temas más importantes cubiertos por el código (tales como la comunicación
abierta dentro de la entidad, el cumplimiento de las leyes nacionales e internacionales, las
posibles incompatibilidades, el cumplimiento de normas éticas y la protección de la
confidencialidad de la información de la entidad), y la existencia de un programa
sistemático para evaluar el grado de cumplimiento con el mismo.
 Programa de auditoria interna.— Muchos informes hacen referencia al programa de
auditoria interna de la entidad. Estas referencias normalmente se limitan a la afirmación de
que la entidad mantiene un programa de auditoria interna eficaz que evalúa de forma
independiente la eficacia del sistema de control interno y que recomienda posibles mejoras
en el mismo.
Limitaciones inherentes al control interno
Ha quedado claramente establecido que ningún sistema de control interno puede

garantizar que se genere información financiera fiable. Con pocas excepciones, las pautas a
según en la preparación de la información sugeridas en otros estudios, así como los informes
publicados hasta ahora, incluyen referencias especificas que recuerdan esta limitación.
EL énfasis concedido a las limitaciones inherentes va desde una simple mención de la
seguridad razonable, hasta dos o tres frases sobre las consideraciones de costo-beneficio y la
necesidad de que la dirección aplique su propio juicio al evaluar el control interno. La decisión
sobre la extensión de tal exposición de las limitaciones inherentes al control interno debe
contrapesarse con la posibilidad de que el informe se cargue con un exceso de lenguaje
negativo o defensivo.
La respuesta de la dirección ante las deficiencias
La dirección puede tener conocimiento de las deficiencias del control interno a través de
numerosas fuentes, entre ellas los auditores internos, los auditores externos o los organismos
de control. Algunos individuos o grupos han sugerido que un informe sobre el control interno
debería afirmar explícitamente el momento en que la dirección fue informada de las
deficiencias, describir exactamente en qué consiste la deficiencia junto con una indicación de
sí la dirección ha reaccionado o no ante la misma y si ha sido subsanada. No obstante, los
típicos informes sobre el control interno no suelen hacerlo.
Al respeto existen argumentos a favor y en contra. El hecho de facilitar información de este
tipo indica que las vías disponibles pana comunican la existencia de las deficiencias a la
dirección funcionan y así ayuda a mejorar la eficacia del control interno. También informa a los
lectores del informe que la dirección ha considerado las deficiencias y ha reaccionado ante ellas.
Pon otra parte, informan sobre estas deficiencias puede plantean preguntas sobre cómo se
debe considerar su efecto dentro del contexto del informe en su conjunto. Es decir, si la dirección
ha afirmado que cree que su sistema de control interno es eficaz, los lectores del informe pueden
no tener claro si la mención de las deficiencias subsanadas debe tener la consideración de salve—
dad a la opinión o si indica que las mismas han sido consideradas a la hora de expresan la
opinión. Pon otro lado, el hecho de identificar estas deficiencias en el informe puede inducir a los
lectores a cambian su percepción de la evaluación global del control interno pon parte de la
dirección, o cuestionar si las reacciones ante las deficiencias han sido apropiadas o no. En todo
caso, los argumentos en contra de informan sobre las deficiencias subsanadas tienen más peso
que los argumentos a favor.
Algunos informes de gestión afirman que el sistema de control interno está sujeto a una
revisión continuada de la cual se derivan sugerencias para su mejora y que la dirección toma las
acciones apropiadas para corregir las deficiencias. Tales afirmaciones indican que el sistema
incluye un proceso para identifican las deficiencias y reaccionan ante ellas.
Firmas del informe
La identidad de la persona que firma el informe sobre el control interno puede parecen un
simple asunto administrativo, pero tiene implicaciones importantes. En la práctica actual los
informes suelen sen firmados pon el director general o consejero delegado, pero también podrían
ser firmados por el presidente del consejo de administración, junto con el director financiero o el
director de contabilidad.
Esta práctica es apropiada porque el máximo responsable ejecutivo debe ser el responsable
final del sistema de control interno. A través de su firma, éste reconoce públicamente esta
responsabilidad. Además, dado que el informe se centra en los controles sobre la información
financiera, es igualmente apropiado que el informe lleve la firma de la persona directamente
responsable de la función financiera. Esta práctica es coherente con las recomendaciones y
propuestas presentadas por entidades privadas y públicas.
Nuevas pautas para los informes
Como ya se ha observado en la sección anterior, el contenido de los informes sobre el
control interno publicados hasta ahora varía notablemente. Esto se debe, en parte, a la falta de
una definición generalmente aceptada del control intenso, así como de criterios de eficacia y
normas para la formulación de la información.
Este informe presenta una definición, unos criterios y unas pautas, cuya utilización como
base para preparar los informes de la dirección sobre el control interno permitirá que tanto los
responsables de emitir los informes como los lectores de los mismos dispongan de una
definición común de lo que se está comunicando.
Un asunto fundamental, considerado anteriormente en la sección “Responsabilidad de los
administradores”, es si el informe de la dirección sólo debe abordar lo que se encuentre bajo la
responsabilidad de la dirección o quizás para lo que el sistema de control interno había sido
diseñado, o si también debe contemplar la eficacia del sistema de control interno. Hay varias
razones por las cuales lo más apropiado es informar sobre la eficacia:
 El informe de la Comisión Treadway afirma que la dirección debe informan sobre la

eficacia de los controles internos de la entidad. El informe Treadway explica que los
inversores tienen un interés legitimo, no sólo en conocen el grado de responsabilidad que
asume la dirección sobre el control interno, sino también la forma en que desempeña
dichas responsabilidades.
 Una afirmación sobre las responsabilidades de la dirección o sobre el diseño del sistema
de control interno es mucho menos sustantiva que la información sobre la eficacia, y
puede confundir a los lectores que no reconozcan los distintos matices del texto. De
hecho, este tipo de información puede ser una de las causas del llamado “desfase de
expectativas” (expectation gap)..
 Se podría pensar que informan exclusivamente sobre las responsabilidades de la dirección
o sobre el diseño del sistema, sin referencia alguna a la eficacia, limitaría las posibles
responsabilidades en el caso de que se descubriese que los estados financieros contienen
algún error significativo. No obstante, la información sobre la eficacia del sistema ya
conlleva las advertencias y la protección necesarias al reconocer el concepto de seguridad
razonable y las limitaciones inherentes a todo sistema de control interno. Afirmar que un
sistema de control interno es eficaz no quiere decir que no puede existir un error
significativo en los estados financieros publicados.
Las siguientes pautas, que incluyen el concepto de información sobre la eficacia del sistema
de control interno, concuerdan con la mayoría de las recomendaciones de la Comisión Treadway.
Las entidades que deseen cumplir con dichas recomendaciones deberían seguirlas. El contenido
de un informe de la dirección sobre el control interno debería incluir:
 La categoría de los controles en cuestión (los controles sobre la formulación de los estados
financieros públicos de la entidad).
 Una declaración sobre las limitaciones inherentes a todo sistema de control interno.
 Una declaración sobre la existencia de mecanismos de supervisión del sistema y de
regularización de las deficiencias identificadas.
 Un marco de referencia para el informe, es decir, identificación de los criterios utilizados
para medir el sistema de control interno7.
 Una conclusión sobre la eficacia del sistema de control interno. Si existe una o más
deficiencias significativas8, la dirección no podrá concluir sobre la eficacia del sistema de
control interno, y deberá incluir una descripción de dichas deficiencias.
 La fecha (o período) a la que se refiere la conclusión.
 Los nombres de las personas que firman el informe.
La terminología empleada en el informe debería guardar uniformidad con las normas según
las que se evalúa el sistema. Si los criterios del presente informe constituyen las normas a seguir,
la terminología empleada en el informe debería corresponden a la aquí utilizada. La utilización
uniforme de la terminología es esencial pana evitan malentendidos por parte de los lectores del
informe.
Si bien es ciento que la uniformidad en los informes favorece la comunicación, no es
necesario que la uniformidad sea total, ni que se utilice un lenguaje estandarizado. Puede que las
diferentes direcciones deseen resaltar asuntos
7
Se pueden utilizar los criterios contenidos en la sección “Marco general” de este informe u otros criterios.
Para la comunicación adecuada con los lectores del informe, es importante incluir una referencia explicita a las
normas utilizadas para evaluar el sistema de control interno de la entidad. El hecho de mencionar que los
criterios considerados son aquellos que se han descrito en la sección “Marco general” significa,
automáticamente, que se han tenido en cuenta determinados conceptos importantes, tales como: a) la seguridad
razonable; b) las diversas limitaciones inherentes a los sistemas de control interno; c) los componentes y las
posibles áreas comunes de éstos; d) la definición del control interno sobre la formulación de los estados
financieros públicos.
8
Si se corrigiera una deficiencia significativa antes de la fecha en la que se expresa la conclusión sobre la
eficacia del sistema (por ejemplo, al cierre del ejercicio) no seria necesario describir la deficiencia, siempre que
la dirección afirmara que los controles nuevos o revisados estaban funcionando de forma eficaz a esa fecha
(cierre).La información de la dirección puede expresarse después de dicha fecha, pero antes de la fecha de
emisión del informe de la dirección.
distintos o simplemente tengan un estilo propio diferenciado. Es también previsible que
los informes de la dirección que siguen las normas recomendadas en este informe
evolucionen a medida que las direcciones vayan probando enfoques diferentes.
A título de ejemplo, se ofrece a continuación un informe redactado de conformidad

con estas normas y en el que se siguen los criterios contenidos en este informe:
La Entidad XYZ mantiene un sistema de control interno sobre la

presentación de la información financiera, que está diseñado para
proporcionar a la Dirección y al Consejo de Administración un grado de
seguridad razonable en cuanto a la fiabilidad de los estados financieros
públicos. El sistema contiene mecanismos de supervisión y se toman las
medidas necesarias para corregir deficiencias en cuanto éstas se
identifican. Todo sistema de control interno, por muy bien diseñado y
eficaz que sea, tiene limitaciones inherentes incluyendo la posibilidad de
que los controles sean eludidos, por lo que sólo puede proporcionar una
seguridad razonable en cuanto a la fiabilidad de los estados financieros.
Además, debido a los cambios que pueden producirse en las condiciones
del entorno, la eficacia del sistema de control interno puede variar con el
paso del tiempo.
La Entidad ha evaluado su sistema de control interno al 31 de diciembre
de 19XX, basándose en los criterios de eficacia del control interno sobre
la presentación de la información financiera descritos en el informe
“Control interno:
Un marco integrado” emitido por el Committee of Sponsoring
Organizations of the Treadway Commission. De acuerdo con dicha
evaluación, la Sociedad considera que al 31 de diciembre de 19XX su
sistema de control interno sobre la información financiera cumple con los
mencionados criterios.
Sociedad XYZ
Por_____________________________________
Firma (Presidente del consejo de administración)
Por_____________________________________
Firma (Director financiero / director de contabilidad)
Se espera que la redacción de este informe ilustrativo sirva como guía, que puede ser
particularmente útil para las direcciones con poca o ninguna experiencia en informar sobre el
control interno. La redacción de este informe ilustrativo no pretende sen un modelo obligatorio y
la dirección de cada entidad puede modificarlo o ampliar su contenido en función de sus
necesidades. Por ejemplo, la dirección de una empresa podría dar más información sobre
determinados componentes de su sistema, como el entorno de control, analizando el papel del
consejo de administración y del comité de auditoria. Otra posibilidad sería referirse a la
supervisión, tal vez contemplando la función de la auditoria interna.
Si el informe sobre el control interno también contempla otros asuntos, éstos no deben
presentarse de tal forma que provoque confusión en los lectores acerca del análisis del control
interno y las conclusiones resultantes. Algunos asuntos, tales como la responsabilidad de la
dirección de formulan los estados financieros, el uso de estimaciones y juicios en su formulación
y la responsabilidad del auditor externo al realizar su examen de los mismos, deberían ser objeto
de una consideración separada. Podrían comentarse, por ejemplo, bajo otro epígrafe dentro del
informe. En cualquier caso, los párrafos que describen la evaluación del control interno y la
conclusión sobre la eficacia del sistema deberían presentarse juntos.
La dirección debería considerar la conveniencia de que sus asesores legales revisen la
redacción del informe. Tal revisión podría ayudar a asegurar que la terminología empleada en el
informe incluya las advertencias y salvaguardas oportunas acerca de las limitaciones propias de
cualquier informe sobre la eficacia de un sistema. Podría ser especialmente interesante obtener la
opinión de los asesores legales a la hora de estudiar la forma de divulgar una deficiencia material.
A continuación se presenta un informe ilustrativo que no sólo proporciona más información
sobre determinados componentes del sistema de control interno de una entidad, sino que también
contempla otros temas no directamente relacionados con el control interno. Otros aspectos de la
redacción presentan pequeñas diferencias con respecto a la que se utilizó en el informe anterior
para resaltar el hecho ya comentado de que la uniformidad total en la presentación del informe no
es necesaria.
Estados financieros
La Entidad XYZ es responsable de la formulación, integridad y presentación fiel de sus estados

financieros públicos. Los estados financieros, presentados en las páginas xx a yy, han sido
preparados de acuerdo con los principios de contabilidad generalmente aceptados, por lo que
incluyen cifras basadas en determinadas opiniones y estimaciones de la Dirección. La Entidad ha
formulado
asimismo, el resto de la información incluida en la memoria y es responsable de la exactitud y
uniformidad de los estados financieros.
Los estados financieros han sido auditados por la firma de auditoria independiente, ABC & Co.,
la cual ha tenido acceso sin restricciones a todos los registros financieros y demás datos
relacionados, incluidas las actas de todas las Juntas de Accionistas de las reuniones del Consejo
de Administración y de los Comités del Consejo. La Entidad considera que todas las
manifestaciones realizadas a los auditores independientes en el transcurso de su auditoria son
válidas y apropiadas. El informe de auditoria de ABC & Co. se presenta en la página XX.
Sistema de control interno
La Entidad mantiene un sistema de control interno sobre la presentación de la información

financiera, que está diseñado para proporcionar un grado de seguridad razonable a la Dirección
y al Consejo de Administración en cuanto a la formulación de los estados financieros públicos. El
sistema se apoya en una estructura de la organización documentada así como en una adecuada
segregación de funciones; en las políticas y los procedimientos establecidos que incluyen un
código de conducta para fomentar el comportamiento ético y su comunicación a todo el personal
de la empresa, y en la cuidadosa selección, formación y desarrollo de nuestros empleados. Los
auditores internos realizan el seguimiento del funcionamiento del sistema del control interno e
informan sobre sus conclusiones y recomendaciones a la Dirección y al Consejo de
Administración. Se han tomado las medidas necesarias para corregir las deficiencias de control
detectadas, además de haberse aprovechado otras oportunidades para mejorar el sistema. El
Consejo, a través de su Comité de Auditoria, compuesto íntegramente por consejeros que no
son ni directivos ni empleados de la Entidad, supervisa el proceso de formulación de la
Todo sistema de control interno comporta ciertas limitaciones que le son inherentes y, en
particular, el riesgo de errores humanos y la posibilidad de que los controles sean eludidos o
burlados. Por 10 tanto, incluso un sistema de control eficaz sólo puede proporcionar una
seguridad razonable en cuanto a la fiabilidad de los estados financieros. Además, la eficacia de
un sistema de control interno puede variar según las circunstancias.
La Entidad ha evaluado su sistema de control interno al 31 de diciembre de 19XX, basándose en
los criterios de eficacia del control interno sobre la información financiera descritos en “Control
interno: Un marco integrado” emitido por el Committee of Sponsoring Organization of the
Treadway Commission. De acuerdo con dicha evaluación, la Entidad considera que al 31 de
diciembre de 19XX, su sistema de control interno sobre presentación de la información financiera
cumple con los mencionados criterios.
Si existiera una deficiencia significativa al cierre del ejercicio, se podría modificar esta
última frase, que quedaría como sigue:
De acuerdo con dicha evaluación, excepto por lo mencionado a continuación, la Entidad

considera que al 31 de diciembre de 19XX su sistema de control
interno sobre presentación de la información financiera cumple con los mencionados criterios.
Durante 19XX, la Entidad ha establecido unas nuevas condiciones de garantía para determinados
productos, pero al cierre del ejercicio no disponga de suficiente información y experiencia técnica
para calcular con exactitud la provisión correspondiente. Con posterioridad a Entidad ha adquirido
dicha información y experiencia y se han aplicado en el cálculo del pasivo correspondiente que
figura en los estados financieros al 31 de diciembre de 19XX.
Deficiencias significativas
Dado que el informe de la dirección contiene una conclusión acerca de la eficacia del
sistema de control interno de la entidad, surge la cuestión de si existen deficiencias tan graves que
no permitan realizar esta afirmación.
En diversos estudios, el concepto de la eficacia del control interno ha sido relacionado con el
término “deficiencia significativa”. En la literatura sobre auditoria, la expresión “deficiencia
significativa” está relacionada con los objetivos de una entidad en materia de fiabilidad de las
informaciones financieras y se define como una situación en la cual:
...el diseño o funcionamiento de los elementos específicos de la estructura del control interno no
consiguen reducir a un nivel aceptablemente bajo el riesgo de que existan errores o irregularidades
por importes que serían significativas a los efectos de los estados financieros objeto de la
auditoria, y que no sean detectadas oportunamente por los empleados en el desarrollo normal de
sus funciones.
Así pues, la expresión “deficiencia significativa” incluye varios conceptos tales como: el
nivel de riesgo (relacionado con la seguridad razonable), el carácter “significativo” en relación
con los estados financieros de la entidad, y la detección oportuna de errores o irregularidades.
EL concepto de “deficiencia significativa” delimita el concepto de la eficacia, estableciendo
el umbral al que hay que referirse para evaluar las deficiencias. Es sin duda el término que se ha
empleado más que cuaLquier otro para evaluar la eficacia. Es el umbral que se debe utilizar para
los informes públicos. La existencia de una deficiencia significativa imposibilita que la entidad
afirme que su sistema de control interno es eficaz.
Otro umbral es el conjunto de “deficiencias a comunicar”, es decir: “Deficiencias
significativas en el diseño o funcionamiento del control interno que pudieran tener un efecto
negativo en la capacidad de la entidad para registrar, procesar, resumir y presentar información
financiera de acuerdo con las aseveraciones implícitas efectuadas por la dirección en los estados
financieros.”
Este umbral, más bajo que el de las deficiencias significativas, fue desarrollado por los
auditores con el objeto de determinar cuáles de los puntos identificados en el curso de una
auditoria merecen sen comentados con el comité de auditoria de la entidad. No pretende servir
(y muchos observadores creen que no sirve) como punto de referencia para determinar si un
sistema de control interno es eficaz o no. Los mencionados observadores señalan que el
concepto tiende a otro objetivo y opinan que la necesidad de comunicar una determinada
situación al comité de auditoria no necesariamente significa que el sistema de control interno
sea ineficaz.
Esta jerarquía de umbrales es coherente con los conceptos introducidos en la sección
“Marco general” (Capítulo 6, bajo “Directrices sobre comunicación de deficiencias”). Se puede
definir las deficiencias a comunicar en base a las necesidades de cada una de las partes
implicadas. La dirección y el consejo de administración o el comité de auditoria necesitan tener
conocimiento de las deficiencias que se han definido como dignas de mención, mientras que
los inversores, acreedores y otros lectores del informe deberían estar informados de la
existencia de deficiencias significativas, si las hay. Son estas deficiencias de control interno las
que influirían de forma justificada, en la percepción de un inversor respecto a la capacidad de
la entidad de formular estados financieros fiables.
Aunque el umbral de la deficiencia significativa es clave en cuanto a la publicación de
información sobre el control interno, el lector no debería esperan una respuesta fácil a la
pregunta: “¿Cómo voy a reconocer una deficiencia significativa?”. Por desgracia, no se puede
expresar sólo en términos cuantitativos el proceso que permite determinar la existencia de una
deficiencia significativa. Se requiere bastante discernimiento, teniendo en cuenta todos los
hechos y las circunstancias que se dan en cada caso. Los conceptos de importancia relativa y
de deficiencia significativa han sido ampliamente discutidos. Aunque los presentes
comentarios no terminan con el debate, pueden arrojar un poco de luz sobre el tema.
Dada su importancia, el concepto de deficiencia significativa debe sen estudiado por los
organismos apropiados para aportar unas pautas adicionales sobre su aplicación. Mientras
tanto, los párrafos siguientes contienen algunos criterios que serán de ayuda en la
identificación de estas deficiencias.
Relación entre las deficiencias y las aseveraciones implícitas en los

estados financieros
La definición de la deficiencia significativa implica el riesgo de que ocurran errores o

irregularidades sin que se detecten a tiempo. El término “errores e irregularidades” en la
definición es un enlace con los estados financieros de
la entidad y, por tanto, los objetivos básicos de la información financiera, a saber, el concepto de
la imagen fiel y las cinco aseveraciones implícitas que constituyen el fundamento de los estados
financieros de una entidad.
Al considerar si se alcanzan los objetivos de la entidad en cuanto a la información
financiera, deben considerarse los resultados en relación con cada uno de los cinco componentes
del control interno respecto a las aseveraciones relevantes que hacen referencia a las cuentas
significativas. Las deficiencias en algunos de los componentes del control interno pueden estar
relacionadas, no sólo con una o algunas de las aseveraciones y cuentas contenidas en los estados
financieros; si no que sus efectos pueden tener un alcance mucho más amplio. Por ejemplo, la
conclusión de que los altos cargos carecen de integridad puede poner en duda la fiabilidad de
todas las aseveraciones realizadas sobre todas las cuentas. Sin embargo, los posibles efectos de
otras deficiencias sobre los estados financieros pueden concretarse a menudo con más precisión.
Por ejemplo, las deficiencias de control asociadas con las comunicaciones de los clientes pueden
poner en duda la suficiencia de las provisiones para deudas de dudoso cobro y posibles
existencias defectuosas. Sin embargo, estas deficiencias, por si solas, no pondrían en duda el
valor neto contable de otros activos.
La importancia de deficiencias especificas
En el presente estudio el término “deficiencia” se refiere a un defecto de control interno

percibido, potencial o real, o a una oportunidad de fortalecer el sistema para aumentan la
probabilidad de que se consigan los objetivos de la entidad. No todos los defectos son
deficiencias significativas. Sobre todo porque pueden existir otros controles que permiten
alcanzar el mismo objetivo. Cuando se detecta una deficiencia, la persona encargada de evaluar
el sistema de control interno debe buscan aspectos positivos en los controles existentes en ese u
otros componentes que puedan ayudar a cumplir el objetivo especifico afectado por la
deficiencia.
Por ejemplo, al considerar el control en relación con la estimación realizada por la dirección
de las provisiones para clientes dudosos, las revisiones por parte de la dirección de datos
operativos como el número de días de ventas en las cuentas a cobrar, pueden desempeñar la
misma función que otro control, tal como el seguimiento de las reclamaciones de clientes. Tanto
las revisiones realizadas por la dirección como el seguimiento de reclamaciones son
procedimientos positivos, pero el primero, por si solo, podría dirigir suficiente atención a la
provisión para insolvencias y así evitar que la insuficiencia en el seguimiento sea una deficiencia
significativa. Otro ejemplo sería que la entidad llevara a cabo revisiones especiales al cierre del
ejercicio sobre las
posibilidades de cobro de las cuentas a cobrar que incluyeran el seguimiento de cuentas
morosas de mucha antigüedad. Esta medida también podría permitir que la dirección afirmará
que existen controles adecuados para asegurar una valoración correcta de las cuentas a cobrar.
La dirección puede tomar en consideración los controles que existen en cualquier punto del
sistema para formular una conclusión acerca de si el sistema de la entidad, en su conjunto, se
ha diseñado apropiadamente y está funcionando para alcanzar cada objetivo específico relativo
a la fiabilidad de la información financiera.
Carácter significativo de las deficiencias observadas
Una vez que se haya identificado una deficiencia en los controles sobre la información
financiera, se debe considerar la importancia relativa de los posibles errores en relación con los
estados financieros de la entidad, antes de llegar a una conclusión sobre si la deficiencia de
control es o no significativa. La literatura de auditoria existente ofrece recomendaciones para
tomar este tipo de decisiones9. Si bien estas recomendaciones van dirigidas a auditores,
también pueden ser de utilidad para los directivos.
En la medida en que pueda aplicarse a las condiciones actuales, el conocimiento de errores
anteriores que el sistema de control interno no pudo prever o detectar puede ayudar a estimar la
probabilidad y el efecto de posibles errores futuros. Pero hay que actuar con cautela. El mero
hecho de que haya ocurrido o que pueda ocurrir un error no necesariamente quiere decir que ha
existido o que ahora existe una deficiencia significativa. Los conceptos de las limitaciones
inherentes de los sistemas de control interno (aplicación del juicio humano, un análisis coste-
beneficio, posibilidad de eludir los controles por parte de la dirección, confabulación o
existencia inevitable de fallos) son todos relevantes a la hora de determinan si los errores
conocidos provienen de una deficiencia significativa en el sistema de control interno.
Sin perjuicio de la necesidad de considerar el concepto de coste-beneficio para determinar
si un defecto constituye una deficiencia significativa, este concepto por si solo puede no ser el
factor decisivo. Si, por ejemplo, un control en particular es absolutamente esencial para reducir
el riesgo de error material a un nivel relativamente bajo (y así evitar una deficiencia significati-
va), aunque su coste sea elevado, la ausencia de dicho control constituiría una deficiencia
significativa. Debe reconocerse, sin embargo, que la definición de
El “Statement on Auditing Standards No. 30.”, Reporting on Internal Accounting Control (New York: AICPA, 1980), sugiere que
se considere el efecto del conjunto de las deficiencias que individualmente no son significativas (párrafo 32)
lo que constituye el “riesgo mínimo” necesariamente requiere la aplicación del juicio de La
dirección, que podría incluir el coste como un factor relevante.
Proceso de formulación del juicio
Los factores anteriormente mencionados sugieren que para decidir si un defecto de control
interno es una deficiencia significativa se requiere tanto el entendimiento profundo de los hechos
y circunstancias relevantes como una gran capacidad de juicio. Por lo tanto, la decisión de que
existe una deficiencia significativa no puede tomarse en abstracto. Una situación concreta puede
merecer la consideración de deficiencia significativa en una entidad pero no en otra, según la
actividad, los productos o los servicios ofrecidos o la existencia de otros controles, por indicar
sólo algunas razones. Debido a las diferencias en los sistemas de control establecidos para
cumplir los objetivos de información financiera y en los hechos y circunstancias de la situación de
cada entidad, dar ejemplos puede ser la mejor forma de ilustrar cómo la dirección podrá reconocer
una deficiencia significativa. A continuación se presentan varios ejemplos para ilustrar el proceso
de razonamiento que puede seguirse.
 Los códigos de conducta formales pueden sen una parte importante de la cultura de control.
¿Cómo debería entender la persona encargada de evaluar el sistema de control interno la
ausencia de un código de conducta formal? En una entidad grande, la ausencia de tal código
sería un hecho llamativo y el evaluador podría tender a considerarla como una deficiencia
significativa. Podría inclinarse aún más hacia esta opinión si un comportamiento no ético
expusiera la entidad a un riesgo excesivamente alto de que existieran pasivos no registrados
o activos no realizables que hicieran que los estados financieros de la entidad fueran
engañosos. Por ejemplo, éste podría ser el caso si una empresa contratada por el gobierno
cargara costes ficticios en un contrato. Sin embargo, una entidad podría cumplir objetivos
similares a los perseguidos por un código de conducta escrito a través de un sistema menos
formal. Una solución sería, por ejemplo, las reuniones periódicas entre la dirección y los
empleados en las que se traten los comportamientos aceptables y los no aceptables. Si el
evaluador cree que estas reuniones son eficaces, puede llegar a la conclusión de que la ausen-
cia de un código de conducta formal no da lugar a un riesgo inaceptable de errores o
anomalías significativas. Esta conclusión sería aun más apropiada si el riesgo de que se
produzca un hecho que afectara la fiabilidad de los estados financieros de la entidad, y que
normalmente estaría prohibida por un código de conducta formal, fuera menor gracias a
dichas reuniones.
 La falta de integridad de la dirección podría tener efectos tan importantes en los estados
financieros que podría constituir una deficiencia significativa. Sin embargo, no todas las
acciones irregulares son parecidas, ni tienen el mismo impacto sobre la información
financiera. Por ejemplo, el hecho de “inflar” los ingresos declarados facturando antes del
fin del ejercicio unas ventas destinadas a sen entregadas en el ejercicio siguiente normal-
mente indicaría una mayor falta de integridad que la utilización de un coche de la empresa
para fines personales. Las dos acciones son pruebas de falta de integridad, pero la primera
parece ser, por lo menos a primera vista, más grave que la segunda y tendría
implicaciones más directas y significativas sobre la fiabilidad de los estados financieros
de la entidad. Asimismo, el comportamiento no ético de un responsable de un nivel
relativamente bajo tiene menos consecuencias a la hora de llegar a una conclusión sobre
la capacidad del sistema de control interno de la entidad de generar estados financieros
fiables que si el mismo comportamiento se observase en el presidente o en algún miembro
de la alta dirección.
 Otro ejemplo podría sen el de una empresa de alta tecnología que ofrezca contratos con un
largo período de garantía para sus productos. Los empleados que presten servicios a los
clientes o de otra manera tengan conocimiento de los problemas de los clientes
relacionados con estos productos están obligados a comunican su conocimiento de los
niveles de insatisfacción de los clientes al personal de contabilidad. En este caso, dicho
proceso es fundamental para que la función de la contabilidad pueda hacer una estimación
razonable de la provisión para garantías. En este caso no existen otros controles para
cumplir los mismos objetivos de información financiera. La ausencia de tal
comunicación, bien porque no hay forma de hacerlo o porque no se aprovechan las
posibilidades disponibles, podría, si los importes son materiales, dar lugar a la conclusión
de que existe una deficiencia significativa. Las variaciones en los hechos y circunstancias,
sin embargo, podrían dar lugar a otra conclusión. Si las condiciones de los contratos
fueran sustancialmente diferentes (por ejemplo, si ofrecieran un período de garantía
mucho más control el riesgo podría estar muy por debajo de cualquier umbral razonable
de importancia relativa. De la misma forma, el departamento de auditoria interna u otros
empleados designados al efecto podrían contactar con los clientes al cierre del ejercicio
para averiguar la importancia de las posibles reclamaciones y de esta forma conseguir los
mismos objetivos por otros medios. En ambas situaciones, y pueden existir mis,
seguramente la dirección concluiría que no existía una deficiencia significativa.
 Un cuarto ejemplo podría sen la evaluación de nuevos riesgos y la respuesta a Los mismos.
La ausencia de un mecanismo en una empresa de servicios financieros, que identifique los
riesgos relacionados con los estados financieros y asociados con los nuevos instrumentos
financieros con los que habitualmente trabaje, tiene más posibilidades de ser considerada
como una deficiencia significativa que la ausencia de un mecanismo similar en una empresa
manufacturera que sólo realiza transacciones puntuales con instrumentos financieros más
tradicionales cuyos riesgos están bien identificados.
 Para poner un ejemplo más, considérese el caso de que el personal de contabilidad efectúe
conciliaciones u otras funciones de control clave y que tengan poca formación o ninguna. En
teoría, este hecho podría ser una deficiencia significativa. Sin embargo, en la práctica, el
personal de contabilidad está sujeto a una supervisión eficaz. También es posible que en las
revisiones realizadas por la dirección de la información financiera se identifiquen errores
materiales. Si este es el caso no cabria considerar dentro de la categoría de deficiencia
significativa el asunto de la formación.
 Finalmente, la ausencia de procedimientos para revisar la fiabilidad de programas
informáticos comprados y utilizados para generar informes sobre las ventas y las
correspondientes comisiones podría ser, en teoría, y si no existen otros controles, una
deficiencia material. No sería el caso si las ventas estuvieran conciliadas con los datos de
envío y si se verificaran las comisiones declaradas (que en este caso se asume que son
idénticas) mediante un cálculo global.
Documentación
Cuando una entidad emite un informe público sobre el control interno, debería formulan y
mantener los documentos que soportan las afirmaciones realizadas. Como se menciona en la
sección “Marco general”, Capitulo 6, el tipo y la extensión de tal documentación variará según la
entidad. La sección “Herramientas de evaluación” incluye determinados procedimientos mediante
los cuales un sistema de control interno y el proceso de evaluación pueden documentarse. Otros
procedimientos de documentación son igualmente aceptables, siempre que se justifiquen las
afirmaciones realizadas en el informe.
Anexo
Análisis de los comentarios
En este Anexo se presenta un resumen de los comentarios más importantes suscitados tras la difusión
pública de un borrador de este documento y de las reacciones ante una versión revisada. Menciona las
modificaciones resultantes que se han incorporado a este documento final, así como las razones por las
que se aceptaron algunos comentarios y no otros.
Se incluyó el borrador de este tema como parte de un informe de un solo volumen que se publicó a
fin de recoger comentarios. Conforme a los comentarios recibidos, el tema se presenta ahora
separadamente. El motivo de tal decisión se describe en el Anexo D de la sección “Marco general” del
informe. Aquí se presentan otros comentarios importantes sobre información formulada por la dirección y
destinada a terceros.
Ámbito de aplicación
En el borrador publicado se afirmaba que el informe de la dirección sobre control interno debería
cubrir solamente el control sobre la información financiera. Algunas de las personas consultadas apoyaron
esta postura. Estaban de acuerdo con la afirmación del borrador de que los informes sobre los controles de
la información financiera deben coincidir con las necesidades de los accionistas y obligacionistas y que si
se extendiera a otros objetivos, los costes se incrementarían y surgirían más temas a estudiar y sobre los
que informar. Otras personas, sin embargo, dijeron que el informe sobre control interno debería incluir los
controles operacionales y de cumplimiento. Sin argumento fue que los inversores quieren información
sobre la existencia de controles
dentro de la organización para ayudantes a aseguran que funcione de forma eficaz y eficiente y
que cumpla con las leyes y reglamentos. Algunas personas afirmaron que el hecho de limitar el
contenido del informe a los controles sobre la información financiera no es coherente con el resto
del documento, que contempla el control interno desde una perspectiva amplia.
Se llegó a la conclusión, por varias razones (aparte de las razones avanzadas, se menciona la
ausencia de una norma que permita medir la eficacia de los controles operacionales y de
cumplimiento, parecido al concepto de deficiencia significativa para controles sobre información
financiera) de que el documento final debería mantener la postura de informar únicamente sobre
los controles relativos a la información financiera, ya que eso es lo más relevante para las
necesidades actuales. Sin embargo, se ha añadido un análisis de la evolución de la información
sobre los controles de cumplimiento.
Manifestaciones a favor de la obligación de publicar un

informe de la dirección sobre control interno
Algunas de las personas consultadas indicaron que el documento final debería abogar por los
informes obligatorios. Afirmaron que la obligación de informar elevaría la conciencia de la
dirección de su responsabilidad de mantener un control interno eficaz sobre la información
financiera y proporcionaría información relevante e importante a los usuarios.
El documento final, similar al borrador, no se manifiesta ni a favor ni en contra de la
introducción de informes obligatorios. Esto se debe a que se preparó el documento como
respuesta a la recomendación de la Treadway Commission de proporcionar, entre otros, una base
para los informes de la dirección sobre el control interno. Cualquier intento de resolver el debate
sobre la necesidad o la conveniencia de imponer la obligación de emitir informes queda fuera del
alcance de este estudio.
Contribución del auditor externo en los informes preparados por la dirección
Aunque no se incluyó en el borrador, muchas de las personas consultadas plantearon la

cuestión de silos auditores externos deberían certificar los informes. Algunas de estas personas se
opusieron a tal involucración, presentando argumentos basados en los costes y beneficios
relativos. Otras la apoyaron, refiriéndose al valor añadido que supondría la colaboración del
auditor externo.
Se llegó a la conclusión, debido al gran interés suscitado, de que se debena considerar esa
cuestión en el documento final. Se decidió que el documento final debería afirmar que, al igual
que el caso anterior, la resolución de este tema queda fuera del alcance del presente estudio.
Fecha de evaluación del control interno

El borrador apoyó la postura de informar sobre la eficacia del sistema a una fecha
determinada. Algunas de las personas consultadas estuvieron de acuerdo, mientras que otras
opinaron que informan sobre un momento determinado no es coherente con el control interno
como proceso y con el concepto de seguimiento continuado del control interno. Sugirieron que
informar sobre un periodo de tiempo seria lo más apropiado.
Se llegó a la conclusión de que el documento final debería mantener esa preferencia por el
informe sobre un momento determinado. Este tipo de informe responde a las necesidades de
los accionistas y obligacionistas, cuesta menos y proporciona un entorno propicio para la
identificación y corrección de deficiencias de control.
Información intermedia
En el borrador se afirmaba que los informes de la dirección sobre el control interno
deberían contemplar los controles sobre el proceso de formulación de la información financiera
tanto intermedia como anual. Algunas de las personas consultadas indicaron que no estaba
claro cómo el hecho de informar sobre un momento determinado se relaciona con los controles
sobre la preparación de información intermedia. Otras dijeron que dichos informes deberían
afirmar explícitamente que cubren los controles sobre la información financiera intermedia.
El documento final ofrece una descripción más clara de la relación que existe entre los
informes sobre la eficacia del control interno a una fecha determinada y la aplicación de
controles para la formulación de información financiera intermedia. Este documento afirma
que el informe de la dirección debería incluir los controles internos en vigor a una fecha
determinada (por ejemplo, el cierne del ejercicio). En consecuencia, los controles internos
incluidos en el informe son los que están en vigor al cierre del ejercicio correspondientes a la
formulación de tal información, y no los controles que podrían haber estado en vigor al final de
cada trimestre (fecha de formulación de la información intermedia).
Control interno: ¿organización o eficacia?
En el borrador se afirmaba que el informe de la dirección debería incluir la conclusión de la
dirección sobre la eficacia del sistema de control interno. Algunas de las personas consultadas
opinaron que el informe de la dirección solamente debería describir la organización del sistema
sin evaluar la eficacia del mismo, principalmente para ayudan a evitan que se incurra en
responsabilidades en el caso de que se identificase una deficiencia.
EL documento final mantiene la idea de la conveniencia de informar sobre la eficacia del
control interno. La Comisión Treadway pidió información sobre la eficacia, y las entidades que
tengan la intención de cumplir con las recomendaciones de dicha comisión deberían informar en
este sentido. El documento final también presenta razones adicionales por las que es apropiado
informan sobre la eficacia del control interno.
Informar sobre las deficiencias

Algunas de las personas consultadas expresaron su preocupación por el hecho de que, dado
que el informe de la dirección aborda solamente las deficiencias significativas existentes a la
fecha a la que se refiere el informe, podrían los lectores del informe no apercibirse de que los
sistemas de control interno, por su propia naturaleza, identifican y corrigen deficiencias continua-
mente.
Para evitar cualquier malentendido, el documento final recomienda la inclusión de una
afirmación dentro del informe de la dirección sobre la existencia de tales mecanismos de
autoseguimiento.
Modelo de informe de la dirección sobre el control interno

El borrador incluía un modelo de informe de la dirección como ejemplo de cómo se pueden
aplicar las directrices sobre la materia. Algunas personas indicaron que presentar sólo un ejemplo
podría hacer que el mismo llegara a ser considerado como el modelo a según. Para fomentar la
flexibilidad en el informe, algunos comentarios sugirieron que se eliminara el ejemplo mientras
otros sugirieron que se incluyeran mAs ejemplos, que contuvieran asuntos actualmente tratados
en los informes sobre el control interno. En algunos comentarios se mencionó que los informes
modelo son particularmente útiles para los administradores que tienen poca experiencia en la
presentación de información sobre el control interno. También sugirieron que se incluyera un
ejemplo de cómo se podría informar de la existencia de una deficiencia significativa.
Se llegó a la conclusión de que el informe modelo es y debe mantenerse, peno que seria
conveniente incluir ejemplos adicionales para fomentan la flexibilidad. El documento final
contiene tres informes modelo, uno de los cuales trata de otros asuntos que suelen figurar en
los informes de este tipo, y otro describe la existencia de una deficiencia significativa. El
documento final también hace hincapié en el hecho de que la dirección de cada entidad debe
ajustar el informe a sus circunstancias y evitan el uso de lenguaje excesivamente estandarizado.
Criterios de evaluación de la eficacia del control interno

El informe modelo expuesto en el borrador preliminar permite identifican los criterios
seguidos pana evaluar la eficacia del control interno. Algunas de las personas consultadas
comentaron que el informe modelo no debería referirse a este estudio porque al hacerlo podría
implicar que éstos fueran los únicos criterios disponibles. Sugirieron que se incluyera una
clasificación sobre la existencia de otros criterios que podrían utilizarse a la hora de evaluar el
sistema e informar sobre los mismos.
Se Llegó a la conclusión de que es importante que los lectores tengan constancia de los
criterios utilizados por la dirección a la hora de determinan si el sistema de control es o no
eficaz. El informe modelo se mantiene igual en esta versión final del estudio, pero se afirma
claramente que pueden utilizarse otros criterios.
Suplemento
“Información a terceros”
Objetivo
El informe “Control interno: Un marco integrado” fue emitido en el mes de septiembre de 1992 pon
el “Committee of Sponsoring Organizations of the Treadway Commission” (COSO). Este informe, al que
a menudo se le denomina el informe COSO, está dividido en cuatro partes. La sección principal define el
control interno, describe sus componentes y facilita criterios para que la dirección, el consejo de
administración u otros pueden evaluar sus sistemas de control. Otra sección, denominada “Información a
terceros” proporciona orientación a aquellas entidades que publican información sobre el control interno
en relación con la emisión de sus estados financieros públicos o que están planteándose el hacerlo. El
informe también incluye un “Resumen pana la dirección” así como una sección sobre las “Herramientas
de evaluación”.
Desde su emisión, muchas de Las partes interesadas han considerado que el informe COSO ha
conseguido los objetivos fijados, al establecer una definición común que atiende a las necesidades de los
distintos interesados y proporciona una pauta respecto a la que las empresas y demás entidades pueden
evaluar sus sistemas de control y determinar la manera de mejorarlos. Sin embargo, algunos interesados,
incluida la U.S. General Accounting Office (Oficina de Contabilidad General de EE.UU.), opinan que los
informes que recomienda el informe COSO no tratan adecuadamente los controles relacionados con la
salvaguarda de los activos, por lo que no responden totalmente a
Los requisitos establecidos en la Foreign Corrupt Practices Act (Ley de Prácticas Corruptas en el
Extranjero) de 1977‟.
El presente documento constituye un anexo a la sección “Información a terceros” del informe
COSO. En él se comenta el tema de complementar el alcance del informe de la dirección sobre el
control interno con el fin de cubrir los controles relacionados con la salvaguarda de los activos y
constituye asimismo un medio pana identifican los controles relacionados con la salvaguarda de
los activos.
Introducción
El informe COSO define el control interno como:
...un proceso, efectuado por el Consejo de Administración, la Dirección y el resto

del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable respecto a la consecución de objetivos incluidos dentro de
las siguientes categorías:
— Efectividad y eficacia de las operaciones.

— Fiabilidad de la información financiera.
— Cumplimiento de las leyes y normas que sean aplicables.
El informe COSO establece que los objetivos operacionales “están relacionados con la
efectividad y eficacia de las operaciones de la entidad, incluidos los objetivos de rendimiento y
rentabilidad, así como la salvaguarda de los recursos disponibles contra posibles pérdidas”. A la
hora de comentar la salvaguarda de los recursos, en el informe COSO se incluyen las siguientes
afirmaciones:
“Aunque éstos (los objetivos relacionados con la salvaguarda de los recursos)

sean fundamentalmente objetivos relacionados con las operaciones, algunos
aspectos pueden encajar en otras categorías. En la categoría de operaciones, se
incluye la utilización eficiente de los activos y otros recursos, así como la
prevención contra posibles pérdidas como consecuencia de robo, de merma, de
ineficacia o simplemente de la toma de decisiones empresariales equivocadas
(tales como la venta de productos a precios demasiado bajos, la concesión
“La Foreign Corrupt Practices Act requiere, entre otras cosas, que los emisores de información financiera
desarrollen y mantengan un sistema de control interno contable suficiente para proporcionar una seguridad
razonable de que i) las transacciones se efectúan de acuerdo con la autorización general o específica de la
dirección; ii) las transacciones se contabilizan de la forma necesaria ... con el fin de mantener las líneas
correspondientes de responsabilidad respecto a los activos; iii) no debe existir acceso a los activos sin una
autorización general o específica de la dirección y, iv) los activos registrados se comparan con los elementos
realmente existentes a intervalos razonables y se toman las medidas adecuadas respecto a las diferencias que, en
su caso, sean detectadas.”
de crédito a terceros de forma arriesgada, el no retener a empleados clave, el no impedir la infracción de
patentes o el incurrir en contingencias imprevistas). En los casos en que son introducidos los requerimientos
legales o reguladores, estos objetivos se convierten en objetivos de cumplimiento. Por otra parte, el objetivo
de asegurar que tales pérdidas quedan adecuadamente reflejadas en los estados financieros de la entidad
es un objetivo relacionado con la información financiera.
La categoría en la que encaja un objetivo puede depender a veces de las circunstancias. Siguiendo con el
tema de la salvaguarda de los activos, los controles para impedir el robo de los mismos, tales como el
mantener las existencias debidamente almacenadas y protegidas y asignar un guarda que verifique que se
ha obtenido la autorización correspondiente para los movimientos de bienes, encajan dentro de la categoría
de operaciones. Estos controles normalmente no tendrían incidencia sobre la fiabilidad de la preparación de
los estados financieros, ya que toda pérdida de existencias sería detectada como resultado de la inspección
física periódica y contabilizada en los estados financieros. Sin embargo, si a efectos de la presentación de
información financiera, la dirección depende únicamente de los registros de inventarios permanentes tal
como en el caso de la presentación de estados financieros intermedios, los controles de seguridad física
también encajarían dentro del objetivo de presentación de información fiable. Esto se debe a que sería
preciso efectuar estos controles físicos así como los controles sobre los registros de inventarios permanentes
para asegurarse de la fiabilidad de la información financiera pública”.
Pon tanto, cuando la dirección informa sobre si los sistemas de control interno de la entidad en
relación con la presentación de información financiera cumplen los criterios establecidos en el informe
COSO, unas entidades pudieran cubrir determinados controles diseñados principalmente a la salvaguarda
de los activos, mientras que otras pudieran no hacerlo.
Conclusión
COSO entiende que la definición de control interno en el presente informe, incluida la clasificación
de controles como de operaciones, de cumplimiento y de presentación de información financiera, sigue
siendo adecuada. Al mismo tiempo, COSO reconoce que la “Foreign Corrupt Practices Act” engloba
determinados controles relacionados con la salvaguarda de los activos que pueden quedar excluidos de un
informe de la dirección sobre el control interno relacionados con la presentación de la información
financiera según la definición de COSO. Asimismo, algunos lectores de los informes sobre control interno
pudieran esperar que los mismos traten en todos los casos dichos controles adicionales. Es decir, existe
una expectativa razonable de que los informes sobre el control interno se refieran no sólo a los controles
destinados
a asegurar que las transacciones en que están implicados los activos de la entidad
quedan adecuadamente reflejadas en los estados financieros, sino también a aquellos
destinados a prevenir o detectar oportunamente la adquisición, utilización o enajenación
no autorizada de los activos subyacentes. COSO entiende que es importante que dicha
expectativa se cumpla.
Definición
En consecuencia, a efectos de la presentación de información pública sobre el
control interno, se facilita la siguiente definición
El control interno sobre la salvaguarda de los archivos contra la

adquisición, utilización o enajenación no autorizada constituye un
proceso efectuado por el Consejo de Administración, la Dirección y el
resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable respecto a la prevención
o detección oportuna de la adquisición, utilización o enajenación no
autorizada de los activos de la entidad que pudiera afectar
materialmente a los estados financieros.
Una definición relacionada con la efectividad es la siguiente:
Tal control interno puede considerarse efectivo si el Consejo de

Administración y la Dirección tienen la seguridad razonable de que se
está previniendo o detectando de forma oportuna cualquier adquisición,
utilización o enajenación no autorizada de los activos de la entidad que
pudiera afectar materialmente a los estados financieros.
Comentarios
“El control interno sobre la salvaguarda de los activos contra la adquisición,
utilización o enajenación no autorizada de los mismos” constituye una parte de un
conjunto más amplio definido como los controles sobre la salvaguarda de los activos
que, según la definición del informe COSO, encajan dentro de una o más de las tres
categorías básicas de controles. En consecuencia, estos controles engloban cada uno de
Los cinco componentes del control interno, según se define en la sección “Marco
general” del informe, en la medida en que dichos componentes tienen que ver con la
prevención o detección oportuna de la adquisición, utilización o enajenación no
autorizada de los
2
El informe COSO está diseñado para permitir definiciones especificas del control interno, dentro del marco de
definiciones básicas, con el fin de atender a las necesidades de los distintos usuarios.
activos que pudiera afectar materialmente a los estados financieros3. Tales controles incluyen,
por ejemplo:
 La evaluación del riesgo de que se produzcan adquisiciones,

utilizaciones o enajenaciones indebidas de los activos.
 El establecimiento de actividades de control con el fin de asegurar
que se ponen en marcha las directrices de la dirección para cubrir
el riesgo. Tales actividades de control incluirían los controles que
aseguran que la adquisición, utilización o enajenación de los
elementos del activo únicamente se produce con la autorización
general o específica de la dirección, incluido el cumplimiento de las
políticas y procedimientos establecidos para dicha adquisición,
utilización o enajenación. También se incluiría la comparación de
los activos existentes con los registros relacionados a intervalos
razonables y la toma de las medidas adecuadas respecto a
cualquier diferencia.
 La puesta a disposición de la dirección de la información necesaria
para ejercer sus responsabilidades en relación con la prevención o
detección oportuna de actividades no autorizadas.
 Los mecanismos que permiten a la dirección supervisar el
funcionamiento efectivo continuado de dichos controles.
Los controles sobre la salvaguarda de los activos contra la adquisición, utilización o

enajenación indebida están relacionados con la prevención o detección oportuna de las
operaciones no autorizadas y el acceso no autorizado a los activos que pudieran originar
pérdidas materiales respecto a los estados financieros, por ejemplo, cuando se incurre en
gastos, se realizan inversiones o se incurre en pasivos no autorizados, se roban existencias o se
utilizan activos pana fines personales. Tales controles están diseñados para asegurar que la
utilización de y el acceso al activo cumplen con la autorización de la dirección. La autorización
incluye la aprobación de las transacciones de acuerdo con las políticas y procedimientos
establecidos por la dirección y el consejo de administración pana salvaguardar los activos, tales
como el establecimiento y cumplimiento de los requisitos relacionados con la concesión y
control del crédito o la toma de decisiones sobre inversiones, incluyendo el correspondiente
soporte documental.
Los controles sobre la salvaguarda de los activos respecto a la adquisición, utilización o
enajenación indebida no están diseñados para proteger contra las pérdidas de activos derivadas
de la ineficacia o de las decisiones de la dirección sobre operaciones, tales como la venta de un
producto que resulta no
La relación entre las tres categorías básicas de control y los cinco componentes se describe en la ilustración 2 de la sección
“Marco general” del informe COSO. En el contexto de dicha ilustración, los controles relacionados con la salvaguarda de los activos
contra la adquisición, utilización o enajenación no autorizada quedarían reflejados por un “corte” vertical del cubo, que normalmente
engloba un segmento de la columna de presentación financiera, un segmento de la columna de operaciones o ambas, en función de las
circunstancias comentadas en el informe COSO y citadas anteriormente en la Introducción al presente documento.
rentable, la inversión en equipos o materiales que resulten no ser necesarios o satisfactorios, la
autorización de una investigación que resulte no productiva o de publicidad ineficaz, o la
aceptación de cierto grado de robo de mercancía por parte de los clientes como riesgo inherente a
un negocio de distribución minorista. En la medida en que pueden producirse dichas pérdidas,
unos controles efectivos sobre la presentación de la información financiera deben proporcionar
seguridad razonable de que las mismas están adecuadamente reflejadas en los estados financieros
alertando, de este modo, a los usuarios sobre la necesidad de que se tomen medidas al respecto.
Otros conceptos comentados en el informe COSO —incluido el principio de que, debido a las
limitaciones inherentes a todos los sistemas de control interno, la dirección y el consejo de
administración no pueden tener más que una seguridad razonable respecto a la consecución de los
objetivos especificados— también deben aplicarse a estos controles.
Presentación de la información financiera

La definición de los controles sobre la salvaguarda de los activos contra la adquisición,
utilización o enajenación no autorizada y los comentarios mencionados con anterioridad,
proporcionan una base para que la dirección informe sobre los mismos. COSO recomienda a las
direcciones que informan a terceros acerca de los controles existentes sobre la presentación de la
información financiera que también traten los controles sobre la salvaguarda de los activos contra
la adquisición, utilización o enajenación no autorizada. Asimismo, recomienda a las direcciones
que incluyan menciones especificas sobre dichos controles en el informe. A continuación se
incluye un modelo de informe a efectos ilustrativos, basado en el presentado en la sección
“Información a terceros” del informe COSO:
La Entidad tiene un sistema de control interno sobre la presentación de la

información financiera y4 la salvaguarda de los activos contra la adquisición,
utilización o enajenación no autorizada, que está diseñado para proporcionar a la
Dirección y Consejo de Administración un grado de seguridad razonable en
cuanto a la fiabilidad de los estados financieros públicos y la salvaguarda de los
activos. El sistema dispone de mecanismos de supervisión y se toman las
medidas necesarias para corregir deficiencias en cuanto éstas se identifican.
Todo sistema de control interno, por muy bien diseñado y eficaz que sea, tiene
limitaciones inherentes —incluyendo la posibilidad de que los controles sean
Cuando todos los controles sobre la salvaguarda de los activos contra la adquisición, utilización o
enajenación de los mismos encajan dentro de la categoría de controles sobre la presentación de la información
financiera, la palabra “y” puede cambiarse por “incluida”.
eludidos o burlados— por lo que sólo puede proporcionar una seguridad
razonable en cuanto a la fiabilidad de los estados financieros y la salvaguarda de
los activos. Además, debido a los cambios que pueden producirse en las
condiciones del entorno, la eficacia del sistema de control interno puede variar
con el tiempo.
La Entidad ha evaluado su sistema de control interno al 31 de diciembre de 19XX
basándose en los criterios de eficacia del control interno sobre la presentación de
la información financiera descrita en “Control interno: Un marco integrado” emitido
por el Committee of Sponsoring Organizations of the Treadway Commission. De
acuerdo con dicha evaluación, la Entidad considera que, al 31 de diciembre de
19XX, su sistema de control interno sobre la presentación de la información
financiera y4 la salvaguarda de los activos contra la adquisición, utilización o
enajenación no autorizada de los mismos cumple con los mencionados criterios.
Sección cuarta
Herramientas de evaluación
10
Introducción
Esta sección contiene una serie de herramientas que pueden resultar útiles a la hora de evaluar el
sistema de control interno de una entidad. Dichas herramientas pueden utilizarse de varias maneras:
 Individualmente, al evaluar un elemento especifico, o de forma conjunta al evaluar todos los

elementos.
 Al evaluar los controles relacionados con una categoría de control determinada, tal como la fiabilidad
de la información financiera, o con más de una categoría.
 Al centrarse en determinadas actividades (tales como adquisiciones o ventas), o en todas las
actividades.
Las herramientas de evaluación se presentan como sigue:
 Un conjunto de modelos de formularios, organizados por componentes, junto con otros para facilitan
la recopilación de los resultados con el fin de realizar una evaluación global.
 Un manual de referencia diseñado pana ayudar al evaluador a cumplimentan la “hoja de evaluación
del riesgo y actividades de control”. También se presenta un modelo genérico de empresa que sirve de
base organizativa para el manual de referencia.
 Modelos ya cumplimentados como ejemplo, mostrando la forma en que los formularios pueden sen
utilizados para una empresa hipotética.
Estas herramientas de evaluación están diseñadas para proporcionar orientación y ayuda a las
empresas respecto a la evaluación de los sistemas de control interno en relación con los criterios
para un control interno efectivo expuestos en la primera parte de este informe. Por tanto, los
usuarios de este material deben estar familiarizados con los conceptos contenidos en la primera
parte.
Estas herramientas se presentan únicamente a modo de ejemplo. No forman parte integral del
informe en si mismo y su presentación aquí no tiene como finalidad sugerir que los temas
abordados deben ser considerados a la hora de evaluar un sistema de control interno, ni que los
elementos correspondientes deben estar presentes para concluir que un sistema es eficaz. Asimis-
mo, no hay ninguna sugerencia de que estas herramientas constituyen un método preferido para
realizar y documentar una evolución. Debido a que los hechos y circunstancias varían de una
entidad a otra y de un sector a otro, las metodologías y técnicas de documentación también
variaran. Pon consiguiente, pueden utilizarse distintas herramientas de evaluación u otras
metodologías con distintas técnicas de evaluación. En cuanto a las entidades que piensen utilizan
estas herramientas en alguna forma, se sugiere que se apliquen únicamente como punto de partida
y se modifiquen para reflejar las particulares circunstancias, condiciones y riesgos existentes en
las mismas.
Estas herramientas de evaluación pueden utilizarse por todas las entidades
independientemente de su tamaño. Al utilizarse en empresas pequeñas o medianas, en la
adaptación de dichas herramientas debe tenerse en cuenta que Las entidades más pequeñas
tienden a ser menos formales y a estar menos estructuradas que las organizaciones de mayor
tamaño, que el hecho de tener menos niveles organizativos probablemente hará que la
comunicación del consejero delegado y otros directivos clave con los niveles inferiores de
personal sea más directa y continua y que estos factores incidirán en la forma en que se ejerce el
control. Las herramientas cumplimentadas a modo de ejemplo incluidas en este tomo han sido
rellenadas utilizando una empresa hipotética mediana y pueden servir de orientación para las
empresas de dicho tamaño a la hora de cumplimentar las herramientas.
11
Herramientas de evaluación:
modelos de formularios
Herramientas de evaluación de los componentes del control

interno
Se presentan cinco herramientas de evaluación, una para cada componente del control interno. Un
encabezamiento y una breve introducción sirven para identificar cada factor o elemento significativo
dentro de cada componente.
Los temas clave a abordar están incluidos dentro de la columna “puntos de atención”. Los puntos de
atención están identificados por el símbolo * y representan algunos de los temas más importantes
relacionados con el componente del control interno correspondiente. No todos los puntos de atención son
aplicables a todas las entidades y habrá temas adicionales que serán aplicables a algunas entidades. Se
sugiere que el evaluador adecue los puntos de atención a las circunstancias de la entidad mediante la
incorporación, eliminación o modificación de los puntos proporcionados en la herramienta.
Se incluyen en cada punto de atención (en letra negrita) ejemplos de temas secundarios a tener en
cuenta a la hora de abordarlos. Únicamente se facilitan unos cuantos ejemplos de dichos temas
secundarios, aunque podrían existir muchos otros. Los ejemplos facilitados sirven sólo para ilustrar los
tipos de conceptos a considerar.
El evaluador aborda cada punto de atención, teniendo en cuenta los temas secundarios facilitados a
modo de ejemplo así como otros no presentados. Si bien sería posible anotar una respuesta para cada tema
secundario presentado
a efectos ilustrativos, se sugiere que únicamente se responda a los puntos de atención. La
columna “comentarios” proporciona espacio para incluir una descripción de la forma en que los
temas incluidos en los puntos de atención se aplican en la entidad y anotan los comentarios
correspondientes. La respuesta normalmente no será un "si" o "no", sino consistirá en
información sobre la forma en que la entidad aborda el tema.
Al final de cada sección se deja espacio para anotan a conclusión a la que se ha llegado
acerca de la eficacia de los controles correspondientes y toda acción que puede ser necesaria o
evaluada. Al final de cada formulario se deja espacio para la conclusión relativa al componente
en su totalidad.
Hoja de evaluación del riesgo y actividades de control

Tal como se apunta en las herramientas de evaluación para la evaluación del riesgo y
actividades de control, la dirección establece objetivos para cada actividad importante; analiza los
riesgos respecto a su consecución; establece planes, programas y otras acciones para tratar los
riesgos y establece actividades de control con el fin de garantizar que se llevan a cabo las mismas.
Las herramientas de evaluación del riesgo y actividades de control no constituyen un instrumento
pana evaluar el proceso a nivel de actividad. Se proporciona una hoja de trabajo separada para
facilitar dicha evaluación.
La dirección puede haber documentado ya el proceso o puede no haberlo hecho. Si no lo ha
hecho, la hoja de trabajo (página 268) proporciona un instrumento para ayudan a la dirección a
realizar y documentan el proceso. Posteriormente, el evaluador puede revisar la hoja de trabajo.
Si la dirección no dispone de documentación alguna, el evaluador puede preparar la hoja de
trabajo (con la ayuda de la dirección) con el fin de evaluar el proceso así como otros aspectos
relacionados con el mismo.
EL manual de referencia (que comienza en la página 281) está diseñado para ayudan a
identificar los objetivos a nivel de actividad, en el análisis de los riesgos y en la determinación de
qué acciones pueden llevarse a cabo y qué actividades pueden implantarse.
Evaluación global del sistema de control interno

Se proporciona un formulario de evaluación que sirve para resumir los resultados y las
conclusiones obtenidas para cada uno de los componentes y facilitar así la revisión de los
resultados preliminares pon parte de la dirección de la entidad así como la incorporación de
información adicional. Se deja espacio también para una conclusión global acerca del sistema de
control interno.
Entorno de control
Puntos de atención Descripción / Comentarios
La dirección ha de transmitir el mensaje de que la

integridad y los valores éticos no pueden, bajo ninguna
circunstancia, sen contravenidos. Los empleados deben
captar y entender ese mensaje. La dirección ha de
demostrar continuamente, mediante sus mensajes y su
comportamiento, un compromiso con los valores éticos.
* Existencia y puesta en práctica de códigos de

conducta y otras políticas que consideren las
prácticas empresariales de general aceptación, los
conflictos de intereses o los niveles esperados de
comportamiento ético y moral. Por ejemplo,
considerar si:
 Los códigos son suficientemente amplios y se

refieren a conflictos de intereses, pagos ilegales u
otros pagos indebidos, competencia desleal o uso
fraudulento de información empresarial en las
operaciones.
 Los códigos son aceptados de forma expresa y
periódicamente por todos los empleados.
 Los empleados entienden qué comportamiento es
aceptable o no aceptable y saben qué hacer si se
encuentran con algún comportamiento indebido.
 La cultura de la dirección enfatiza la prestatarios son completos, exactos y nada

importancia de la integridad y comportamiento engañosos).
ético cuando no existe un código escrito de
comportamiento. Este código puede ser
comunicado verbalmente en reuniones con el
personal, reuniones individuales, o en el curso de
las actividades diarias.
* La dirección predica con el ejemplo e indica cla-

ramente lo que está bien y lo que está mal. Por
ejemplo, considerar si:
 Se comunica efectivamente dentro de la
empresa, tanto de palabra como en la forma de
actuar, el compromiso con la integridad y la ética.
 Los empleados sienten presión por parte
de sus iguales para hacen “lo que es debido” o
solamente se piensa en hacer “dinero
rápidamente”.
 La Dirección trata adecuadamente los
síntomas de que existen problemas (por ejemplo,
productos potencialmente defectuosos) en
particular cuando puede ser considerable el coste
de identificar los problemas y tratar los temas.
* El trato con los empleados, proveedores, clientes,

inversores, acreedores, aseguradores, competidores,
auditores, etc. (por ejemplo, si la dirección dirige el
negocio con una alta consideración ética e insiste en
que los demás hagan lo mismo o si presta poca
atención a los temas éticos). Por ejemplo, considerar
si:
 EL trato diario con clientes, proveedores,

empleados y demás terceros se hace de forma
honesta e igualitaria (por ejemplo, no se ignora el
pago excesivo de un cliente o la infrafacturación
de un proveedor o no se hacen esfuerzos para
encontrar una manera de rechazar el derecho
legitimo de un empleado o los informes a los
* Las medidas correctivas que se tornan en respuesta la remuneración se apoya en la consecución de

a las desviaciones de las políticas y procedimientos o dichos objetivos de rendimiento. Por ejemplo,
ante las violaciones del código de conducta son considerar si:
adecuadas. Se comunican las medidas correctivas
para que sean conocidas por toda la organización. Por
 La dirección responde ante las violaciones
de normas de comportamiento.
 Se comunican debidamente dentro de la entidad las
acciones disciplinarias que se toman. los empleados
entienden que si se les sorprende violando las
normas de comportamiento sufrirán las
consecuencias.
* Actitud de la dirección hacia su intervención en los

casos en los que el sistema no dispone de los
mecanismos necesarios para garantizar un
procesamiento adecuado de las transacciones o hacia
la posibilidad de eludir el sistema haciendo caso
omiso de los controles establecidos. Por ejemplo,
considerar si:
 La dirección proporciona directrices sobre
las situaciones y la frecuencia con la que se necesita
su intervención.
 La intervención por parte de la dirección
está debidamente documentada y explicada.
 Está explícitamente prohibido hacer caso
omiso de
Los controles establecidos por parte de la dirección.
 Se investigan y documentan as
desviaciones de
las políticas establecidas.
* Existe presión para cumplir con unos objetivos de

rendimiento poco realistas especialmente en lo
referente a resultados a corto plazo y hasta que punto
 Existen condiciones tales como incentivos

extremados o alicientes que puedan poner a prueba (de una
forma innecesaria e injusta) silos empleados observan los
valores éticos.
 La remuneración y las promociones se basan ex-
clusivamente en la consecución de objetivos de rendimiento a
corto plazo.
 Existen controles para reducir tentaciones que de
otra manera pudieran existir.
Conclusiones /Acciones necesarias
La dirección ha de especificar el nivel de competencia

profesional requerido para trabajos concretos y traducir los niveles
requeridos de competencia en conocimientos y habilidades
imprescindibles.
* Existen descripciones formales o informales de puestos de

trabajo u otras formas de describir las funciones que
comprenden trabajos específicos. Por ejemplo, consideran si:
 La dirección ha analizado, formal o informalmente, las

funciones que comprenden tareas especificas, teniendo en
cuenta factores tales como hasta qué grado los individuos han de
ejercer su propio juicio, y ha establecido cuál es el grado de
supervisión necesaria
* Se analizan los conocimientos y las habilidades
requeridas para realizar los trabajos adecuada-
mente. Por ejemplo, consideran si:
 La dirección ha determinado
adecuadamente los conocimientos y habilidades
requeridas para realizar trabajos específicos.
 Existe evidencia que demuestre que los
empleados parecen poseen los conocimientos y
habilidades requeridas.
Conclusiones /Acciones necesarias
Consejo de administración y comité de auditoria
Un consejo de administración activo y efectivo, o

comités del mismo, es un elemento de control impor-
tante. Dado que la dirección tiene La posibilidad de
eludir los sistemas de control, el consejo tiene un
papel importante para asegurar un control interno
efectivo.
* La independencia respecto de la dirección es más

que necesaria cuando se plantean cuestiones
difíciles o que requieren investigación. Por ejemplo,
considerar si:
 El consejo examina
constructivamente las decisiones tomadas por la
dirección (por ejemplo, iniciativas estratégicas y
transacciones importantes), y busca explicaciones
para resultados pasados (por ejemplo, variaciones
del presupuesto).
 En el caso de un consejo que esté

formado únicamente por los ejecutivos y empleados
de una entidad (por ejemplo, una empresa pequeña),
se cuestionan y examinan detalladamente las
actividades, se presentan opiniones alternativas y se
toman las medidas que sean necesarias.
*Se establecen comités dependientes del consejo en

casos justificados por la necesidad de prestar atención
más detallada o directa a asuntos específicos. Por
 Existen comités dependientes del

consejo.
 Son suficientes, en cuanto a contenido
y número de miembros, pana tratar los temas
importantes adecuadamente.
* Conocimientos y experiencia de los consejeros. Por

 Los consejeros tienen suficientes

conocimientos, experiencia en el negocio de la
empresa y tiempo pana realizar sus funciones
adecuadamente.
* Se celebran reuniones con los responsables

financieros y /o contables, auditores internos y
externos con la necesaria frecuencia y oportunidad.
Por ejemplo, considerar si:
 El comité de auditoria se reúne en privado

con el jefe de contabilidad y con los auditores
internos y externos para discutir la razonabilidad del
proceso de presentación de los estados financieros,
el sistema de control interno, los comentarios y
recomendaciones significativas y la actuación de la
dirección.
 El comité de auditoria realiza una revisión
anual del alcance de las actividades de los auditores
internos y externos.
 El comité de remuneraciones aprueba
todos los planes de incentivos de la dirección
vinculados al rendimiento.
Puntos de atención
Se suministra información a los miembros del Descripción de Comentarios

consejo o del comité de forma suficiente y
oportuna para permitir la supervisión de los
objetivos y las estrategias de la dirección, la
situación financiera y los resultados operativos
de la entidad y las condiciones de los acuerdos
significativos. Por ejemplo, considerar si:
 EL consejo recibe regularmente

información clave, tal como los estados
financieros intermedios, iniciativas
importantes de marketing, contratos
significativos o sobre negociaciones en curso.
 Los consejeros consideran que reciben
una información apropiada.
* Se evalúa suficiente y oportunamente por

parte del consejo o del comité de auditoria la
información más sensible, las investigaciones y
los actos indebidos (por ejemplo, gastos de
viaje de directivos importantes, litigios
significativos, investigaciones de organismos de
control, desfalcos, malversaciones o 11505
indebidos de los activos, violaciones de
reglamentos con respecto al abuso de
información privilegiada, pagos a políticos, pa-
gos ilegales). Por ejemplo, considerar si:
 Existe un proceso para informar al

consejo sobre los acontecimientos
significativos.
 Se comunica la información
oportunamente.
* Existe un control sobre la determinación de las

remuneraciones de ejecutivos y el jefe de audito-
ria interna así como de su nombramiento y cese.
 El comité de remuneraciones trata, previa

consulta con el comité de auditoria, de la
retribución del responsable de auditoria
interna.
* Está establecida la forma de dejar evidencia

de que “los superiores deben dar ejemplo”. Por
 El consejo de administración y el comité

de auditoria están suficientemente
involucrados para evaluar la efectividad del
“ejemplo de los superiores”.
 El consejo toma Las medidas necesarias
para garantizar un “tono ético” apropiado.
 El consejo controla específicamente la
adhesión de la dirección al código de
conducta.
* Las acciones que toma el consejo o el comité

como consecuencia de sus conclusiones,
incluyendo en su caso investigaciones
especiales. Por ejemplo, considerar si:
 El consejo ha emitido directrices a la

dirección detallando las acciones especificas
que han de sen tomadas.
 EL consejo supervisa y realiza el

seguimiento necesario.
* Actitud de la dirección hacia el proceso de
datos y las funciones de contabilidad y su
preocupación por la fiabilidad de la
presentación de la información financiera y a
salvaguarda de los activos. Por ejemplo,
considerar si:
La filosofía de dirección y el estilo de

gestión suelen tener un efecto omnipresente en
una entidad. Estos son, naturalmente, intangibles,
pero se pueden buscar indicadores positivos o
negativos.
* La naturaleza de los riesgos empresariales

aceptados; por ejemplo, la dirección suele
emprender aventuras de especial alto riesgo o
bien es extremadamente prudente para
aceptar riesgos. Por ejemplo, considerar si:
 La dirección actúa con cuidado y

solamente después de analizar los riesgos y los
beneficios potenciales de una operación que
conlleva riesgos.
* Existe rotación de la plantilla en las

funciones clave, por ejemplo, operativas,
contabilidad, proceso de datos, auditoria
interna. Por ejemplo, considerar si:
 Ha existido una rotación excesiva del

personal gerencial o de supervisión.
 Han dimitido inesperadamente o sin
suficiente preaviso empleados clave.
 Existe una tendencia en la rotación (por
ejemplo, incapacidad de retener ejecutivos
financieros clave o miembros del
departamento de auditoria interna) que pueda
ser indicativa del énfasis que la dirección pone
sobre el control.
Puntos de atención
 La dirección evita los enfoques
 Se considera la contabilidad como un mal excesivamente dirigidos sobre los resultados a
necesario o como un vehículo para ejercer el corto plazo. Descripción / Comentarios
control sobre las diversas actividades de la
entidad.
 La selección de criterios contables
utilizados en los estados financieros se realiza
siempre en función de mostrar el mayor
beneficio posible.
 Si la función contable está
descentralizada, la dirección operativa
correspondiente aprueba los resultados
declarados.
 El personal de contabilidad tiene también
una responsabilidad ante y es controlado por la
dirección financiera central.
 Se protegen los activos (incluyendo los
bienes intelectuales y la información) del
acceso o uso no autorizado.
* Frecuencia de interacción entre la alta

dirección y la dirección operativa, en particular
cuando se opera en localizaciones
geográficamente remotas. Por ejemplo,
considerar si:
 Los altos directivos visitan

periódicamente a las subsidiarias o las
divisiones.
 Se celebran con frecuencia reuniones de
dirección del grupo o de las divisiones.
* Actitudes respecto de la presentación de

información financiera, incluyendo las posibles
disputas en cuanto a la aplicación de criterios
contables (por ejemplo, la selección de un
tratamiento conservador en contraposición con
políticas contables muy liberales, si se han
aplicado inadecuadamente los principios
contables, si hay información financiera
importante que no haya sido revelada, o si han
sido manipulados o falsificados los archivos).
Descripción/Comentarios
 El personal emite informes indebidos para

conseguir los objetivos, (por ejemplo,
vendedores emitiendo pedidos para logran la
consecución de objetivos sabiendo que los
clientes devolverán las correspondientes
mercancías en el siguiente período).
 Los directivos ignoran las posibles
sospechas o indicaciones de prácticas
indebidas.
 Se fuerzan las estimaciones hasta él limite
de razonabilidad o incluso más.
Conclusiones/Acciones necesarias
La estructura organizativa no deberá sen tan

sencilla que no pueda controlar adecuadamente las
actividades de la empresa ni tan complicada que
inhiba el flujo necesario de información. Los
ejecutivos deben comprender cuáles son sus
responsabilidades de control y poseer la
experiencia y los niveles de conocimientos
requeridos en función de sus cargos.
* La estructura organizativa es apropiada y su

capacidad de suministrar el flujo necesario de
información para gestionar sus actividades. Por
 La estructura organizativa está

debidamente centralizada o descentralizada
dada la naturaleza de las operaciones
realizadas por la entidad.
en la empresa o en el sector en el que opera.
Puntos de atención Descripción/Comentarios
 La estructura facilita el flujo de Descripción / Comentarios

información hacia los niveles superiores e
inferiores y entre todas las actividades
empresariales.
* La definición de las responsabilidades de los

principales directivos es adecuada así como su
conocimiento de dichas responsabilidades. Por
 Se comunica claramente a los ejecutivos

las responsabilidades y las expectativas
respecto a las actividades de sus áreas de
responsabilidad.
* Los conocimientos y la experiencia de los

principales directivos son los adecuados para
cubrir las responsabilidades asignadas. Por
 Los ejecutivos tienen los conocimientos,

la experiencia y la formación necesaria para
desempeñar sus funciones.
*Idoneidad de las relaciones de dependencia.

 Las relaciones de dependencia

establecidas (ya sean formales, informales,
directas o matriciales) son adecuadas y
permiten a los directivos conocer con claridad
sus responsabilidades y nivel de autoridad.
 Los ejecutivos de niveles inferiores tienen
la posibilidad de utilizar alguna vía de
comunicación apropiada hacia los altos
ejecutivos.
* Se modifica la estructura organizativa

cuando existen cambios en las circunstancias
que lo requieran. Por ejemplo, considerar si:
 La dirección evalúa regularmente la

estructura organizativa a la luz de los cambios
Descripción / Comentarios
* Hay suficientes empleados, especialmente con
capacidad de dirección y supervisión. Considerar,
por ejemplo, si:
 Los directores de departamento y

supervisores tienen tiempo suficiente para
cumplir con sus responsabilidades de manera
eficiente.
 Los directores y los supervisores trabajan
demasiadas horas extraordinarias y asumen
mayores responsabilidades de las que les
corresponderían.
La asignación de responsabilidad, la
delegación de autoridad y el establecimiento de
políticas conexas ofrecen una base para el
seguimiento de las actividades y el sistema de
control y establecen los papeles respectivos de las
personas dentro del sistema.
* Se asigna responsabilidad y se delega

autoridad para tratar objetivos organizativos,
funciones operativas y requisitos regulatorios,
incluyendo la responsabilidad sobre los
sistemas de información y autorizaciones para
efectuar cambios. Considerar, por ejemplo, si:
 Se realiza la asignación de autoridad y

responsabilidad a los empleados de una forma
sistemática en toda a organización de la
empresa.
 La responsabilidad para la toma de

decisiones está relacionada con la asignación
de autoridad y responsabilidad.
 Existe información apropiada para
determinan el nivel de autoridad y el alcance
de la responsabilidad asignada a cada persona.
* Idoneidad de las normas y los procedimientos

relacionados con el control, incluyendo la
descripción de funciones. Considerar, por
ejemplo, si:
 Existe una descripción de funciones para

el trabajo de los directores de departamento y
los supervisones.
 En esa descripción se hace referencia
especifica a las responsabilidades de control.
* Número apropiado de personas,

especialmente con respecto a funciones
relacionadas con el proceso de datos y
contabilidad que tengan los niveles técnicos
requeridos en función del tamaño de la entidad
y la naturaleza y complejidad de sus
actividades y sistemas. Considerar, por ejemplo,
si:
 La entidad tiene el personal adecuado, en

número y experiencia, para llevar a cabo su
misión.
* Idoneidad de la delegación de autoridad

establecida en relación con las
responsabilidades asignadas. Considerar, por
ejemplo, Si:
 Existe un adecuado equilibrio entre la

autoridad necesaria para “que se haga el
trabajo” y la participación de personal
directivo cuando sea requerida.
 Los empleados del nivel “adecuado” están
autorizados para resolver cualquier problema o
para implantan mejoras. Esta facultad se
acompaña con los niveles adecuados de aptitud
y con limites claros de autoridad.
Políticas y prácticas en materia de recursos

humanos
Las políticas de recursos humanos son

esenciales para el reclutamiento y el
mantenimiento de personas competentes que
permitan llevar a cabo los planes de la entidad y
así logran la consecución de sus objetivos.
* Se han implementado políticas y

procedimientos para la contratación,
formación y promoción a los empleados.
Considerar, por ejemplo, si:
 Las políticas y los procedimientos

existentes aseguran el reclutamiento o el
desarrollo profesional de las personas fiables
necesarias para soportar un sistema efectivo de
control interno.
 El nivel de atención que se presta al
reclutamiento y a la formación de las personas
es adecuado.
 Cuando no existe documentación formal
de las políticas y prácticas la dirección informa
de las expectativas existentes sobre qué tipo de
personas han de ser contratadas o participa
directamente en el proceso de contratación.
* Se informa a los empleados de sus

responsabilidades y de lo que se espera de ellos
Considerar, por ejemplo, si:
 Los empleados nuevos conocen cuáles

son sus responsabilidades y lo que la dirección
espera de ellos.
 El personal de supervisión se reúne

periódicamente con los empleados para revisar
su rendimiento profesional y proponen
medidas pana mejorarlo.
* Las acciones correctivas que se toman en res-

puesta a las desviaciones de las políticas y
procedimientos aprobados son suficientes y
adecuados. Considerar, por ejemplo, si:
 La respuesta de la dirección es adecuada

cuando no se llevan a cabo apropiadamente las
responsabilidades asignadas.
 Se toman acciones correctivas cuando no
se observan las políticas establecidas.
 Los empleados entienden que cualquier
incumplimiento traerá como consecuencia la
adopción de medidas correctivas.
* Las políticas de personal están orientadas a la

observancia de unas normas éticas y morales
apropiadas. Por ejemplo, considerar si:
 Se toman en cuenta los valores éticos y la

integridad en las evaluaciones de rendimiento
profesional.
* Las verificaciones de los historiales de los

candidatos en cuanto a comportamientos
previos o actividades que se consideren no
aceptables por la entidad son suficientes y
apropiadas. Por ejemplo, consideran si:
 Se someten a un examen especialmente

minucioso los historiales que tienen cambios
de empleo frecuentes o periodos de
inactividad.
 Las políticas de contratación incluyen una
investigación de los candidatos con
antecedentes penales.
MODELOS DE FORMULARIOS: ENTORNO DE CONTROL
* Idoneidad de los criterios de retención de los

empleados, de los criterios de promoción y de
las técnicas para la recopilación de información
en relación con el código de conducta u otras
directrices de comportamiento. Por ejemplo,
considerar
 Los criterios con respecto a ascensos y

subidas de sueldos están suficientemente
explícitos para que los empleados sepan lo que
la dirección espera de ellos antes de ascensos o
promociones.
 Dichos criterios incluyen el cumplimiento
de normas de conducta.
Resumen del componente: Conclusiones/Acciones necesarias

Descripción/Comentarios
Objetivos globales de la entidad
Para que una entidad tenga un control eficaz,

debe tener unos objetivos establecidos. Los
objetivos globales de la entidad incluyen
aseveraciones generales acerca de sus metas y
están apoyados por los planes estratégicos
correspondientes. Describir los objetivos globales
de la entidad y las estrategias clave que se han
establecido.
* Hasta qué punto los objetivos globales de la

entidad proporcionan una descripción y
orientación suficientemente amplias de las
metas de la misma, que sean además lo
bastante específicos respecto de la entidad en
concreto. Por ejemplo, considerar si:
 La dirección ha establecido unos objetivos

globales.
 Dichos objetivos globales están
suficientemente diferenciados de los objetivos
genéricos que podrían aplicarse a cualquier
entidad (por ejemplo, generar un flujo de caja
suficiente para liquidar las deudas o conseguir
una rentabilidad adecuada de las inversiones).
* Efectividad con la que los objetivos globales
se comunican a los empleados y al consejo de
administración. Por ejemplo, consideran si:
 La información sobre los objetivos

globales de la entidad se comunica a los
empleados y al consejo de administración.
 La dirección recibe confirmación de los
directivos clave, los empleados y el consejo de
que la comunicación al personal es efectiva.
* Relación y coherencia de las estrategias con

los objetivos globales. Por ejemplo, considerar si:
 El plan estratégico apoya los objetivos

globales.
 Incluye la asignación a alto nivel de
recursos y prioridades.
* Coherencia de los planes de negocios y los

presupuestos con los objetivos globales, los
planes estratégicos y las circunstancias actuales
de la entidad. Por ejemplo, considerar si:
 Las asunciones adoptadas en los planes y

presupuestos reflejan la experiencia histórica y
las circunstancias actuales de la entidad.
 Los planes y presupuestos tienen un nivel
de detalle adecuado para cada nivel de
dirección.
sector y, si existen
Objetivos específicos para cada actividad Descripción / Comentarios
Los objetivos específicos surgen de los

objetivos y estrategias globales y están vinculados
con ellos. Los objetivos específicos suelen
expresarse como metas a conseguir, con unos
fines y plazos determinados. Deberían
establecerse objetivos para cada actividad
importante, siendo estos objetivos específicos
coherentes los unos con los otros.
* Vinculación de los objetivos específicos de

cada actividad con los objetivos globales y los
planes estratégicos. Por ejemplo, considerar si:
 Existe un vinculo adecuado para todas las

actividades importantes.
 Se revisan periódicamente los objetivos
específicos para comprobar que continúan
siendo relevantes.
* Coherencia de los objetivos específicos entre

si. Por ejemplo, considerar si:
 Se complementan y refuerzan dentro de

cada actividad.
 Se complementan y se apoyan
mutuamente entre si para las distintas
actividades.
* Establecimiento de objetivos específicos para

todos los procesos empresariales importantes.
 Se establecen objetivos para las

actividades esenciales en los flujos de bienes y
servicios y para las actividades de apoyo.
 Los objetivos específicos son coherentes
con las prácticas y actuaciones históricas de la
entidad o con empresas similares del mismo
diferencias, se han analizado los motivos de

las mismas.
 Se establecen objetivos para cada
actividad importante, que pueden incluir las
siguientes, entre otras (las actividades
expuestas a continuación se derivan de un
modelo genérico de empresa, páginas 277 a
280; en las páginas 281 a 344 del “manual de
referencia” se presentan ejemplos de objetivos
para cada una de dichas actividades):
—Recepción de mercancías
— Operaciones
— Expedición de mercancías
— Marketing y ventas
— Servicio al cliente
— Aprovisionamientos
— Desarrollo de tecnología
— Recursos humanos
— Gestión de la empresa
— Gestión de las relaciones con terceros
— Servicios administrativos
— Tecnología de la información
— Gestión de riesgos (de accidentes u otras
pérdidas asegurables)
— Gestión de los asuntos legales
— Planificación
— Proceso de cuentas a pagar
— Proceso de cuentas a cobrar
— Proceso de la tesorería
— Proceso de inmovilizado material
— Análisis y conciliaciones
— Proceso de la información sobre
pensiones y jubilación
— Proceso de nóminas
— Proceso de cumplimiento de las
obligaciones fiscales
— Proceso de valoración del coste de los
productos
— Información financiera y de gestión
* Nivel de especificación de los objetivos de

cada actividad. Por ejemplo, consideran si:
 Los objetivos incluyen criterios de

cuantificación.
* Adecuación de los recursos relacionados con

cada objetivo. Por ejemplo, considerar si:
 La dirección ha identificado los recursos

necesarios para alcanzar los objetivos.
 Existen planes para adquirir los recursos
precisos (por ejemplo, financiación, personal,
instalaciones, tecnología).
* Identificación de los objetivos importantes

(factores críticos de éxito) para conseguir los
objetivos globales de la entidad. Por ejemplo,
considerar si:
 La dirección ha identificado las acciones

que deben llevarse a cabo con éxito, o los
fallos que han de evitarse, para que se consigan
los objetivos globales de la entidad.
 Las inversiones y los presupuestos de
gastos se basan en el análisis efectuado por la
dirección de la importancia relativa de los
objetivos.
 La dirección efectúa un seguimiento
especial de los objetivos que constituyen
factores críticos de éxito.
* Participación de todos los niveles de la

dirección en la fijación de objetivos y hasta qué
punto están comprometidos en la consecución
de los mismos. Por ejemplo, considerar si:
 Los directores o supervisores de

actividades o departamentos participan en la
determinación de los objetivos de las
actividades de las que son responsables.
MODELOS DE FORMULARIOS: EVALUACIÓN DE LOS RIESGOS
Puntos de atención
 Existen procedimientos para resolver
los conflictos.
 Los directivos apoyan el cumplimiento de
los objetivos, sin tener “programas secretos”.
Riesgos
El proceso de evaluación de los riesgos de

una entidad debe identificar y analizan las
implicaciones de os riesgos relevantes, tanto para
la entidad como pana cada una de las actividades.
Dicho proceso ha de tener en cuenta los factores
externos e internos que pudiesen influir en la
consecución de los objetivos, debe efectuar un
análisis de los riegos y proporcionar una base para
a gestión de los mismos.
* Existencia de mecanismos adecuados para

identificar los riegos derivados de fuentes
externas. Por ejemplo, consideran si la dirección
toma en cuenta los riesgos relacionados con:
 Las fuentes de suministro

 Los cambios tecnológicos
 Los requerimientos de los acreedores
 Las acciones de la competencia
 Las condiciones económicas
 Las condiciones políticas
 La normativa aplicable
 Los acontecimientos naturales
Puntos de atención os
se
* Existencia de mecanismos adecuados para an
detectar los riesgos provenientes de fuentes ali
za
internas. Por ejemplo, considerar si la dirección
n
toma en cuenta los riesgos relacionados con: a
tra
 Los recursos humanos, tales como la vé
continuidad de los directivos clave o los s
de
cambios de responsabilidades que pudieran
pr
influir en la eficacia del trabajo. oc
 La financiación, es decir, la disponibilidad ed
de fondos para las iniciativas nuevas o la im
continuación de programas clave. ie
nt
 Las relaciones laborales, por ejemplo, los os
programas de remuneraciones y otros fo
beneficios laborales que mantengan el nivel de r
competitividad de la entidad dentro de su m
al
sector. es,
 Los sistemas de información, tal como el o
mantenimiento de sistemas adecuados de de
copias de seguridad y de emergencia, para el m
an
caso de fallos del sistema que pudiesen afectar
er
la continuidad de las operaciones de manera a
importante. in
fo
* Identificación de los riesgos significativos r
m
para cada objetivo especifico importante para
al
cada actividad. (Considerar los riesgos
co
identificados para cada una de las actividades m
mencionadas en los “objetivos específicos”; el o
“manual de referencia” incluye ejemplos de pa
riesgos relacionados con objetivos usuales, en las rte
páginas 281 a 344). de
la
ac
* Profundidad con que se efectúa el análisis de
tiv
riesgos; es decir, si se evalúa la importancia y
id
probabilidad de ocurrencia de los riesgos, así ad
como las medidas necesarias para abordarlos. di
Por ejemplo, consideran si: ari
a
 Lo de
s la
rie ge
sg re
nc
ia.
MODELOS DE FORMULARIOS: EVALUACIÓN DE LOS RIESGOS
 Los riesgos detectados son relevantes para

el objetivo específico correspondiente.
 El análisis de riesgo es realizado por
directivos de una categoría adecuada.
Gestión del cambio
Los entornos económico, industrial y legal

cambian y las actividades de las entidades
evolucionan. Hacen falta mecanismos para
detectar tales cambios y reaccionar ante ellos.
* Existencia de mecanismos para anticipar,

identificar y reaccionar ante los
acontecimientos o cambios rutinarios que
influyen en la consecución de los objetivos
específicos o globales (suelen ser establecidos
por los directivos responsables de las
actividades que mis se verían afectadas por los
cambios). Por ejemplo, consideran si:
 Los acontecimientos o cambios se

abordan como parte del proceso usual de
identificación y análisis de riesgos, o por
medio de mecanismos independientes.
 Los riesgos y las oportunidades
relacionados con los cambios son tratados por
personas de categoría suficiente, de forma que
se identifiquen todas sus implicaciones y se
formulen planes de acción adecuados.
impacto de los nuevos sistemas.
Puntos de atención
 En el proceso se incluyen todas las

actividades de la entidad que se verán Descripción / Comentarios
afectadas significativamente por los cambios.
* Existencia de mecanismos para detectar y

reaccionar ante los cambios que pueden tener
un efecto más importante sobre la entidad y
que, consecuentemente, requieran la atención
de la alta dirección. Por ejemplo, para cada una
de las siguientes áreas de cambio potencial,
considerar si:
Cambio en el entorno de las operaciones:
 Las investigaciones de mercado u otros

programas identifican las principales
variaciones en la naturaleza, preferencias y
tendencias de las compras y gastos realizados
por los clientes.
 La entidad es consciente de los cambios
significativos en el personal, bien externos o
internos, que pudieran afectar al nivel
profesional del personal disponible.
 Los asesores legales informan
periódicamente a la dirección sobre las
implicaciones de los cambios legislativos.
Nuevos empleados:
 Se toman medidas especiales para

asegurar que los empleados nuevos entienden
la cultura de la entidad y actúan de acuerdo
con la misma.
 Se presta especial atención a las
actividades esenciales de control realizadas por
personas a las que se va a cambiar de
actividad.
Sistemas de información nuevos o modificados:
 Existen mecanismos para evaluar el

Puntos de atención
 Se han implantado procedimientos para

analizar si las actividades de control existentes
son apropiadas cuando se desarrollan e
implantan nuevos sistemas informáticos.
 La dirección sabe si se cumplen las
políticas de desarrollo e implantación de
sistemas, a pesar de que existan presiones para
“acortar” el proceso.
 Se presta atención al efecto de los nuevos
sistemas tanto sobre los flujos de información
y los controles correspondientes como sobre la
formación de los empleados, prestando
especial atención a la resistencia de los
empleados ante el cambio.
Crecimiento rápido:
 Se aumenta la capacidad de los sistemas

para poder tratar rápidamente volúmenes
crecientes de información.
 Se incrementa en lo necesario el número
de empleados de operaciones, contabilidad y
proceso de datos para hacer frente al aumento
en el volumen de actividad.
 Existe un procedimiento de revisión de
presupuestos o previsiones.
 Existe un proceso para analizar las
implicaciones ínter departamentales de la
revisión de objetivos o planes en las distintas
unidades.
Nuevas tecnologías:
 Se obtiene información sobre los avances

tecnológicos a partir de servicios de
información, asesorías, seminarios o quizás
mediante operaciones conjuntas con compañías
líderes en las áreas de investigación y
desarrollo que son relevantes para la entidad.
 Se efectúa un seguimiento de las nuevas
tecnologías o aplicaciones desarrolladas por la
competencia.
Puntos de atención resto de los empleados.
 Existen mecanismos para aprovechan las Descripción / Comentarios
nuevas aplicaciones tecnológicas y para
controlar su utilización, mediante la
incorporación de las mismas en los procesos de
producción o en los sistemas de información.
Líneas, productos, actividades y adquisiciones

nuevas:
 Existe la capacidad de realizar previsiones

razonables de los resultados de explotación y
financieros.
 Se evalúa si son adecuados los sistemas
de información y de control existentes
relacionados con nuevos productos, líneas o
actividades.
 Se desarrollan planes de contratación y
formación de personal con los conocimientos
necesarios para tratar los nuevos productos o
actividades.
 Existen procedimientos para seguir los
resultados iniciales y efectuar las
modificaciones que sean necesarias a la
producción y la comercialización.
 Se identifican y cumplen las obligaciones
legales, fiscales y de formulación de estados
financieros.
 Se realiza un seguimiento del impacto
sobre otros productos y sobre la rentabilidad de
la empresa.
 Se modifican las asignaciones de gastos
generales para reflejar correctamente la
aportación de cada producto.
Reestructuración de la entidad:
 Se analizan los efectos potenciales sobre

las operaciones correspondientes de las
reducciones de plantilla o las reasignaciones de
personal.
 Se lleva a cabo una nueva asignación de
las responsabilidades de control
correspondientes a los empleados transferidos
o despedidos.
 Se analiza el impacto de las reducciones
importantes de plantilla sobre la moral del
Puntos de atención
 Existen mecanismos para proteger

a la empresa contra las posibles
represalias de los empleados
despedidos.
Operaciones en el extranjero:
 La dirección se mantiene al día en cuanto

a la cultura política, legal, empresarial y social
de las zonas en las que se llevan a cabo
operaciones extranjeras.
 Se informa a los empleados de las
costumbres y las normas de los países
extranjeros.
 Existen procedimientos alternativos en el
caso de que las actividades o los mecanismos
de comunicación con las operaciones en el
extranjero se vean interrumpidos.
Resumen del componente: Conclusiones /

Acciones
Las actividades de control abarcan una gran

variedad de políticas y los procedimientos
correspondientes de implantación que ayudan a
asegurar que se siguen las directrices de la
dirección. Ayudan a asegurar que se llevan a cabo
aquellas acciones identificadas como necesarias
para afrontar los riesgos y así conseguir los
objetivos de la entidad.
* Existencia de las políticas y los

procedimientos apropiados y necesarios en
relación con cada una de las actividades de la
entidad.
 Todos los objetivos relevantes y los

riesgos asociados para cada una de las
actividades importantes deberían haber sido
identificados conjuntamente en el proceso de
evaluación de riesgos. Se puede consultar el
“manual de referencia” (páginas 281 a 344)
que presenta, para las actividades
empresariales generales, unos modelos de
objetivos, riesgos y “puntos donde centrar las
acciones/actividades de control”. Los
comentarios que aparecen en la columna
“actividades de control” pueden ser útiles para
identificar qué medidas ha tomado la dirección
para afrontar los riesgos y para considerar si
son adecuadas las actividades de control que
aplica la entidad para asegurar que las acciones
se llevan a cabo. Hay que tener en cuenta
que los puntos de atención para los controles

generales (o controles generales informáticos) se
presentan en el “manual de referencia” bajo la
actividad “Tecnología de la información”.
* Las actividades de control establecidas están

siendo aplicadas correctamente.
 Los controles descritos en los manuales

de procedimientos son aplicados en la realidad
y de la manera debida.
 Se toman acciones apropiadas y en tiempo
sobre las excepciones o sobre la información
que requiere un seguimiento posterior.
 El personal de supervisión revisa el
funcionamiento de los controles.

Acciones necesarias
Puntos de atención
Información
La información se identifica, recoge, procesa

y presenta por medio de los sistemas de
información. La información pertinente incluye
los datos del sector y los datos económicos y de
organismos de control obtenidos de fuentes
externas así como la información generada dentro
de la organización.
* Obtención de información externa e

interna, facilitando a la dirección los informes
necesarios sobre el rendimiento de la empresa
en relación con los objetivos establecidos. Por
 Existen mecanismos para conseguir la

información externa pertinente sobre las
condiciones del mercado, programas de
competidores, novedades legislativas o de
organismos de control y cambios económicos.
 Se identifica y presenta con regularidad la
información, generada dentro de la
organización, crucial para el logro de los
objetivos de la entidad, incluyendo la
relacionada con los factores críticos de éxito.
 Se suministra a los directivos y jefes de
departamento la información que necesitan
para cumplir con sus responsabilidades.
* Suministro de información a las personas

adecuadas, con detalle suficiente y en el
momento preciso, para permitirles cumplir con
sus responsabilidades eficiente y eficazmente.
 Los directivos reciben información

analítica que les permite identificar qué acción
es necesaria llevar a cabo.
 La información se facilita con el detalle
adecuado para los distintos niveles de gestión.
 En lugar de suministrar un “mar de datos”
la información se resume adecuadamente,
facilitando información pertinente y
permitiendo la inspección minuciosa de los
detalles cuando es necesario.
 La información está disponible en tiempo
oportuno para permitir el control efectivo de
los acontecimientos y actividades, tanto
internos como externos, posibilitando la rápida
reacción ante factores económicos y
comerciales y los asuntos de control.
* Desarrollo o revisión de los sistemas de

información en base a un plan estratégico para
dichos sistemas de información, vinculado a la
estrategia global de la entidad, orientado a la
consecución de los objetivos globales de la
misma y los específicos de cada actividad. Por
 Se ha establecido un mecanismo (por

ejemplo, un comité de planificación de
informática) para identificar las necesidades de
información que surjan.
 Las necesidades y prioridades de
información son determinadas por directivos
con responsabilidades suficientemente amplias.
 Se ha desarrollado un plan informático a
largo plazo ligado a las iniciativas estratégicas.
* El apoyo de la dirección al desarrollo de los

sistemas de información necesarios se
demuestra mediante la aportación de los
recursos apropiados, tanto humanos como
financieros. Por ejemplo, considerar si.
 Se aportan recursos suficientes (gestores,

analistas, programadores con los
conocimientos técnicos precisos) según sean
necesarios para mejorar o desarrollar nuevos
sistemas de información.
Comunicación
La comunicación es inherente al proceso de

información. La comunicación también se lleva a
cabo en un sentido más amplio, en relación con
las expectativas y responsabilidades de individuos
y grupos. La comunicación debe sen eficaz en
todos los niveles de la organización (tanto hacia
abajo como hacia arriba y a lo largo de la misma)
y con personas ajenas a la organización.
* Eficacia con la que se comunica a sus

empleados las tareas y responsabilidades de
control. Por ejemplo, consideran si:
 Las vías de comunicación —sesiones

formales e informales de formación, reuniones
y supervisión durante el trabajo— son
suficientes para efectúan tal comunicación.
Puntos de atención puntual y suficiente que
 Los empleados conocen los objetivos de Descripción / Comentarios

su actividad y cómo sus tareas contribuyen a
lograr esos objetivos.
 Los empleados entienden cómo sus tareas
afectan a, y son afectadas por, las tareas de
otros empleados.
* Establecimiento de canales de comunicación

para que los empleados puedan informar sobre
posibles irregularidades. Por ejemplo, considerar
si:
 Existe alguna forma de comunicarse con
los niveles superiores de la empresa sin tener
que pasar por un superior directo, por
ejemplo mediante un “defensor del empleado”
o asesor interno.
 Se permite el anonimato.
 Los empleados usan de hecho los canales
de comunicación.
 Las personas que informan de posibles
irregularidades son informadas de las medidas
que se toman y protegidas contra represalias.
* Receptividad de la dirección a las sugerencias

de los empleados sobre cómo mejorar la
productividad, la calidad y otro tipo de
mejoras similares. Por ejemplo, considerar si:
 Existen mecanismos establecidos para que

los empleados puedan aportar sus
recomendaciones de mejora.
 La dirección premia las buenas
sugerencias de los empleados con premios en
metálico o con otras formas significativas de
reconocimiento.
* Existencia de una comunicación adecuada

entre todas las áreas de la empresa (por
ejemplo, entre las actividades de compras y
producción) y de una información completa,
terceros las normas éticas de la entidad).
permita que las personas cumplan con sus
responsabilidades eficazmente. Por ejemplo,
considerar si:
 Los agentes de ventas informan a los

departamentos de ingeniería, producción y
marketing sobre las necesidades de los
clientes.
 EL personal de gestión de cuentas a
cobrar informa al de aprobación de créditos de
aquellos clientes que retrasan el pago.
 La información sobre nuevos productos o
garantías de los competidores llega al personal
de ingeniería, marketing y ventas.
* Apertura y eficacia de los canales de

comunicación con los clientes, proveedores y
otras personas externas para transmitir
información sobre los cambios que se producen
en las necesidades de los clientes. Por ejemplo,
considerar si:
 Existen mecanismos de información con

todos los terceros pertinentes.
 Las sugerencias, quejas y otras
informaciones son recogidas y comunicadas a
las personas pertinentes dentro de la
organización.
 La información se transmite a los niveles
superiores de la organización según sea
necesario y se realizan acciones de
seguimiento.
* Alcance de la comunicación a terceros de las

normas éticas de la entidad. Por ejemplo,
consideran si:
 Las comunicaciones importantes a

terceros son proporcionadas por la dirección
de acuerdo con la naturaleza y la importancia
del mensaje (por ejemplo, un alto ejecutivo
explica periódicamente por escrito a los
 Los proveedores, clientes y otros terceros

conocen las normas y expectativas de la
entidad a la hora de tratan con la misma.
 Esas normas son evidenciadas en las
relaciones diarias con terceros.
 Las irregularidades cometidas por
empleados de terceros son comunicadas a Las
personas adecuadas.
* Realización de un seguimiento oportuno y

apropiado por la dirección de las
comunicaciones recibidas de clientes,
proveedores, organismos de control y otros
terceros. Por ejemplo, considerar si:
 El personal es sensible a las

comunicaciones recibidas respecto a problemas
en los productos, servicios u otros temas y se
investigan y toman las acciones oportunas
referentes a estas comunicaciones.
 Se corrigen los errores de facturación a
clientes, investigándose y corrigiéndose las
fuentes de tales errores.
 Las quejas son tratadas pon una persona
adecuada y distinta de los empleados
involucrados en las transacciones originales.
 Se toman las acciones adecuadas y se
notifica a los comunicantes las acciones de
seguimiento llevadas a cabo.
 La alta dirección está al corriente de la
naturaleza y el volumen de las quejas.
Resumen del componente: Conclusiones/Acciones necesarias

Supervisión
Puntos de atención
Supervisión continuada Descripción / Comentarios
La supervisión continuada se produce en el

transcurso normal de las operaciones e incluye las
actividades habituales de gestión y supervisión,
así como otras acciones que efectúa el personal al
realizar sus tareas encaminadas a evaluar los
resultados del sistema de control interno.
* Hasta qué punto el personal, en el desarrollo

de sus actividades normales, obtiene evidencia
de que el sistema de control interno sigue
funcionando. Por ejemplo, considerar si:
 La dirección responsable de las

operaciones compara la producción, las
existencias, las ventas u otra información
conseguida en el curso de sus actividades
diarias con la información generada a través de
los sistemas.
 Se lleva a cabo la integración o
reconciliación de la información utilizada para
gestionar las operaciones con los datos
generados por el sistema de información
financiera.
 Se exige al personal operativo que
confirmen, mediante su firma, la exactitud de
los estados financieros de sus unidades y se les
considera responsables si se descubren errores.
* Evaluar hasta qué punto las comunicaciones

recibidas de terceros corroboran la
información generada dentro de la
organización o indican problemas. Por ejemplo,
considerar si:
 Los clientes corroboran implícitamente

los datos de facturación al pagan sus facturas.
Se investigan las quejas de los clientes sobre la
facturación, indicando la existencia de
deficiencias en el procesamiento de las
operaciones de venta, a fin de descubrir la
causa de dichas quejas.
 Las comunicaciones de suministradores y
Los estados mensuales de cuentas a pagar se
usan como una técnica de supervisión del
sistema de control interno.
 Se investigan las quejas presentadas por
los proveedores sobre las prácticas desleales de
los agentes de compra.
 Los organismos de control proporcionan
información a la entidad sobre el cumplimiento
de las normas aplicadas u otros asuntos
relacionados con el funcionamiento del sistema
de control interno.
 Se comprueban los controles que deberían
haber prevenido o detectado los problemas.
* Comparación periódica de los importes

registrados por el sistema de contabilidad con
los activos materiales. Por ejemplo, considerar si:
 Se comprueban los niveles de existencias

cuando los productos se retiran del almacén
para su envío al cliente. Se corrigen las
diferencias que pueden producirse entre los
importes registrados y los reales.
 Se cuentan periódicamente los valores
depositados por terceros con la entidad, y se
comparan con los registros existentes.
* Respuesta de la entidad ante las
recomendaciones de los auditores internos y
externos sobre medios de fortalecer los
controles internos. Considerar si:
 Los directivos que deciden qué

recomendaciones de los auditores se llevarían a
la práctica tienen el nivel de autoridad
adecuado.
 Se realiza un seguimiento de las acciones
efectuadas para comprobar la realización de las
mismas.
* Estudiar hasta qué punto los seminarios de

formación, las sesiones de planificación u otras
reuniones facilitan información a la dirección
sobre si los controles funcionan eficazmente.
Considerar si:
 Se recogen los temas importantes y las

cuestiones planteadas en os seminarios de
formación.
 Se informa a la alta dirección de las
sugerencias de los empleados, y se toman las
acciones necesarias.
* Se pregunta periódicamente al personal si

comprende y cumple con el código de conducta
de la entidad y si regularmente lleva a cabo
actividades de control esenciales. Por ejemplo,
considerar si:
 Se requiere periódicamente al personal

para que confirme su cumplimiento del código
de conducta.
 Se requieren firmas para acreditar la
realización de funciones críticas de control,
tales como la conciliación de importes
específicos.
* Efectividad de las actividades de auditoria

interna. Por ejemplo, considerar si:
 Los auditores internos son capaces y

experimentados.
 Su posición dentro de la organización es
adecuada.
 Tienen acceso al consejo de
administración y al comité de auditoria.
Sus responsabilidades y planes de auditoria

son apropiados pana las necesidades de la
organización.
Conclusiones / Acciones necesarias
Evaluaciones puntuales
Resulta útil examinar el sistema de

control interno de vez en cuando, enfocando el
análisis directamente a la eficacia del sistema. El
alcance y la frecuencia de tales evaluaciones
puntuales dependerá principalmente de la
evaluación de los riesgos y de los procedimientos
de supervisión continuada.
* Fijar el alcance y la frecuencia de las

evaluaciones puntuales del sistema de control
interno. Por ejemplo, considerar si:
 Son evaluados los elementos apropiados

del sistema de control interno.
 Las evaluaciones son efectuadas por
empleados con los conocimientos necesarios.
 Son adecuados el alcance, la cobertura y
la frecuencia de la evaluación.
* Validez del proceso de evaluación. Por

 El evaluador tiene un conocimiento

suficiente de las actividades de la entidad.
 Se obtiene un conocimiento de cómo
debería funcionan el sistema, y cómo funciona
en realidad.
Puntos de atención
 Se realiza un análisis utilizando los
resultados de la evaluación contrastados con
unos criterios establecidos.
* Lógica y validez de la metodología para

evaluar los sistemas. Por ejemplo, considerar si:
 Esta metodología incluye “checklists”,

cuestionarios y otras herramientas.
 Se reúne el equipo de evaluación para
planear el proceso de evaluación y asegurar
que se realiza un esfuerzo coordinado.
 El proceso de evaluación es gestionado
por un directivo con un nivel de autoridad
suficiente.
* Adecuación del nivel de documentación. Por

 Existen manuales de políticas,

organigramas, instrucciones operativas, etc.
 Se presta atención a documentar el
proceso de evaluación.
Comunicación de las deficiencias de control

interno
Las deficiencias de control interno deberían

ser comunicadas a los niveles superiores y las más
significativas deben sen presentadas a la alta
dirección y al consejo de administración.
* Existencia de un mecanismo para reconocer e

informar sobre las deficiencias del control
interno identificadas. Por ejemplo, considerar si:
 Existen medios para conseguir
información sobre deficiencias de fuentes tanto
internas como externas (por ejemplo, clientes,
proveedores, auditores y organismos de
control).
 Existen medios para conseguir
información sobre deficiencias a partir de la
supervisión continuada o las evaluaciones
puntuales.
* Son adecuadas las normas de comunicación

de las deficiencias. Por ejemplo, consideran si:
 Las deficiencias son puestas en

conocimiento del responsable directo de la
actividad y de un superior.
 Se informa a la alta dirección o al consejo
de administración sobre algunos tipos
específicos de deficiencias.
* Validez de las acciones de seguimiento. Por

 Se corrige la transacción o acontecimiento

identificado.
 Se investigan las causas fundamentales
del problema.
 Se efectúa un seguimiento para aseguran
que se toma la acción correctiva necesaria.

Acciones necesarias
Hoja de trabajo: Evaluación de
riesgos y actividades de control
Véase modelo en página siguiente

HOJA DE TRABAJO: EVALUACIÓN DE RIESGOS Y ACTIVIDADES DE CONTROL
Actividad_________________
Objetivos O,F,C Análisis de Riesgo Acciones / Otros objetivos Evaluación y

Factores Probabilidad Actividades de control/ afectados Conclusión
de riesgo Comentarios
Evaluación global del sistema
de control interno “4
Componentes de control interno Conclusiones preliminares / Acciones Conclusiones adicionales

necesarias (véase Herramientas de
Evaluación individuales)
Entorno de control
¿Comunica de forma adecuada la

dirección el mensaje de que no se
puede comprometer la integridad?
Existe un entorno de control
positivo, con una actitud de
conciencia de control en toda la
organización y un “tono” o “sin-
tonía” de control positivo en los
niveles más altos de la
organización” Está la capacidad
del personal de la entidad en
proporción con sus
responsabilidades ¿Es apropiado el
estilo de la dirección cuando
asigna responsabilidades y cuando
organiza y forma a su personal?
¿Presta el consejo un nivel
adecuado de atención al control
interno?
¿Están establecidos y adecuadamente coordinados

los objetivos de la entidad y los objetivos de cada
una de las actividades de la misma? ¿Están
identificados y evaluados los riesgos internos y
externos que influyen en el éxito o en el fracaso
del logro de los objetivos? ¿Existen mecanismos
en vigor para identificar los cambios, que puedan
influir en la capacidad de la entidad para lograr
sus objetivos? ¿Se modifican las políticas y
procedimientos cuando es necesario?
¿Existen actividades de control que aseguren el

cumplimiento de las políticas establecidas y la
realización de acciones que traten los riesgos
correspondientes? ¿Existen actividades de control
apropiadas para cada una de las actividades de la
entidad?
¿Existen sistemas de información para identificar

y captar la información pertinente —financiera y
no financiera.
que tenga relación con acontecimientos

externos e internos— y presentarla al
personal en una forma que les permita
llevar a cabo sus responsabilidades? ¿Se
comunica La información relevante? ¿Es
clara con respecto a las expectativas y
responsabilidades de individuos y grupos y
para la comunicación de resultados?
¿Existe comunicación adecuada en todas
direcciones tanto hacia abajo como hacia
arriba y lateralmente, así como entre la
entidad y terceros?
Supervisión
¿Existen procedimientos apropiados para

supervisar de forma continuada o evaluar
periódicamente el funcionamiento de los
componentes del control interno? ¿Se informa de
las deficiencias al personal adecuado? ¿Se modi-
fican las políticas y procedimientos cuando es
necesario?
Conclusión global
1
Manual de referencia
El presente “Manual de referencia” ha sido pensado para ayudar a un evaluador a cumplimentar la

“Hoja de trabajo de evaluación de riesgos y actividades de control” (página 268 de Herramientas).
El “Manual de referencia”, que comienza en la página 281, expone (en lo que respecta a las
actividades empresariales normales) unos objetivos ilustrativos, unos riesgos y unos “puntos donde centrar
las acciones/actividades de control”. La lista de elementos incluida en esta última columna puede ser útil
para identificar tanto aquellas medidas para enfrentarse a los riesgos como las correspondientes
actividades de control que ayuden a garantizar que dichas medidas se llevan a cabo. Esta última columna
incluye también unos indicadores de rendimiento que pueden resultar particularmente útiles para realizar
el control. La segunda columna, “O, F, C”, indica la categoría en que caen los objetivos (O: operaciones,
F: informes financieros, C: cumplimiento). Estas categorías no son precisas y pueden variar según las
circunstancias.
Este manual no pretende incluir todos los objetivos específicos, riesgos o puntos de atención de cada
actividad. Sin embargo, puede sen útil para identificar los elementos pertinentes.
Modelo genérico de empresa

Las actividades que cubre el presente “Manual de referencia” se basan en un modelo genérico de
empresa mercantil (páginas 277 a 280). El modelo genérico de empresa refleja las actividades más
importantes y se organiza por
niveles, desde una visión general de la empresa hasta los aspectos cada vez más detallados de la
misma.
El Anexo I, nivel de contexto, es el más general. En este nivel, el modelo refleja la
interacción existente entre la empresa y los terceros externos a ella:
 Los suministradores y los candidatos a sen empleados proporcionan unos recursos que se
utilizan para proporcionar bienes y servicios al mercado.
 Ciertos terceros externos a la empresa que influyen en ella; entre los que se encuentran los
siguientes: otras fuentes de consumo, organismos públicos, colaboradores, inversores y
competidores.
El Anexo 2, nivel de actividad, refleja las principales actividades de la empresa y comprende

cinco actividades básicas que aportan un valor añadido complementadas por cuatro actividades de
infraestructura. Cada una de las actividades recibe bienes, servicios o información, realiza
operaciones con ellos y los transmite. En lo que concierne a las relaciones entre suministradores y
compradores, las actividades de valor añadido incluyen lo siguiente (las páginas que se indican
son las que corresponden para su localización en el “Manual de referencia”):
Página
Recepción de mercancías........................................................................ 281 - 284
Operaciones............................................................................................. 285 - 287
Expedición de mercancías ...................................................................... 288 - 291
Marketing y ventas.................................................................................. 292 - 294
Servicio al cliente.................................................................................... 295 - 296
Las actividades de infraestructura, que soportan a las actividades de valor añadido, incluyen:
Página
Gestión de la empresa (esta actividad se desglosa

en subactividades en el Anexo 3)
Recursos humanos.................................................................................... 303 - 306
Desarrollo de tecnología........................................................................... 301 - 302
Aprovisionamientos.................................................................................. 297 - 300
El Anexo 3 se centra en la actividad de gestión y describe las subactividades de ésta. Estas
son:
Página
Gestión financiera (esta actividad se desglosa adicionalmente en
Control, Tesorería, Impuestos y Auditoria; la unidad de
control se describe con mayor detalle en el Anexo 4)
Gestión de la empresa................................................................................ 307-308
Gestión de las relaciones con terceros....................................................... 309
Servicios administrativos........................................................................... 310
Tecnología de la información.................................................................... 311-315
Gestión de riesgos (de accidentes u otras pérdidas asegurables)............... 316-317
Gestión de los asuntos legales.................................................................... 318-319
Planificación............................................................................................... 320-321
El Anexo 4 refleja las diversas subactividades de control de gestión:
Página
Proceso de cuentas a pagan........................................................................ 322-323

Proceso de cuentas a cobran....................................................................... 324-325
Proceso de la tesorería................................................................................ 326-330
Proceso de inmovilizado material.............................................................. 331-332
Análisis y conciliaciones............................................................................ 333
Proceso de la información sobre pensiones y jubilación............................ 334-335
Proceso de nóminas.................................................................................... 336-338
Proceso de cumplimiento de las obligaciones fiscales.............................. 339-340
Proceso de valoración del coste de los productos...................................... 341-342
Información financiera y de gestión........................................................... 343-344
El propósito del modelo genérico de empresa es doble. Tal como se ha indicado, confiere
una estructura al “Manual de referencia”. Las actividades, transacciones y flujos de
información que se describen en el modelo constituyen la base del presente manual.
El modelo genérico de empresa puede utilizarse también como punto de partida para que
el evaluador entienda las actividades de la entidad y las relaciones existentes entre ellas y con
terceros, así como la información que se
genera y utiliza pana ayudar a controlar esas actividades. Cuando se utiliza así, el modelo genérico de
empresa debe adaptarse para que se acomode a la entidad objeto de evaluación. Deberá modificarse o
aumentarse con la información adicional especifica de la entidad —tal como los diagramas de flujos de
los sistemas— con el fin de comprender mejor las actividades y los flujos de información de ésta.
A su vez, esa comprensión puede facilitar el análisis de riesgos Ligados a cada una de las actividades
y ayudar a la identificación de aquellos puntos del sistema donde debería llevarse a cabo un control. Esos
riesgos y las actividades de control de la entidad relacionadas con ellos pueden utilizarse para ayudar a la
dirección a cumplimentar la “Hoja de trabajo sobre evaluación de riesgos y actividades de control”.
Manual de referencia:
Actividades
Actividad: RECEPCIÓN DE MERCANCÍAS
Objetivos O,F,C Riesgos Puntos donde centrar las

acciones/Actividades de control
Logística
1. Garantizar que se O,F Los planes y Especificar en los planes y programas cuáles
procesan los materiales programas no se son los materiales necesarios y cuando se
recibidos y la comunican a las activi- necesitan.
información relacionada dades de recepción o
con los mismos y que se no se identifica Comunicar todos los planes y programas a
ponen rápidamente a claramente cuando y recepción de mercancías.
disposición de pro- dónde se necesitan los
ducción, almacenes u materiales. Resumir las solicitudes de materiales y re-
otros departamentos. mitirlas periódicamente a recepción de
mercancías.
Mantener los procedimientos de distribución

de materiales para las mercancías recibidas.
Facilitar a las actividades de recepción

instrucciones sobre las rutas de materiales no
habituales.
Supervisar los problemas de producción

relacionados con materiales y piezas no
disponibles (indicador de rendimiento).
Considerar la implantación de una filosofía

“just in time” o similar para la gestión de
inventarios y producción.
Objetivos O,F,C Riesgos Puntos donde centrar las acciones/Actividades
de control
La información sobre los Mantener procedimientos para poner rápidamente
materiales recibidos no se al día los registros de inventarios.
procesa con exactitud o de
manera oportuna en el sis- Comparar las fechas de recepción e información
tema de información. de inventarios y realizar su seguimiento según
corresponda.
Verificar periódicamente que en el sistema de

información se incluyen documentos de recepción
numerados.
2. Garantizar que se O Pérdida o falta de envío a Prenumerar los pedidos de compra e investigar los
investigan los pedidos de recepciones de los documentos que falten.
compras no pedidos de compra.
cumplimentados en las
fechas requeridas. Información sobre fechas Mantener la información sobre pedidos de compra
de entrega no disponible. pendientes de cumplimentar de tal manera que se
facilite la identificación de los que permanezcan
pendientes de servir después de la fecha de
entrega.
3. Documentar de manera O,F Pérdida de informes de re- Prenumerar los documentos e investigar los que
completa y adecuada las cepción o pérdida de falten.
mercancías recibidas y registros de expediciones.
las devueltas.
4. Aceptar sólo las O No se pone la Comparar los materiales recibidos, incluyendo la

mercancías que se hayan información sobre verificación de cantidades, con los pedidos de
pedido adecuadamente. pedidos de compra a compra debidamente aprobados. No aceptar los
disposición de las materiales que no hayan sido debidamente
personas encargadas de la pedidos.
recepción de mercancías.
Supervisar los casos de facturas presentadas al
cobro cuando se hayan aceptado materiales sin
pedido de compra válido (indicador de
rendimiento).
5. Aceptar sólo materiales O Falta de claridad de las Mantener listas actualizadas de especificaciones
que cumplan las especificaciones de los para utilizarlas al inspeccionar y controlar las
especificaciones de los pedidos de compra. mercancías.
pedidos de compra.
Verificar las especificaciones con el personal de
compras u otro personal adecuado.

relacionados con materiales que incumplen las
especificaciones (indicador de rendimiento).
de control
No se verifican los Establecer procedimientos de verificación, según
materiales para corresponda, para todos los materiales objeto de
comprobar que cumplen pedido.
las especificaciones.
relacionados con materiales y piezas con
problemas de calidad (indicador de rendimiento).
6. Garantizar que se O,F Los procedimientos de Exigir la documentación adecuada para los
registran todos los transferencia no requieren materiales transferidos de recepción a otras
materiales transferidos documentación actividades.
desde la actividad de justificativa previa.
recepción a otras Posible pérdida de la Prenumerar los documentos e investigar los que
actividades. documentación de falten.
transferencia.
Realizar inventarios periódicos de los materiales
en almacén y conciliar con los registros de
inventario permanente. Investigar cualquier
diferencia (indicador de rendimiento).
7. Salvaguardar las O,F Inadecuada seguridad Mantener la seguridad física de las mercancías
mercancías recibidas. física para las mercancías recibidas.
recibidas.
Separar las funciones de custodia y de
mantenimiento de los registros.
8. Garantizar que se O,F Posible pérdida de la Prenumerar los documentos de recepción e

actualiza exactamente la información de recepción investigar los que falten.
información sobre
suministradores, Identificar e investigar periódicamente los pedidos
inventarios y pedidos de de compra pendientes de suministro.
compra con el fin de
reflejar las recepciones. Realizar inventarios periódicos de los materiales
La información de recep- Verificar periódicamente la exactitud de la

ción puede introducirse información sobre suministradores, inventarios y
incorrectamente en el pedidos de compra pendientes.
sistema de información, o
puede no hacerse a
tiempo.
de control
Comprobar periódicamente que la información se
introduce oportunamente en el sistema de
información.
9.Devolver rápidamente Inspección inadecuada o Mantener procedimientos adecuados para la

las mercancías fuera de plazo de las inspección de las mercancías recibidas.
rechazadas. mercancías
10. Documentar de Información incompleta o Todas las transferencias deben ir acompañadas de

manera completa y exacta inexacta sobre los la documentación correspondiente; el personal de
todas las transferencias al materiales transferidos al almacenes o de otras actividades debería verificar
almacén y desde el almacén y desde el los materiales y las cantidades recibidas.
almacén. almacén.
Posible pérdida de los Prenumerar los documentos de transferencia e

documentos de investigar los que falten.
transferencia.
11. Solicitar Procedimientos de Transferir materiales solamente en el caso de que

adecuadamente todas las transferencia o solicitud exista una solicitud adecuadamente aprobada.
mercancías que hayan de inadecuados.
transferirse a
operaciones.
12. Transferir Posible pérdida de las Prenumerar las solicitudes e investigar los
adecuadamente todos los solicitudes. documentos que faltan.
materiales solicitados.
Transferencia de materia- Verificar que el material recibido se ajusta a la
les no solicitados solicitud aprobada.
13. Mantener unas Seguridad inadecuada o Mantener normas internas que cumplan como
condiciones seguras de insuficiente. mínimo con las disposiciones legales en materia
trabajo y de de seguridad y salud en el trabajo y demás leyes y
almacenamiento de normas pertinentes. Dichas normas internas deben
materias peligrosas. ser aprobadas por personal técnico y jurídico
siendo necesario supervisar su cumplimiento.
Realizar un seguimiento de los problemas de

seguridad que se hayan comunicado.
Mantener procedimientos adecuados para la

manipulación y almacenamiento de materias
peligrosas.
de control
Gestión y programación
de operaciones
1. Programar las Insuficiente comunicación Utilizar documentos normalizados para preparar y

operaciones con el fin de con el departamento de comunicar las previsiones de ventas.
minimizar el inventado y marketing en cuanto a las
garantizar la previsiones de ventas. Garantizar que el personal de producción recibe
disponibilidad suficiente todas las previsiones de ventas.
y puntual de productos
terminados. Comprar los programas de producción con las
previsiones de ventas para garantizar que el
calendario programado y las cantidades de
producción son adecuadas.
Competencia entre varios Determinar las prioridades de producción en

productos para su función de principios establecidos o de criterios
producción simultánea. de gestión.
Evaluar la adecuación de la capacidad productiva.
Aprobar todos los programas de producción
Defecto o exceso de Utilizar los canales de comunicación establecidos

materias primas motivado para informar al departamento de compras sobre
por una deficiente las necesidades de materiales, incluyendo las
comunicación con el cantidades y fechas en que se necesitan.
departamento de compras,
o por causa de una Comparar las previsiones de necesidades de
previsión de necesidades materiales con el programa de producción y las
de materiales imprecisa o estimaciones de materiales necesarios para los
realizada fuera de plazo. productos, tomando en cuenta los plazos de espera
necesarios para la obtención de materiales.
Establecer y cumplir calendarios de producción

precisos y realistas.
Estudiar los costes/beneficios de establecer un

sistema “just in time” o una filosofía de
producción y gestión de inventarios similar
.
de control
Supervisar los casos de inventario insuficiente o
excesivo de materias primas (indicador de
rendimiento).
2. Reducir al mínimo el Equipo defectuosamente Mantener el equipo con arreglo a un programa de

tiempo inactivo de pro- mantenido, mal utilizado mantenimiento preventivo establecido.
ducción. u obsoleto.
Evaluar periódicamente el equipo de producción a
la vista de los costes de reparación y
mantenimiento y de su capacidad, averías,
obsolescencia y demás factores. Considerar los
costes/beneficios de adquisición de nuevos
equipos.
Formar al personal en la adecuada utilización de

los equipos.
Supervisar los casos de tiempo inactivo de

producción debidos a averías de los equipos
(indicador de rendimiento)
Mano de obra especializa- Formar a los empleados existentes para la

da inadecuada. realización de diversas tareas
Desastres naturales o de Mantener y actualizar los planes sobre

otra índole contingencias y desastres naturales.
Probar periódicamente esos planes.

Ejecución de operaciones
3. Producir los Falta de comunicación Utilizar documentos normalizados para preparar y

productos en cantidades clara de las cantidades comunicar los planes y directrices de producción.
adecuadas y de acuerdo que han de producirse.
con las especificaciones y
programas de producción. Especificaciones Utilizar documentos normalizados pan comunicar
inadecuadas o poco las especificaciones de los productos.
claras.
Excesivos pasos/operacio- Considerar métodos para simplificar la

nes para el trabajo. producción, tales como la implantación de los
principios del “just in time”.
de control
4. Cumplir las leyes y o Presión para cumplir las Respaldo por parte de la alta dirección a las
normas de la fechas limite de consideraciones de seguridad de forma verbal y
administración en materia producción. mediante el ejemplo.
de seguridad e higiene en
el trabajo. Imponer medidas disciplinarias a los empleados
que infrinjan los procedimientos de seguridad.
Supervisar las infracciones a las medidas de

seguridad (indicador de rendimiento).
Desconocimiento de las Realizar sesiones periódicas de formación.

normas y regulaciones
Garantía de la calidad Exponer las leyes y normas y la política de la
compañía en lugares visibles.
5. Producir los
productos con arreglo a Los procesos de Integrar los procedimientos para garantizar la
normas de control de producción no incluyen calidad en los procesos de producción.
calidad. procedimientos diseñados
para garantizar una Normalizar los procesos de producción en la
producción de calidad. medida de lo posible.
Dificultad de producción Diseñar el producto prestando la adecuada

del producto. atención a las dificultades potenciales de
producción.
Pruebas inadecuadas del Verificar cantidades suficientes de cada serie de

producto. producción con el fin de garantizar el
cumplimiento de las normas de control de calidad.
Supervisar los índices de productos defectuosos

(indicador de rendimiento).
No se descubren o no se Supervisar los productos utilizando personal ajeno

informa adecuadamente a los procesos de producción.
sobre problemas de
calidad durante el proceso Supervisar las devoluciones y quejas de los
de producción. clientes relacionadas con la calidad (indicador de
rendimiento).
e
x l
p a
o s
n
e l
r e
de control
Procesamiento de pedidos
1. Procesar sólo los Información sobre Utilizar sistemas de autorización de créditos que
pedidos para clientes con créditos incompleta, proporcionen una información exacta y oportuna
crédito autorizado. impuntual o inexacta. sobre los clientes en lo que respecta a los limites
de crédito aprobados, los saldos actuales
adeudados, la antigüedad del saldo a cobrar y
demás información pertinente.
2. Procesar los pedidos Información sobre Utilizar información actual sobre establecimiento
con precisión y rapidez. establecimiento de precios de precios y sobre inventarios.
y sobre inventarios
inexacta o impuntual.
Procesamiento impuntual Prenumerar los formularios de pedidos y realizar

de otra información. periódicamente el seguimiento de los no
procesados en un lapso de tiempo razonable.
La información sobre Verificar la información de los pedidos de clientes

pedidos de clientes puede con el personal de marketing o de ventas
ser ambigua, inexacta o adecuado. Contactar con el cliente si fuera
incompleta. necesario.
3. Procesar sólo pedidos Los pedidos de clientes Verificar con el personal de marketing o de ventas
de clientes válidos. pueden no estar adecuado los pedidos de clientes aprobados.
autorizados.
Pérdida de la Prenumerarlos formulados de pedido; investigar

4. Procesar todos los
documentación del los documentos que falten.
pedidos aprobados.
pedido.
Almacén de productos
5. Proteger los productos Falta de cuidado por parte Controlar los daños causados por la falta de
contra daños. de los empleados. cuidado de los empleados (indicador de
rendimiento).
Procedimientos de Almacenar los productos en contenedores e

manipulación y instalaciones diseñados teniendo en cuenta las
almacenamiento, características de aquéllos y las exigencias legales
incluidos contenedores, y reglamentarias.
instalaciones y manteni-
miento de almacén,
y s
e
s
de control
inadecuados a la Crear los procedimientos y programas de
naturaleza de los mantenimiento adecuados a la naturaleza de la
productos. instalación de almacén.
Falta de familiaridad de Comunicar claramente las normas internas y

los empleados con los procedimientos de manipulación y
requisitos o almacenamiento a los empleados de almacén.
procedimientos de
manipulación y almacena- Supervisar el cumplimiento de las normas internas
miento. y procedimientos de manipulación y
almacenamiento (indicador de rendimiento).
6.Almacenar los productos Organización inadecuada Diseñar y mantener una organización eficaz del
para facilitar el procesa- de las instalaciones de almacén con el fin de facilitar la cumplimentación
miento a tiempo de los almacén. de los pedidos.
pedidos.
Capacidad insuficiente de Reducir al mínimo del inventado de productos a la
almacenamiento. vez que se permite el puntual cumplimiento de los
pedidos.
Identificar adecuadamente el número y la

ubicación de los almacenes
7. Manipular y Posibilidad de que los Comunicación por parte del asesor jurídico u otro
almacenar los materiales empleados no conozcan personal cualificado de la información sobre las
de acuerdo con las normas las normas aplicables. leyes y normas aplicables.
aplicables.
Formar periódicamente al personal sobre las
exigencias legales y reglamentadas
Normas y procedimientos Revisar los procedimientos de manipulación y

inadecuados de almacenamiento por parte del asesor jurídico u
manipulación y otros miembros cualificados del personal.
almacenamiento.
Supervisar los accidentes o problemas debidos a
normas o procedimientos inadecuados de
manipulación o almacenamiento (indicador de
rendimiento).
de control
8. Mantener registros Posibilidad de que los Exigir los documentos de transferencia de
completos y exactos de los productos transferidos del productos para los traslados de productos del
productos almacenados y almacén o al almacén no almacén o al almacén. Dichos documentos estarán
disponibles para su envío. están documentados o numerados y se investigarán los que falten.
registrados.
Posibilidad de traslado de Medidas de seguridad física para impedir la

productos del almacén o inclusión o eliminación no autorizada de
al almacén sin la productos en el almacén.
autorización adecuada.
Envío de productos inventado permanente. Investigar cualquier
9. Obtener los Envío de productos o Comparar los productos y las cantidades retirados
productos y las del almacén con el pedido del cliente y/o la
cantidades adecuados del cantidades inadecuados
solicitud de productos.
almacén. por parte del almacén.
No se dispone de las Mantener registros de inventado permanentemente

cantidades suficientes de de productos. Notificar a operaciones o a otros
productos. miembros adecuados del personal en caso de que
el inventario caiga por debajo de un nivel
predeterminado.
10. Asegurar que el Los materiales, Utilizar materiales, contenedores o

producto esté contenedores procedimientos de embalaje diseñados teniendo
adecuadamente embalado o procedimientos de en cuenta la naturaleza del producto y el método
para reducir los daños al embalaje son inadecuados de envío.
mínimo. a la naturaleza del
producto o al método de
envío.
11. Enviar únicamente Información procedente Comparar los documentos de autorización de

productos cuyo envío de procesamiento de envío del producto con el pedido del cliente.
haya sido autorizado. pedidos incompleta o
inexacta.
Inclusión en el envío al Comparar los productos con el pedido del cliente

cliente de productos no antes del envío.
pedidos o no autorizados.
Supervisar las devoluciones o reclamaciones de
facturas a los clientes relacionados con productos
entregados y no pedidos (indicador de
rendimiento).
de control
12. Entregar los O Interrupción de los Identificar medio de envío alternativos
productos de la manera canales de envío
más eficiente. normales.
Documentos de envío Revisar que los documentos de envío estén
imprecisos o incompletos. completos y comparar su exactitud con el pedido
del cliente antes del envío.
Utilización de métodos de Revisar periódicamente las alternativas de envío e

envío ineficaces. identificar la más eficaz.
13. Garantizar la O,F Inclusión de información Comparar, antes del envío de la información, el
documentación exacta de incorrecta en los documento de envío y la información del pedido
todas las expediciones y documentos de envío. del cliente.
el envío puntual de la
misma a cuentas a cobrar. Verificar independientemente, antes del envío, la
información del documento de envío.
Pérdida de los Prenumerar los documentos de envío e investigar

documentos de envío. los que falten.
|
14. Asegurar el envío O Posible pérdida del Prenumerar los documentos de pedido y envío;
puntual del pedido del pedido o de la investigar los que falten.
cliente. documentación de envío.
de control
Gestión de las
actividades de
marketing
1. Diseñar las estrategias Información inadecuada Contratar personal de marketing con experiencia
de marketing teniendo en sobre los factores que en el sector de la entidad.
cuenta los factores de pueden influir en la
competencia, legislativos, estrategia de marketing de Promocionar la pertenencia activa a asociaciones
de entorno comercial y de la entidad. industriales, comerciales o profesionales..
otra índole que puedan
influir en las actividades Supervisar la nueva legislación y la normativa que
de marketing de la pueda afectar a la entidad.
entidad, así como los
cambios potenciales en Realizar investigaciones de mercado y supervisar
dichos factores. y analizar las tendencias económicas, de los
clientes y del sector.
2. Identificar a los Información imprecisa, Realizar investigaciones de mercado.

clientes potenciales y impuntual o no disponible
reales y desarrollar sobre establecimiento de Evaluar las estrategias de precios en relación con
estrategias de marketing precios, productos, los productos y el establecimiento de precios de la
para influir en ellos con clientes reales o competencia.
el fin de que compren los potenciales, publicidad y
productos o servicios de promoción. Evaluar la eficacia de la publicidad y la
la entidad. promoción (indicador de comportamiento).
Comunicación por personal de I+D (tecnología)

de las prestaciones de los productos, las mejoras o
los nuevos productos que se vayan desarrollando
3. Mantener y asegurar la Número limitado de Identificar y evaluar acuerdos de distribución

entrega de productos a los distribuidores adecuados. alternativos.
clientes en el momento
oportuno y con el menor Deficiente rendimiento de Entregar a los distribuidores información
coste de distribución los distribuidores. adecuada sobre los clientes para garantizar una
posible. entrega eficiente.
. Supervisar el rendimiento de los distribuidores en

el contexto de la estrategia global de marketing de
la entidad.
de control
4. Analizar las Ausencia o inadecuada Realizar investigaciones de mercado, incluyendo
necesidades de productos información relacionada la existencia de productos competidores,
del mercado, incluida la con productos productos en desarrollo y preferencias de los
introducción de nuevos competidores o con clientes.
productos y la nuevos productos
continuación, potenciales. Promover la pertenencia activa a asociaciones
modificación o retiro de industriales, comerciales o profesionales.
los productos existentes.
Productos obsoletos Realizar investigaciones de mercado centrándose
en las innovaciones tecnológicas de la
competencia y en el grado de aceptación de los
clientes o las preferencias de éstos
Ausencia de demanda del Supervisar la tendencia de las ventas de los

producto. productos realizadas por la entidad y el sector.
Evaluar la eficacia de la publicidad y la

promoción
Realizar investigaciones de mercado
Ausencia de información Comunicar las necesidades de información a

sobre márgenes de contabilidad, al departamento de sistemas de
beneficios y / o precios información de gestión y a los demás miembros
Gestión de las de venta. del personal que corresponda.
actividades de venta
Supervisar los márgenes de beneficio y los precios
de venta para encontrar señales de presiones de
precios competitivos.
5. Implantar estrategias Desconocimiento de las Comunicar las estrategias de marketing al

de marketing. estrategias de marketing personal de ventas.
por parte del personal de
ventas.
El personal de ventas no Establecer cupos de ventas, comisiones y otras

sigue las estrategias de compensaciones económicas o bien otros criterios
marketing de rendimiento, de tal modo que las consecuencias
de la falta de puesta en práctica de las estrategias
de
.
de control
Marketing sean unas evaluaciones del rendimiento
y unas compensaciones inferiores a la media y que
la puesta en práctica positiva de estrategias tenga
como consecuencia unas mayores
compensaciones y un mayor reconocimiento
dentro de la entidad.
6. Cubrir o superar Desconocimiento de los Comunicar por parte del personal de marketing al
eficientemente los clientes potenciales por de ventas de los resultados de las investigaciones
objetivos de venta. parte del personal de de mercado.
ventas.
Falta de conocimiento de Proporcionar formación para un buen

las características o conocimiento de los productos.
ventajas de los productos
por parte del personal de Contratar personal de venta cualificado y
ventas. experimentado
Información incompleta o Mantener un sistema de información sobre

imprecisa sobre clientes. clientes completo, incluyendo nombre, dirección,
número de teléfono, contacto, tamaño, ubicación,
historial de pedidos anteriores, planes de
ampliación o modificación de la actividad o
cuanta información adicional pueda ser útil para
comercializar los productos o servicios de la
entidad.
Verificar periódicamente la exactitud de la

información sobre clientes.
Deficiente rendimiento Contratar personal de ventas cualificado y

del personal de ventas. experimentado.
Organizar al personal de ventas y establecer áreas

de venta de la manera más eficaz posible.
7. Asegurar la salida de Pérdida de los pedidos de Prenumerar los pedidos de venta e investigar los
todos los pedidos de ventas. documentos que falten.
venta sin demoras en la
entrega.
de control
Proporcionar servicio al
cliente
1. Atender las peticiones Sistemas de información Mantener una información sobre productos y
de información del inadecuados. clientes adecuada y puntual.
cliente de manera
expeditiva y eficaz. Personal carente de Proporcionar formación inicial y periódica al
formación. personal sobre productos y servicio al cliente.
Ofrecer una imagen favorable a los clientes por

parte de los representantes de servicio al cliente y
conocimiento de los productos por parte de éstos.
Deficiente organización Organizar el departamento de servicio al cliente

del departamento de de manera eficaz (por ejemplo, por líneas de
servicio al cliente. productos, áreas geográficas, etc.)
2. Cubrir las necesidades Desconocimiento de los Comprensión por parte de los representantes de
de servicio al cliente con objetivos de ventas y servicio al cliente de los objetivos comunes a
el fin de hacer avanzar marketing. marketing, ventas y servicio al cliente.
los objetivos de ventas y
marketing.
Instalación
3. Realizar las Personal carente de Dar a los instaladores formación inicial y

instalaciones autorizadas formación. periódica sobre las técnicas de instalación y
de manera correcta, características de los productos.
eficaz y puntual. Falta de disponibilidad de
productos. Supervisar las queja s de los clientes relacionadas
con la instalación de los productos (indicador de
Información sobre rendimiento)
clientes inexacta o no
disponible. Coordinar las instalaciones programadas con el
programa de producción de productos y el
calendario de entregas de envíos.
Comparar los documentos de autorización de

instalación con los pedidos de los clientes a fin de
verificar la exactitud de la información y revisar
dichos documentos para comprobar que son
completos.
de control
Prenumerar los documentos de autorización de
instalación e investigar los que falten.
Dar servicio de garantía
Falta de disponibilidad de Programar las instalaciones y la utilización del
personal de servicio. personal para minimizar costes.
4. Asegurar que las O Información de marketing Asegurarse de que al establecer las garantías se
normas sobre garantías imprecisa. tiene en cuenta la información de mercado
están en línea con las desarrollada por marketing.
estrategias de marketing
y financieras.
5. Investigar y dar O Personal insuficiente. Prever las necesidades de personal cualificado.

respuesta a las solicitudes
de servicio de manera Supervisar la adecuación del personal, las horas
puntual y de acuerdo con extras y las cargas de trabajo.
las garantías.
Cambios no comunicados Comunicar al personal adecuado los cambios en
en las normas sobre las normas sobre garantía de productos.
garantías.
Proporcionar servicio
de postgarantía
6. Utilizar por parte de O Información no disponible Actualizar diariamente en los sistemas de proceso
los representantes de o imprecisa. de pedidos la información sobre establecimiento
servicio al cliente de precios.
información actualizada
sobre establecimiento de Proporcionar a los representantes de servicio al
precios y de otra índole cliente acceso a los sistemas de proceso de
relativa a los productos. pedidos.
7. Investigar y dar O Número insuficiente de Mantener niveles de personal adecuados y

respuesta a las peticiones representantes de servicio organizar el departamento de servicio al cliente de
de servicio del cliente de al cliente o de personal de la manera más eficaz.
la manera más eficaz y servicio.
con puntualidad
Personal de servicio Formar adecuadamente al personal
inadecuadamente
formado.
de control
Selección de Seguimiento inadecuado Investigar y actualizar periódicamente las
suministradores de los suministradores, capacidades del suministrador en relación con la
incluida la reclasificación calidad y capacidad de producción, los precios
1. Identificar y contratar periódica de los (incluidos los descuentos por volumen o por
con suministradores existentes, en relación con pronto pago y las condiciones de pago), las
capaces de cubrir las su capacidad para condiciones de plazo de espera de los pedidos, la
necesidades de la entidad. cumplir: satisfacción actual y anterior de los clientes, la
situación financiera, la estabilidad de la dirección,
 Las especificaciones las posibles limitaciones legales al suministro de
técnicas. los materiales necesarios y los litigios pendientes.
 Las cantidades pedidas.
 El precio. Actualizar periódicamente la información sobre
 Las fechas de entrega y suministradores basándose en su actuación en
tiempo de espera. relación con el cumplimiento de los términos y
 El servicio condiciones de los contratos o pedidos de compra
(por ejemplo, entrega puntual de mercancías
aceptables, corrección de errores o problemas de
servicio).
Revisar adecuadamente los pedidos de compra.

relacionados con materiales no disponibles y con
las características de los materiales (indicador de
rendimiento).
Supervisar la frecuencia de las compras devueltas

(indicador de rendimiento).
Desarrollar datos sobre suministradores

alternativos a los utilizados normalmente y volver
a evaluar periódicamente las decisiones de
selección de suministradores.
Establecer procedimientos tanto para que los

suministradores notifiquen los problemas
potenciales de cumplimiento como para su
investigación y seguimiento adecuado.
de control
2. Comprar mercancías Información no disponible Mantener información actualizada sobre los
únicamente a imprecisa sobre actos suministradores.
suministradores fraudulentos u otras
cualificados y de acuerdo actividades inadecuadas Revisar y aprobar los pedidos de compra.
con las normas, de los suministradores.
reglamentos y contratos Instituir y supervisar un código de conducta.
aplicables en el sector.
Considerar los medios para simplificar los
procedimientos de investigación de
suministradores.
3. Asegurar el adecuado Insuficiente comunicación Comunicar puntualmente al departamento de

suministro de materiales. de las necesidades de compras las necesidades de materiales.
materiales.
Incapacidad del Utilizar contratos de futuro.

suministrador para
proporcionar las Identificar suministradores alternativos.
cantidades necesarias
debido a la existencia de Utilizar el análisis de necesidades a largo plazo.
pedidos prioritarios o a la
interrupción de sus
propios suministros.
4. Pedir solamente El departamento de Revisar las especificaciones existentes y

mercancías que cubran producción no especifica corregirlas a través del personal técnico.
las condiciones de apropiadamente sus
calidad establecidas requerimientos. Supervisar y analizar los problemas de producción
relacionados con las correspondientes
especificaciones (indicador de rendimiento); entre
los ejemplos de indicadores de rendimiento
tenemos la comparación de los datos del período
corriente relativos a interrupciones y reducciones
del ritmo de producción, pedidos urgentes, piezas
defectuosas y variaciones en el precio y las
cantidades de los materiales, con los datos del
período anterior, los datos de competidores o del
sector, los presupuestos u otros objetivos
preestablecidos.
de control
Comunicar calidades y requerimientos de
producción al personal del departamento de
compra.
Revisar y aprobar adecuadamente los contratos y

pedidos de compra.
5. Pagar precios O Información sobre precios Obtener periódicamente concurso de ofertas para
adecuados. anticuada o incompleta cada adquisición.
Establecer, los volúmenes de compras, mediante

la determinación del consumo total de materiales
similares, y combinar los pedidos para obtener el
descuento por cantidad.
Revisar adecuadamente los pedidos de

compra.
Supervisar las variaciones en los precios

de materiales (indicador de rendimiento)
Utilizar contratos de cobertura o de futuros o

plazo.
6. Pedir las cantidades O Información no disponible Mantener registros exactos del inventario
adecuadas en el momento o inexacta sobre los (inventario permanente).
oportuno o necesario niveles de existencias o
las necesidades de Comparar los programas periódicos de producción
producción. con la información sobre inventario y otras
necesidades de plazo de entrega.
Revisar adecuadamente los pedidos de compra.
Utilizar previsiones.
Considerar la implantación de una filosofía „lust

in time” o similar para la gestión de inventarios y
producción.
7. Mantener actualizada O La información sobre Distribuir copias de los pedidos de compra al

la información sobre pedidos de compra personal correspondiente.
suministradores de emitidos carece de
manera completa y claridad o no se comunica
precisa con el en su totalidad.
de control
fin de controlar los Falta de introducción Prenumerar los pedidos de compra y verificar
pedidos de compra puntual de los pedidos de periódicamente su introducción en el sistema.
pendientes. compra en el sistema. Investigar los retrasos anormales o injustificados
en la introducción de datos.
8. Recibir puntualmente Información no disponible Especificar el modo de envío y la fecha de entrega

las mercancías pedidas o inexacta sobre en los pedidos de compra.
(objetivo n° 2 de mercancías pedidas y no
actividades de recepción). recibidas. Prenumerar los pedidos de compra y realizar el
seguimiento de los mismos.
Compara la información de recepción de

productos con la información sobre pedidos de
compra y dar seguimiento a los pedidos
pendientes.
Supervisar el comportamiento de los

suministradores en términos de puntualidad en las
entregas; hacer un seguimiento en los casos de
una actuación deficiente de los mismos.
9. Registrar los pedidos Posible pérdida de Prenumerar los pedidos de compra y realizar el
de compra autorizados de pedidos de compra. seguimiento de los mismos.
manera completa y
precisa.
10. Impedir el uso no Normas internas y Prenumerar los pedidos de compra y realizar el
autorizado de los pedidos procedimientos seguimiento de los mismos.
de compra. inadecuados para impedir
un uso no autorizado. Mantener la seguridad física de los pedidos de
compra.
Aprobar los pedidos de compra.
Notificar a los suministradores cuál es el personal

de la compañía autorizado para aprobar los
pedidos de compra.
de control
1. Identificar la O Ausencia de efectiva Comunicar de forma clara las necesidades y
tecnología existente o comunicación a desarrollo oportunidades a desarrollo de tecnología.
desarrollar otra nueva de tecnología de las
para cubrir las necesidades de productos Identificar necesidades por los departamentos
necesidades de nuevos o procesos de producción. correspondientes.
productos identificadas
por marketing o los Carencia de capacidad Contratar personal adecuadamente cualificado
procesos de producción o técnica del personal de para cumplir sus responsabilidades.
gestión identificados por desarrollo de tecnología
otros departamentos de la para identificar o
entidad. desarrollar la tecnología
adecuada.
2. Mantener un elevado O,C Falta de acceso de la Conocer la literatura comercial, técnica e

grado de conocimiento dirección a la información industrial.
sobre los actuales sobre desarrollos
desarrollos tecnológicos tecnológicos actuales. Asistir a seminarios técnicos, conferencias,
que puedan afectar a la convenciones comerciales, exposiciones y
entidad. reuniones similares.
Resumir periódicamente los desarrollos

tecnológicos y distribuirlos al personal
correspondiente.
El personal de desarrollo Comunicar regularmente información, que incluya

de tecnología puede la naturaleza del programa, situación, director,
adquirir o tener utilización prevista de la tecnología y cualquier
conocimientos que otra información pertinente relacionada con los
podrían ser útiles para un programas de investigación o desarrollo en
programa de desarrollo marcha o planeados.
distinto de aquél en el que
está colaborando.
3. Garantizar que la C La tecnología puede no Diseñar en la medida de lo posible las

tecnología desarrollada estar adecuadamente características, planes, dibujos y esquemas de
no infringe patentes definida. tecnología u otros datos técnicos en las etapas de
existentes. concepción o iniciales de desarrollo y
Pueden no identificarse modificación de los mismos según sea necesario a
las correspondientes lo largo del proyecto.
patentes.
Comunicar los datos técnicos al asesor jurídico
para su utilización cuando realiza la labor de
investigación de patentes.
de control
Pueden no tenerse en Revisar adecuadamente y aprobar por la dirección
cuenta las patentes de todos los proyectos de tecnología.
existentes.
4. Dedicar recursos a O Los proyectos de Revisar y aprobar adecuadamente los proyectos de

aquellos proyectos en los desarrollo tecnológico no tecnología.
que se prevea el máximo respaldan los objetivos o
rendimiento esperado estrategias de la entidad
para la entidad. considerada como un
todo.
Desconocimiento de las Comunicar de forma clara y completa las

prioridades de los prioridades por parte de la dirección
proyectos por parte de la
dirección de desarrollo de
tecnología.
de control
1. Cumplir con las leyes Desconocimiento del Exigir al personal de supervisión y gestión que
y reglamentos que sean personal de gestión o asista a cursos de formación sobre legislación y
aplicables y con las supervisión de la normativa laborales y sobre las políticas de
políticas de la empresa. legislación y normativa personal de la empresa.
laboral y de las normas
internas.
Ausencia de Revisar periódicamente las normas y

cumplimiento por el procedimientos internos por el asesor jurídico para
personal de gestión o dar cumplimiento a la legislación y formativa
supervisión de la aplicables.
legislación normativa
laboral o de las normas Estimular al personal a que informe sobre las
internas. posibles infracciones tanto de las leyes y
regulaciones como de las normas internas.
Adoptar las medidas disciplinarias adecuadas por

la infracción de la legislación y normativa laboral.
2. Llevar registros que Desconocimiento por Formar periódicamente al personal de recursos

acrediten el cumplimiento parte del personal de humanos en la legislación y normativa laboral.
de las leyes y normas recursos humanos de los
aplicables. registros que han de Formación y experiencia adecuadas del personal
guardarse para acreditar el de recursos humanos antes de su contratación.
cumplimiento de las leyes
y normas aplicables.
Pérdida o destrucción Archivar y guardar los registros sobre recursos

prematura de los registros. humanos de acuerdo con las leyes, los
reglamentos y la mejor práctica empresarial.
Utilizar libros, listas de comprobación y demás

herramientas de gestión adecuadas para garantizar
la recepción y custodia de los registros adecuados.
Restringir al personal autorizado el acceso a los

registros sobre recursos humanos.
Revisar y aprobar todos los archivos

seleccionados para su eliminación
de control
Adquisición y Revisar la validez, exactitud y exhaustividad de la
mantenimiento de información recibida y mantenida en los registros.
información inexacta o
incompleta.
Omisión de las exigencias Adoptar las medidas disciplinarias o de otro tipo

sobre mantenimiento de cuando se omitan las exigencias legales o las
registros. normas internas.
O,C Inexistencia de medidas Restringir el acceso a los registros de recursos
3. Mantener la
confidencialidad de la de seguridad adecuadas humanos al personal autorizado.
información de recursos sobre los registros de
humanos. recursos humanos.
Exigir códigos de seguridad adecuados para
acceder a los registros confidenciales que se
guarden en medios electrónicos; cambiar
frecuentemente dichos códigos de acceso.
Controlar al personal que accede a los registros de

recursos humanos.
Divulgación de Adoptar medidas disciplinarias con el personal

información confidencial que proporcione información confidencial a
por parte del personal de personas no autorizadas.
recursos humanos.
Restringir el acceso ala información confidencial
a aquellas personas que la necesiten para cumplir
con sus responsabilidades.
4. Mantener la rotación de La retribución y las Revisar y evaluar regularmente la retribución y las

personas a un nivel prestaciones sociales son prestaciones sociales..
aceptable. inferiores a las ofrecidos
por otras compañías. Comparar la retribución y las prestaciones con las
ofrecidas por otras compañías del sector y en el
área geográfica local.
Obtener de los empleados información sobre sus

necesidades.
Los empleados pueden Evaluar el rendimiento de forma normalizada y

pensar que sus esfuerzos periódica y asesorar sobre el desarrollo
no son tenidos en cuenta o profesional.
no son apreciados.
Establecer programas de retribuciones que
reflejen el rendimiento anterior y las posibilidades
de desarrollo futuro.
de control
Planificación y
contratación de
personal
5. Contratar el personal O Posible contratación de Mantener prácticas adecuadas para la

necesario y con la personal excesiva o identificación, examen y contratación de personal.
cualificación adecuada. escasamente cualificado.
Mantener descripciones adecuadas de los puestos
de trabajo y criterios de contratación que puedan
utilizarse para evaluar y comparar las cualidades
de los candidatos con las exigencias de los
trabajos.
Ausencia de conocimiento Investigar y revisar los candidatos potenciales

de los recursos humanos existentes dentro de la entidad antes de considerar
actuales de la entidad. a candidatos externos.
Ausencia de candidatos Identificar y mantener al personal cualificado que

cualificados. desarrolla en la actualidad otras funciones
laborales.
Establecer redes y fuentes de candidatos fuera del

área geográfica local.
La entidad puede Actualizar regularmente las necesidades futuras

desconocer sus de personal como parte de la planificación
necesidades futuras de empresarial.
personal.
Las organizaciones Identificar de manera continua las demandas

sindicales pueden sindicales y adoptar medidas razonables para
convocar huelgas o evitar conflictos laborales.
reducciones del ritmo de
trabajo. Identificar fuentes viables y alternativas de mano
de obra en caso de conflicto laboral.
6. Garantizar que los O Las necesidades de Pedir opiniones e ideas a la dirección, su-
empleados reciben una formación pueden no pervisores y empleados para identificar las
formación adecuada para estar adecuadamente necesidades de formación.
cumplir eficaz y identificadas.
eficientemente con sus Supervisar los problemas de rendimiento o de otro
responsabilidades. tipo que puedan ser indicativos de deficiencias de
formación.
de control
7. Garantizar que el No se evalúa el personal Evaluar periódicamente el rendimiento y asesorar
personal recibe de manera regular o sobre la carrera profesional de los empleados.
información adecuada puntual.
sobre su rendimiento y el
desarrollo de su carrera.
de control
1. Diseñar e implantar las O Información incompleta o Desarrollar un plan estratégico que incorpore la
estrategias que permitan imprecisa acerca de los visión de la alta dirección para la empresa.
alcanzar los objetivos de cambios que afectan a la
la entidad considerada en entidad, tales como Evaluar periódicamente la orientación y las
su conjunto. competencia, productos, prioridades establecidas por la alta dirección para
preferencias de los comprobar que siguen siendo válidas.
clientes o cambios
jurídicos o normativos. Transmitir información sobre competidores,
productos, clientes y cambios jurídicos y
normativos a todos los departamentos
correspondientes.
Establecer comunicación descendente, ascendente

y a lo largo y ancho de la organización para
permitir la pronta identificación y resolución de
problemas que impidan el logro de los objetivos
estratégicos.
Falta de comprensión de Identificar y analizar los factores críticos de éxito

los factores críticos de desde el punto de vista sectorial y de la entidad.
éxito.
Recursos insuficientes o Identificar y mantener el adecuado nivel de

inadecuados recursos internos y garantizar la disponibilidad de
recursos externos.
Atención inadecuada a las Comunicación eficaz con accionistas, inversores o

relaciones con los terceros externos a la entidad.
accionistas, inversores o
terceros externos a la
entidad.
2. Mantener flujos de O,F La información es Establecer un sistema de informes de dirección

información que permitan demasiado especifica para ejecutiva centrado en información clave para la
la puntual comunicación ser utilizable. gestión de la empresa.
de la información interna
y externa precisa al Sistemas anticuados. Revisar regularmente los flujos de información
personal correspondiente. para garantizar que cumplen las necesidades
cambiantes de la empresa.
Información inexacta o Implantar flujos de información que garanticen la

impuntual. exactitud y puntualidad de la información interna
y externa
de control
3. Garantizar que el O,C Carencia de un código de Implantar y controlar el cumplimiento de un
personal de la entidad conducta. código de conducta.
conoce el
comportamiento y la Los empleados no entien- Revisar las exigencias del código de conducta con
conducta aceptables den el código de todos los empleados nuevos y, periódicamente,
conducta. con todos los empleados.
Los empleados hacen Adoptar medidas disciplinarias adecuadas por

caso omiso del código de infracciones del código de conducta con el fin de
conducta. comunicar claramente que no son toleradas.
Empleados deshonestos. Las normas y procedimientos de contratación

exigen la comprobación de las referencias de los
candidatos.
Los empleados que infrinjan la ley serán

sometidos a la correspondiente acción
disciplinaria y se informará a las autoridades para
su procesamiento.
de control
1. Intentar influir O Falta de comprensión de Emplear a personal con experiencia en asuntos de
legalmente en las las políticas la administración pública en la medida en que se
políticas y normas gubernamentales. refieran a la entidad.
gubernamentales que
tengan una incidencia en Supervisar y comunicar la información referente a
los objetivos de la normas y regulaciones y de otro tipo relacionadas
entidad. con la administración pública.
Hacerse miembro de organizaciones del sector o

comerciales que influyan en los organismos
legislativos o de control.
2. Participar O La participación depende Crear la imagen de líder del sector.

activamente en de un nombramiento.
organismos que elaboren
normas. Número limitado de Asegurarse de que los directivos de la entidad son
cargos. portavoces visibles en temas que afectan a la
misma.
3. Participar en O Carencia de información Estimular al personal a apoyar causas sociales

actividades sociales que y conocimientos sobre
mejoren la imagen temas sociales.
pública de la empresa
de control
1. Prestar puntualmente Falta o exceso de Realizar estimaciones previas sobre la utilización
unos servicios de personal. de los servicios administrativos para garantizar
calidad al menor unos adecuados niveles de personal.
coste.
La planificación no En su caso, estimar la conveniencia de utilizar
incorpora los objetivos de empresas de servicios externas en lugar de
los servicios proporcionar los servicios internamente.
administrativos.
Sistemas de contabilidad Determinar los costes con exactitud y distribuirlos

inadecuados para asignar de manera equitativa entre los departamentos.
costes.

Informe COSO

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informe COSO

Caricato da

Copyright:

Formati disponibili

Los nuevos conceptos

del control interno

Revisión: Instituto Auditores Internos de España-Coopers & Lybrand, S.A.

© Coopers & Lybrand e Instituto de Auditores Internos, 1997

© Committee of Sponsoring Organizations of the Treadway Commission,

Reservados todos los derechos.

<<No está permitida la reproducción total o parcial de este libro,

Ediciones Díaz de Santos, S.A.

Diseño de Cubierta: Angel Calvete

ENTIDADES PROMOTORAS REPRESENTANTES

American Institute of Certified Public Accountants Robert L. May, Clairman

GRUPO ASESOR DEL INFORME

Gaylen N. Larson, Clairman C. Perry Colwell John H. Stewart

Andrew D. Bailey Willian J. Ihlanfeldt Howard L. Siers, Consult.

Roger N. Carolus David L. Landsittel

Coopers & Lybrand

Vincent M. O´Reilly R. Malcolm Schwartz Riclard M. Steinberg

Frank J. Tanki Robert J. Spear

Sección primera: Resumen para la dirección

Sección segunda: Marco general de referencia

A. Antecedentes y acontecimientos que condujeron a este estudio 127

Sección tercera: Información a terceros

Sección cuarta: Herramientas de evaluación

Eduardo Hevia Vázquez Ángel Luis Linares Martínez

Resumen para la dirección

Lo que se entiende por control interno

En un sentido amplio, se define como un proceso efectuado por el consejo de administración,

 Eficacia y eficiencia de las operaciones.

La primera categoría se dirige a los objetivos empresariales básicos de una entidad,

Si bien el control interno es un proceso, su eficacia es el estado o la situación del proceso en

 Entorno de control.— El entorno de control marca la pauta del funcionamiento de una

 Evaluación de los riesgos.— Cada entidad se enfrenta a diversos riesgos externos e

 Información y comunicación.— Hay que identificar, recopilar y comunicar información

 Supervisión.— Los sistemas de control interno requieren supervisión, es decir, un proceso

Lo que se puede lograr con el control interno

Lo que no se puede lograr con el control interno

Desafortunadamente algunas personas tienen expectativas mayores y poco realistas.

 El control interno garantiza el éxito de una entidad, es decir, asegura la consecución de

 El control interno puede asegurar la fiabilidad de la información financiera y el

Todos los miembros de la organización son responsables del control interno.

 La dirección.— El director general (o cualquier otra denominación que pueda darse al

 El consejo de administración.— La dirección es responsable ante el consejo de

 Auditores internos.— Los auditores internos desempeñan un papel importante en la

Presentación de este informe

Este informe se presenta en cuatro secciones. La primera, el presente Resumen para la

Lo que se debe hacer

 Legisladores y organismos de control.— Los altos funcionarios que redactan o aprueban

 Organizaciones profesionales.— Las organizaciones responsables de la elaboración de

Marco general de referencia

El control interno se define de la siguiente forma:

El control interno es un proceso efectuado por el consejo de administración, la dirección y el

 Eficacia y eficiencia de las operaciones.

La anterior definición refleja ciertos conceptos fundamentales:

 El control interno es un proceso. Es un medio utilizado para la consecución de un fin, no un

El control interno no constituye un acontecimiento o una circunstancia aislados, sino una

 La alta dirección procura que los valores de la calidad se incorporen en el estilo

 La mayoría de las empresas deben hacer frente a mercados muy competitivos y a la

El control interno lo llevan a cabo el consejo de administración, la dirección y los demás

 Operacionales.— Referente a la utilización eficaz y eficiente de los recursos de la

 Entorno de control.— El núcleo de un negocio es su personal (sus atributos individuales,

Componentes del control interno

Relación entre los objetivos y los componentes

 Las tres categorías de objetivos: operacionales, de información financiera y de

Control interno y actividades de gestión