Teorias Organizativas y Los Sistemas de Control Interno

AUDITORÍA

��

José Andrés Dorta Velázquez(España)

Director de Control Económico de la Universidadde Las Palmas de Gran Canaria.

Profesor Titular de Economía Financiera y ContabilidadUniversidad de Las Palmas de Gran Canaria

��

Este artículo realiza una revisión de los modelos de controlinterno propuestos en el ámbito internacional, destacandosus fundamentos básicos y el grado de complementariedadexistente entre los mismos. Se profundiza en los enunciadosdel informe COSO, para posteriormente, contrastar sus apor-taciones con las sugeridas por otros modelos como el cana-diense desarrollado por el Criteria of Control Committee(CoCo), bajo el auspicio del Canadian Institute of CharteredAccountants (CICA) y el modelo Australian Control Criteria(ACC) elaborado por el Institute of Internal Auditors (IIA)de Australia. Finalmente, se destaca la influencia de los prin-cipios de la gestión de la calidad total sobre los marcos con-ceptuales de control interno.

Palabras clave:

Control interno; Gestión de calidad total; Teorías organiza-tivas; Evaluación del sistema de control; Modelo COSO;Modelo CoCo ; Modelo conceptual ACC.

��

R E V I S T A I N T E R N A C I O N A L L E G I S D E C O N T A B I L I D A D & A U D I T O R Í A

��

��

1. Introducción

2. Perspectiva organizativa versus visión auditora-contable del control

3. Perspectiva de dirección-multiusuario: el informe COSO

3.1. Propósitos del control interno

3.2. Los componentes del control interno

3.3. Proceso iterativo y multidireccional

4. Perspectiva de dirección: el modelo conceptual CoCo

4.1. Consideración de las teorías organizativas

4.2. Principios para la evaluación del sistema de control

5. Una perspectiva de auditoría interna: el modelo concep-tual ACC

6. Complementariedad entre los marcos conceptuales eincidencia de la gestión de la calidad total

6.1. Complementariedad entre los modelos

6.2. Incidencia de los principios de la teoría de la ges-tión de la calidad total

Conclusiones

Bibliografía

��


��

1. Introducción

El presente artículo no pretende analizar los principios y ca-racterísticas de los modelos de control interno y externoestablecidos en el ordenamiento jurídico español, ni las al-ternativas que pueden plantearse para la fiscalización de laactividad económico-financiera del sector público. Son nu-merosos los autores que han desarrollado una importantelabor investigadora sobre estos tópicos, si bien existen me-nos trabajos sobre los avances que se están produciendoen el ámbito internacional sobre el control interno como “sis-tema”.

El estudio del “sistema de control interno” interesa a los di-rectivos y a todos aquellos que manejen fondos públicos,pues “son responsables de establecer y mantener un sistemade control interno eficaz, que asegure el logro de los objeti-vos previstos, la custodia de los recursos, el cumplimientode las leyes y normas jurídicas y la obtención de informa-ción fiable” (IGAE, 1997, párr. 2.1.2).

Así mismo, no cabe duda que juega un importante papel enel quehacer de los órganos técnicos de fiscalización(1). Unclaro testimonio de esta significación se encuentra en lasnormas de auditoría pública emitidas en el Estado español,bien por la Intervención General de la Administración delEstado (IGAE), bien por los Órganos de Control Externo(OCEX), en las que se resalta el sistema de control internocomo un elemento destacado en la fase de planificación dela estrategia auditora (véase cuadro 1).

Hay que destacar que frente al enfoque de sistemas —quefundamenta su lógica en la comprobación del sistema decontrol interno como un instrumento apropiado para contro-lar adecuadamente las transacciones producidas—, actual-mente la planificación de la estrategia de la auditoría ha to-mado el modelo de riesgo de la AICPA como punto dereferencia(2).

(1) Sobre lassingularidades delsistema de control

interno en el sectorpúblico pueden verse

las ponencias ycomunicaciones

presentadas en elSeminario sobre

Normalización de losProcedimientosFiscalizadores e

incluidas en el librocolectivo promovidopor la Asociación deLetrados y Auditores

del Tribunal deCuentas. Seminarios

1994-1995. Tribunal deCuentas, 1996, pp.

331-547.

(2) Este enfoquepropone que el auditor

debe planificar enfunción de las

siguientesconsideraciones: a)

Analizar el riesgoinherente basado en las

condiciones de laeconomía en general y

del ente auditado enparticular; b)

Determinar la confianzaen la estructura delcontrol interno; c)

Realizar juiciospreliminares sobre la

importancia relativa; yd) Concretar los

problemas potencialesen las diferentes áreasde las cuentas anualesy las condiciones que

puedan requerir unamodificación de losprocedimientos de

auditoría (Orta, 1996).

��


��

Cuadro 1

Concepción del sistema de controlen las normas de auditoría pública

“El plan de organización y elconjunto de medidas, métodos yprocedimientos con el objetivo:

a) De salvaguardar y protegersus activos y recursos.

b) De asegurar la fiabilidad eintegridad de la información.

c) De asegurar el cumplimien-to de la normativa aplicable.

d) De garantizar una gestióneficiente y eficaz de los recursospúblicos.

e) De garantizar que se logrende manera eficaz y eficiente lasmetas y los objetivos estableci-dos en los programas”.

Las normas de los OCEX estable-cen una acepción de control inter-no en función del tipo de auditoría:

“Los métodos y los procedi-mientos establecidos por la di-rección del organismo para ga-rantizar razonablemente el logrode los objetivos específicos fija-dos”.

“Auditoría financiera: ... dispo-sitivos establecidos para prote-ger los activos y los recursos yasegurar que los apuntes conta-bles se efectúen de forma ade-cuada”.

“Auditoría de cumplimientode legalidad: Métodos y pro-cedimientos establecidos paraayudar a los gestores en el cum-plimiento de las leyes y los re-glamentos”.

“Auditoría operativa: Sistemasy procedimientos establecidosque sirven de apoyo para que elente auditado realice sus activi-dades de forma eficaz, eficientey económica”.

(3) Durante los añosnoventa, las normas deauditoría del sectorprivado se modificaronpara adaptarse a losavances aportados porlos marcosconceptuales,especialmente COSO yCoCo, no solo en elámbito nacional(Estados Unidos (SAS78, 1995); Australia(AUS 402, 1995),Nueva Zelanda (AS-402, 1998), etc.), sinotambién internacional(ISA 400, 1994). Por loque respecta al sectorpúblico, una influenciamás que notoria sepuede observar en lasStandards for InternalControl in the FederalGovernment de laGeneral AccountingOffice (1999), cuyoesquema conceptual esuna adaptación delinforme COSO a larealidad pública y a loscometidos específicosde esta oficinagubernamental.Influencia del informeestadounidensetambién se observa enla Ley General deControl Interno de 2002(L. 8292) promulgadapor el Gobierno deCosta Rica, la cual estáenfocada al sectorpúblico, estableciendolos criterios mínimosque deben observarlos entes u órganospúblicos en sussistemas de controlinterno. Similarconsideraciónmerecen las normasgenerales de controlinterno establecidaspor la SindicaturaGeneral de Argentina,etc. En el marcointernacional, elComité de Normas deControl Interno deINTOSAI, basándose enuna encuesta realizadaentre sus miembros enel 2001, ha sugerido laintegración de susnormas con lasemitidas por COSOy CoCo.

Normas IGAE (1997) Normas OCEX (1992)

Fuente: IGAE (1997) y OCEX (1992).

El presente escrito realiza una revisión de los modelos decontrol interno —como sistema— que se han propuesto pordiferentes organismos en el ámbito internacional, destacan-do sus fundamentos básicos y el grado de complementariedadexistente entre los mismos. El interés por su estudio radicaen el hecho de la notable influencia que están ejerciendo enlas normas de control y auditoría, tanto en el ámbito del sec-tor privado como público(3).

A los efectos de lograr este propósito, el texto se ha estructu-rado en seis epígrafes, con el siguiente contenido:

��


��

— El primer epígrafe analiza el control desde la teoríaorganizativa en relación con la visión que tradicionalmenteha dominado la contabilidad y la auditoría.

— El segundo epígrafe profundiza en los enunciados esta-blecidos en el denominado informe COSO, dada la gran di-fusión y aceptación que actualmente se le reconoce.

— Los epígrafes tercero y cuarto detallan las aportacionessugeridas por otros modelos: el modelo canadiense desarro-llado por el Criteria of Control Committee (CoCo), bajo elauspicio del Canadian Institute of Chartered Accountants(CICA) y el modelo Australian Control Criteria (ACC) elabo-rado por el Institute of Internal Auditors (IIA) de Australia.

— El quinto epígrafe destaca la desigual influencia que estáejerciendo los principios de la gestión de la calidad total so-bre los marcos conceptuales de control interno anteriormen-te referenciados.

Las conclusiones alcanzadas son sintetizadas a modo de re-sumen al final de este artículo, junto a la bibliografía citada.

2. Perspectiva organizativa versusvisión auditora-contable del control

En la literatura organizativa existen diversas líneas de inves-tigación que versan sobre el control y toman como objeto desu análisis al individuo —perspectiva psicológica—, o losgrupos que coexisten en la organización —perspectiva so-ciológica—, o las unidades organizativas —perspectiva ad-ministrativa—. De acuerdo con Amat (1991, 1998), la pers-pectiva psicológica observa los sistemas de control comomecanismos configurados básicamente como factoresmotivacionales; mientras que la corriente sociológica anali-za los factores antropológicos y culturales que están insertosen el diseño de los sistemas de control; y, finalmente, la vi-sión administrativa describe los instrumentos formales o ex-plícitos que favorecen la consecución de los objetivos delsistema de control. En consecuencia, el concepto de control

��


��

en la literatura organizativa no es único y está supeditado alas diversas corrientes de pensamiento existentes.

En este sentido, Monllau (1997) concluye que a lo largo dela literatura organizativa se ha producido “una evolución delconcepto de control: en la teoría clásicael control era considerado como sinóni-mo de autoridad; la escuela de Harvardve el control como un conjunto de me-canismos que permiten conseguir la con-gruencia de los objetivos. La teoría de laagencia se limita a aplicar los principiosy técnicas microeconómicas al concep-to de control. La teoría de los sistemasabiertos considera el control como unsistema que tiene por finalidad estable-cer un feed-back entre el entorno en elque se mueve la empresa, y la propiaempresa. La teoría contingente, partien-do de la teoría de los sistemas abiertos,considera que el diseño del control de laempresa depende de factores que carac-terizan tanto el entorno de la empresa, como de los que ca-racterizan a la propia empresa”.

Para esta autora, en la literatura organizativa existe una abun-dante investigación normativa y empírica que toma el con-trol como objeto de estudio, analizando su finalidad eimportancia para un adecuado funcionamiento de las orga-nizaciones. Sin embargo, en la literatura auditora-contable,la investigación se ha preocupado principalmente por los pro-blemas vinculados con la aplicación de los documentos nor-mativos que regulan el control interno. Según Monllau (1997,pp. 325-326), es apreciable que existe un mayor avance cien-tífico en la literatura organizativa respecto a la auditora, tan-to en los fundamentos teóricos que se aportan como en lascontrastaciones empíricas que se realizan.

Es notorio que las corrientes más próximas entre la literatu-ra organizativa y auditora-contable se encuentran en las lí-neas de investigación que observan los sistemas de con-trol desde una perspectiva administrativa, ya que ambas

En la literaturaauditora-contable, la

investigación se hapreocupado

principalmente por losproblemas vinculados

con la aplicación de losdocumentos normativos

que regulan elcontrol interno

��


��

corrientes orientan sus trabajos en el diseño de mecanismosformales. En menor medida se aprecian los postulados de laperspectiva psicológica y cultural en la doctrina auditora, sibien cada vez son más los autores procedentes del campo dela auditoría y de la contabilidad que reconocen la necesidadde incorporar aspectos psicosociales y los valores imperantesen la cultura organizativa. A este respecto, destacamos, entreotros, los trabajos de Amat (1991 y 1998), Basu y Wright(1997); Fisher (1995 y 1998), Flamhotz (1983 y 1985),Haskins (1987), Hooks et al. (1994), Otley (1980 y 1994),Langfield-Smith (1995), Escobar y otros (2000) y Chorafas(2001).

Con la aparición de los marcos conceptuales no solo se halogrado una mejor delimitación teórica del control interno,sino también una respuesta a las necesidades de gestión delas organizaciones actuales, ya que estas no pueden regirseexclusivamente por los principios que tradicionalmente hanvenido utilizándose en la doctrina contable y de auditoría.Como se deduce de los trabajos de Jensen (1995), Marcella(1995) y Simons (1995), se requiere un proceso de cambioque permita ajustar los sistemas de control interno al nuevoentorno (cambios tecnológicos, globalidad de los mercados,etc.) y a las nuevas técnicas de gestión (gestión de la calidadtotal, reingeniería, etc.), especialmente si tenemos en cuentalas fuertes implicaciones prácticas que estos cambios ejer-cen sobre los sistemas de control, pues llevan consigo diver-sos aspectos que no pueden ser apoyados en la concepcióntradicional contable-auditora (descentralización en la tomade decisiones, simplificación de procesos, equipos de traba-jo multidisciplinares, mayor énfasis de los resultados,benchmarking, etc.).

En este sentido, no cabe duda que el marco conceptual decontrol interno más reconocido es el propuesto en 1992 porel Committee of Sponsoring Organizations of the TreadwayCommission, conocido generalmente como “informe COSO”,cuyas aportaciones han sido asumidas o revisadas por otrosorganismos normalizadores. No obstante, también están ad-quiriendo reconocimiento los documentos propuestos sobreeste tópico por el Criteria Control Board perteneciente alCanadian Institute of Chartered Accountants (CICA CoCo

��


��

Board). Entre los pronunciamientos que configuran sumarco conceptual destacan fundamentalmente dos, Guidanceon Control (1995) y Guidance on Assessing Control - TheCoCo Principles (1997), los cuales aportan un conjunto decriterios con connotaciones diferentes a los establecidos enel informe COSO. Igualmente, existen diferencias si nosadentramos en el modelo propuesto en 1998 por el Instituteof Internal Auditors de Australia, bajo el título AustralianControl Criteria (ACC). Este modelo no solo no entra encontradicción con los conceptos generalmente aceptados porlos auditores internos sino que, por el contrario, se proponeintegrarlos con los marcos conceptuales que se están impo-niendo en el ámbito internacional.

Puesto que un estudio detallado de los pormenores de cadauno de los marcos conceptuales desviaría excesivamentenuestra atención, deseamos resaltar que nuestro interés fun-damental es extraer, mediante el estudio comparativo de losmismos, una concepción actualizada del control interno. Lasconclusiones alcanzadas en esta revisión nos permitirán te-ner una base sólida sobre los atributos que definen el controlinterno en tres direcciones básicas: (a) objetivos del controlinterno; (b) elementos del control interno; y (c) metodologíapara su supervisión.

Con este propósito, acotaremos nuestro estudio centrándo-nos en las principales características de tres de los modelosanteriormente señalados (COSO, CoCo, ACC), quedando porfuera otras propuestas normalizadoras. Así mismo, hemosconsiderado interesante valorar en qué medida existe un pa-ralelismo entre marcos conceptuales del control interno ylos modelos que se han desarrollado bajo el amparo de lagestión de la calidad total.

3. Perspectiva de dirección-multiusuario: el informe COSO

Sobre la base de una recomendación de la NationalCommission on Fraudulent Financial Reporting —general-mente conocida como Treadway Commission—, diversasorganizaciones del ámbito auditor-contable(4) crearon el

(4) Las cincoorganizacionespatrocinadoras de laTreadway Commissionson: el AmericanInstitute of CertifiedPublic Accountants(AICPA), la AmericanAccounting Association(AAA), el FinancialExecutives Institute(FEI), el Institute ofInternal Auditors (IIA) yel Institute ofManagementAccountants (IMA).

��


��

Committee of Sponsoring Organizations (COSO), con el pro-pósito general de proporcionar criterios prácticos para el es-tablecimiento y evaluación del sistema de control interno.Con la creación de este comité, se deseaba desarrollar unaaproximación de gestión que cubriera principalmente lasnecesidades de la dirección en relación con el sistema decontrol interno, sin perjuicio de que pudieran ser adoptadospor otros grupos de interés (auditores internos, auditores ex-ternos, académicos, etc.).

Tras un período de trabajo de tres años(5), COSO emitió suprimer documento, editado en inglés con el título Internalcontrol integrated framework (Marco integral del controlinterno). En este marco de referencia se especifican las cate-gorías de objetivos que se pretenden lograr, los elementos ocomponentes que condicionan su consecución y las limita-ciones asociadas a su eficacia, así como las funciones y res-ponsabilidades de las distintas partes implicadas —estas úl-timas no forman parte del cuerpo principal del informe y,por tanto, no constituyen una recomendación de este mode-lo—. Posteriormente, COSO emitió un suplemento bajo eltítulo Addendum to “reporting to external parties” (Infor-mación a terceros), en el que se aportan pautas por las quepuedan regirse las entidades que publiquen información so-bre el control interno, junto con la publicación de sus esta-dos financieros. Así mismo, COSO ofrece diversas herra-mientas (modelos de formularios, manuales de referencia,etc.) con la intención de facilitar y ayudar a las entidadesen los procesos de evaluación de sus sistemas de controlinterno.

Siguiendo a Steinberg y Tanki (1992, tomado de Cantorna,1998, p. 42) las implicaciones del informe COSO puedenobservarse en dos niveles: a corto plazo y largo plazo:

— A corto plazo el informe permite que: a) los gestores pue-dan contrastar los sistemas de control de sus organizacionescon una norma establecida, pudiendo observar las fortalezasy debilidades del mismo; b) normalizar el lenguaje entre lasdiferentes partes implicadas, lo que favorece los procesos decomunicación y toma de decisiones en la resolución de pro-blemas; c) las organizaciones que publiquen informes sobre

(5) Dada la grandiversidad de intereses

o expectativas quedespertaba este tópico,el COSO desarrolló unametodología dirigida ainvolucrar a todos lossujetos implicados ycon el propósito final

de lograr un consensoentre las partes. Root

(1998) criticaseriamente la

metodología seguida alseñalar que “no está

claro si el documentofinal refleja el consenso

de los puntos de vistarecabados a través de

cuestionarios,entrevistas, grupos de

trabajo, respuestasrecibidas, o

simplemente laspreferencias de

Coopers & Lybrand”.En su descargo, es

justo reconocer que elinforme COSO ha

divulgado lasherramientas de

investigación utilizadas(revisión de la

literatura, entrevistas,cuestionarios, etc.),mientras que otrosinformes no hacen

alusión a este respecto(por ejemplo, CoCo).

�


��

el control interno puedan evitar que los usuarios mantenganexpectativas no realistas, al tiempo que les permite una ma-yor protección, pues los informes están realizados con unmarco de referencia concreto, cuyas limitaciones estánexplicitadas.

— Entre las implicaciones a largo plazo, Steinberg y Tankiconsideran que: a) la dirección estará en mejor situación paraintegrar los controles de sus operaciones, mejorando de estaforma su calidad, eficacia y eficiencia; b) los pronunciamien-tos de las organizaciones profesionales sobre el control in-terno se realizarán atendiendo al marco general; c) los legis-ladores y reguladores podrán contemplar el marco como labase de su información; d) los legisladores y reguladorescomprenderán mejor el concepto de control interno, lossubconjuntos que lo integran, su ámbito y limitaciones; e)los docentes e investigadores podrán utilizar la terminologíaaportada en sus quehaceres.

En nuestra opinión, las ventajas asociadas a una redefiniciónde los conceptos utilizados se centran fundamentalmente enel cambio de mentalidad que puede producir en los directi-vos y otros grupos de interés, los cuales han observado histó-ricamente el control interno como un mecanismo de defen-sa, obviando que lo esencial es instaurar sistemas que ayudena lograr los objetivos estratégicos y operativos de la organi-zación. Quizás la utilidad principal de los marcos conceptua-les sea el cambio paradigmático que pueda producir sobre laconcepción que tienen los grupos de interés sobre el control.

Una vez considerados brevemente los antecedentes y la re-levancia del informe COSO, analizamos seguidamente al-gunas de sus aportaciones principales relativas a los objeti-vos, componentes, evaluación y limitaciones del controlinterno.

3.1. Propósitos del control interno

Según el informe COSO (1997, p. 16), el control interno es:

“Un proceso efectuado por el consejo de administración,la dirección y el resto del personal de una entidad, dise-

�


��

ñado con el objeto de proporcionar un grado de seguri-dad razonable en cuanto a la consecución de los objeti-vos dentro de las siguientes categorías: a) Eficacia yeficiencia de las operaciones; b) Fiabilidad de la infor-mación financiera; c) Cumplimiento de las leyes y nor-mas aplicables”.

La utilización de esta acepción amplia del control internoconlleva una consecuencia inmediata: desborda el ámbitocontable para situarse en una posición más general que cu-bre toda la organización, abandonando el uso de los térmi-nos “control interno contable” y “control interno adminis-trativo”, confirmando el deseo de aportar nuevos conceptosy romper con fijaciones funcionales de pronunciamientosprocedentes principalmente de la contabilidad y la auditoría(6).No obstante, estamos de acuerdo con Colbert (1996) y Root(1998), al señalar que en el informe COSO existe una pre-eminencia del objetivo de información financiera con rela-ción a cualquier otro tipo de información, hecho que puederesultar problemático en las organizaciones públicas y sinánimo de lucro en las que la información no financiera tieneuna gran relevancia.

El logro de los objetivos del control interno favorece lasupervivencia y éxito de las organizaciones de mercado,al ser directamente vinculadas con su razón de ser. Aunqueen las organizaciones públicas tal apreciación no se presentetan evidente, como consecuencia de su diferente natura-leza jurídico-política, actualmente estamos asistiendo a uncambio estratégico en el que las entidades del sector públicoestán transformando de forma notoria su forma de actuar.En este proceso de transformación, los sujetos implicadosestán demandando que los sistemas de gestión públicos ac-túen con mayor eficacia y eficiencia, sin merma de la legali-dad vigente y proporcionando paralelamente una informa-ción relevante y fiable. Así mismo, la dinamicidad ycomplejidad del entorno en el que operan las organizacionesactuales exigen un diseño organizativo flexible en el que lainformación no financiera juega un papel sin precedentes queparece no haber calado en los postulados de este marco con-ceptual.

(6) Paradójicamente losmarcos conceptuales

retoman algunosconceptos que se

habían abandonado endécadas anteriores. Por

ejemplo, la AICPA en1949 incluía las tres

categorías de objetivos(operacionales, de

información ycumplimiento) como

propósitos a lograr portodo sistema de control

interno. Sin embargo,los documentos

emitidos por la AICPAen 1958 y 1972,

comienzan a alejarsede este concepto y se

instauran losdenominados “control

interno contable” y“control interno

administrativo” (véaseMautz y Winjum,

1981), iniciándose unaetapa en la que losprofesionales de la

contabilidad y de laauditoría centran su

atención en el primeroen detrimento del

segundo. Quizás estasituación se haya

reproducido en nuestropaís, en el que los

componentes que nose vinculan con la

información financierahan sido infravalorados

o simplementeignorados.

��


��

Por otra parte, la acepción aportada por el informe COSOrompe con las aportaciones tradicionales al asumir que elcontrol interno es una práctica social desarrollada en todoslos ámbitos organizativos, esto es, un proceso o una multi-plicidad de procesos omnipresente e inherente en la planifi-cación, dirección y supervisión de la gestión de una entidad.Así mismo, se aporta un concepto dinámico, de actuaciónpreventiva, que opera continuamente con el propósito gene-ral de encauzar la acción, confirmando que el control inter-no no es un sistema de vigilancia e inspección que analizaen qué medida la dirección actúa bajo los límites admitidos,sino un instrumento de gestión necesario para el logro deléxito de la organización. Bajo este marco conceptual, el con-trol no solo es realizado por la dirección sino también portodas y cada una de las personas, debiéndose adecuar nosolo a aspectos técnicos sino también a los valores que defi-nen la cultura organizativa.

Este avance en la conceptualización del sistema de controlinterno no está exento de riesgos, pues, muchos auditorestienen incertidumbre de cómo encajar los principios delmodelo con los conceptos y normas de auditoría, ya que elcontrol tradicionalmente ha sido observado como un proce-so orientado hacia la actividad, mientras que COSO adoptauna perspectiva de gestión centrada más en los resultadosque en el proceso. Esta apreciación también es reconocidapor el IIA, señalando que los auditores internos deben utilizaralgún marco de referencia a la hora de concebir el control inter-no, siendo generalmente el informe COSO el más sugerido,aunque la evidencia empírica demuestra que los auditoresinternos vienen utilizando diferentes modelos en el ámbitointernacional (véase Deloitte Touche Tohmatsu, 2000).

Igualmente, una acepción amplia puede resultar inadecuadapara aquellos usuarios cuyas responsabilidades están condi-cionadas por requerimientos contractuales o legales, comoes el caso de los auditores externos cuyo cometido se centraexclusivamente en los estados financieros. Esta situación hasido parcialmente resuelta por COSO a través de suAddendum to “reporting to external parties”, permitiendoestablecer definiciones específicas que permitan cumplir conexpectativas particulares.

��


��

3.2. Los componentes del control interno

Si el sistema de control interno debe cubrir todas las posi-bles áreas y facetas de la organización, los elementos o com-ponentes han de ser suficientemente amplios como para abar-car las tres categorías de objetivos. En este sentido, el informeCOSO propone cinco componentes, cuya evaluación inte-gral permite establecer el grado de eficacia con el que estáfuncionando el sistema de control interno:

a) Entorno de control. El informe señala que el entornode control marca las pautas de comportamiento en una orga-nización y constituye la base de todos los demás componen-tes del control interno, englobando todos aquellos factoresde contingencia que inciden sobre la estructura de las activi-dades de la organización, en el establecimiento de objetivosy en el resto de los componentes del sistema. Se atribuyeimportancia a factores tales como “la honradez, los valoreséticos y la capacidad del personal; la filosofía de la direc-ción y su forma de actuar; la manera en que la direccióndistribuye la autoridad y responsabilidad y organiza y desa-rrolla profesionalmente a sus empleados, así como la aten-ción y orientación que proporciona el consejo de adminis-tración” (COSO, 1997, p. 27).

En nuestra opinión, la inclusión del entorno de control cons-tituye un avance importante, al reconocer explícitamente laimportancia de un conjunto de factores que, si bien habíansido puestos de manifiesto en la literatura organizativa (véa-se, entre otros, Langfield-Smith, 1995; Otley, 1994), no ha-bían gozado de excesivo protagonismo por parte de los orga-nismos profesionales y gubernamentales(7). Desde unaperspectiva empírica, Cohen et al. (2000) han observadocómo los diversos elementos del entorno de control consti-tuyen los factores más importantes para lograr un controlefectivo.

Por otra parte, muchos de los factores incluidos en el entor-no de control pueden quedar catalogados como parte de lacultura organizativa de la organización. El modelo estado-unidense es consistente con la idea de observar la cultura

(7) La ComisiónTreadway se había

pronunciado sobre laimportancia de los

factores incluidos en elentorno de control, al

señalar que: “Un climaético vigoroso dentro

de la empresa y entodos los niveles de la

misma, es esencialpara el bienestar de laorganización, de todoslos componentes y delpúblico en general. Unclima así contribuye enforma significativa a la

eficacia de las políticasy los sistemas de

control de las empresasy permite influir sobrelos comportamientos

que no están sujetos nia los sistemas de

control máselaborados”.

��


��

organizativa como mecanismo regulador del comportamien-to, siguiendo algunos postulados manifestados reiteradamen-te en la literatura organizativa (Álvarez-Dardet y Araújo,1998). De esta forma, el modelo estadounidense reconoce lanecesidad de ampliar el modelo estructural-funcionalista delos sistemas de control, incorporando la idea de la culturaorganizativa y refiriéndose a la misma como los elementosque permiten alcanzar la integridad de la organización y fa-cilitan la congruencia entre el comportamiento individual yorganizativo en aras de lograr los objetivos.

Acorde a esta concepción, el modelo COSO propugna eldesarrollo de mecanismos formales de control, tomando laevaluación de riesgos como punto básico de orientación, esdecir, todos los riesgos significativos que no puedan ser cu-biertos con un adecuado entorno de control deben ser con-trolados mediante mecanismos formales. En definitiva, seasume un punto de vista global en el que el proceso de direc-ción trata de influir en el comportamiento de los diferentescomponentes de la organización para que se orienten hacialos objetivos de esta y para ello cuenta con mecanismos in-formales y formales, cuya adecuada combinación exige con-siderar los riesgos asumidos por la institución, así como otrascaracterísticas específicas (entorno, cultura organizativa, es-tilos de dirección, estrategias, estructura y descentralizaciónorganizativa, etc.).

b) Evaluación de los riesgos(8). Las entidades deben ha-cerle frente a los riesgos, tanto de origen interno como exter-no, por lo que deben identificar y analizar los factores queafectan a la consecución de sus objetivos y, sobre la base dedicho análisis, determinar la forma en que los riesgos debenser gestionados, así como establecer mecanismos que reduz-can los riesgos asociados con el cambio (COSO, 1997).

COSO propone la identificación y evaluación de los riesgoscorporativos (business risk), con un alcance más amplio queel habitualmente utilizado en la literatura contable, tradicio-nalmente centrada en algunos riesgos financieros (fraude,incumplimiento en la normativa financiera o divulgar infor-mación no fidedigna).

(8) COSO ha emitidorecientemente unborrador de norma(Exposure Draft) en elque se definendirectrices generalespara la evaluación ygestión de los riesgosempresariales. Estedocumento, bajo eltítulo Enterprise RiskManagementFramework, esperaaprobarse en verano del2004. Dichodocumento puedeobtenerse en: http://www.erm.coso.org.

��


��

La identificación y evaluación de riesgos es generalmenteun proceso que queda integrado dentro de la planificaciónestratégica, pues una vez se analizan el entorno externo einterno de una organización es posible desarrollar sus objeti-vos generales y específicos, así como las acciones estratégi-cas y operativas que permitan la consecución de la misióninstitucional. A este respecto, el informe COSO sugiere queel control interno se centre exclusivamente en las activida-des de diagnóstico, sin perjuicio de que las mismas quedenintegradas y debidamente acopladas en el proceso de formu-lación de objetivos y en el desarrollo de acciones correcto-ras. Como se manifiesta en este marco conceptual, el controlinterno es parte del proceso de gestión, pero no todos losactos de la dirección constituyen elementos del mismo, ex-cluyendo algunas actividades de gestión, tales como: esta-blecimiento de los objetivos de la entidad (declaración demisión y de valores), planificación estratégica, establecimien-to de los objetivos por cada actividad, gestión de riesgos yacciones correctivas.

Por tanto, COSO limita la dimensión del control interno, alintegrar en el mismo únicamente las actividades que se diri-gen a identificar y evaluar los riesgos de la organización, asícomo los mecanismos establecidos en la gestión del cambio.Como posteriormente tendremos ocasión de comprobar, otrosmarcos conceptuales han estimado conveniente no excluiralgunas de las actividades del proceso de la planificaciónestratégica. En nuestra opinión, la perspectiva adoptada porel modelo estadounidense tiene una clara influencia de laauditoría financiera, cuya función tradicional ha sido apor-tar seguridad a la organización mediante el estudio de la ido-neidad de los mecanismos establecidos en la prevención, iden-tificación y reducción de riesgos de diversa índole.

c) Actividades de control. Desde una perspectivaoperativa, el informe COSO sugiere que deben establecersey ejecutarse políticas y procedimientos que permitan razo-nablemente afrontar los riesgos asociados a cada uno de losobjetivos. A este respecto, las actividades de control son de-finidas como “las normas y procedimientos (que constitu-yen las acciones necesarias para implementar las políticas)que pretenden asegurar que se cumplan las directrices que la

��


��

dirección ha establecido con el fin de controlar los riesgos”.Se refleja en esta definición la perspectiva funcionalista ge-neralmente utilizada por los auditores, en la que su actua-ción recae sobre los medios establecidos (sistemas, proce-sos, iniciativas, técnicas, programas, proyectos, etc.) para ellogro de los objetivos del control interno.

El informe COSO aporta pocas referencias sobre las activi-dades de control tradicionalmente utilizadas en la literaturacontable (control físico, separación deresponsabilidades, etc.), siendo consis-tente esta interpretación con los trabajosde investigación que advierten la escasay dudosa contribución de tales activida-des en la eficacia de un sistema de con-trol interno (Merchant, 1985; Sia y Neo,1997; Frigo et al., 1995). Sin embargo,este marco conceptual no aporta suge-rencias sobre cómo encauzar las activi-dades de control ante las nuevas técnicasde gestión (desconcentrar las decisioneshacia los niveles más operativos de la organización —empo-werment—, reingeniería, gestión de la calidad total, etc.).

Puesto que tiene que existir una integración entre la evalua-ción de riesgos y las actividades de control, estas se llevan acabo en cualquier parte de la organización, en todos sus ni-veles y en todas sus funciones, abarcando una multitud deposibilidades. En este sentido, cada organización debe eva-luar si las actividades de control empleadas son relevantescon relación al proceso de evaluación de riesgos realizado y,además, si se aplican de manera correcta. El modelo COSOpretende que las actividades de control se fundamenten en elgrado de riesgo y no sobre la base de los posibles errores quelas personas puedan cometer, de tal forma que exista unacorrelación entre la intensidad del riesgo y la actividad decontrol (Thornhill, 1996).

d) Información y comunicación. Si bien el término “sis-temas de información” se puede utilizar para denominar elprocesamiento de datos generados internamente en la orga-nización relativos a las transacciones y operaciones inter-

El informe COSOaporta pocas referenciassobre las actividades decontrol tradicionalmente

utilizadas en laliteratura contable

��


��

nas, el informe COSO sugiere un sentido más amplio deltérmino, al considerar que engloba el conjunto de procedi-mientos que, cuando se ejecutan, proporcionan informaciónpara la toma de decisiones y/o control de la organización.De esta forma, se resalta el valor de la información, más alláde su tradicional aspecto operativo, asumiendo una orienta-ción estratégica en la que quedan integrados la planificación,el diseño y la implantación de los sistemas de información.Por lo que respecta a las tecnologías de información, el in-forme insiste en que su diseño e implantación debe estar acor-de con las necesidades de planificación y control, medianteun adecuado acoplamiento con los sistemas de información.

Por otra parte, el informe COSO pone énfasis en que la in-formación adquiere su razón de ser en la medida que permi-ta a las personas cumplir con sus responsabilidades respectoa las tres categorías de objetivos, por lo que un sistema decontrol interno eficaz debe posibilitar información de cali-dad y sistemas adecuados de comunicación interna y externa(Davis y Militello 1994). De esta forma, cada individuo, di-visión organizativa o funcional puede evaluar sus propios re-sultados con mayor autonomía, permitiendo incluso una mejoridentificación y detección del fraude (Hooks et al., 1994).

e) Supervisión. Evidentemente todo el proceso ha de serevaluado al objeto de que el sistema pueda reaccionar ágil-mente y cambiar de acuerdo con las circunstancias. Según elinforme COSO, dicho seguimiento puede tomar la forma deactividades de supervisión mediante evaluaciones continuas,periódicas o una combinación de ambas. La supervisión con-tinua “se inscribe en el marco de las actividades corrientes ycomprende unos controles regulares realizados por la direc-ción, así como determinadas tareas que realiza el personalen el cumplimiento de sus funciones”.

Se recomienda que el alcance y la frecuencia de las evaluacio-nes puntuales o periódicas se determinen principalmente enfunción de una evaluación de riesgos y de la eficacia de super-visión continuada, centrando, en todo caso, su atención en cadauno de los componentes del sistema de control interno afecto atodas las actividades importantes y en orden a la categoría delos objetivos en los que la supervisión se enfoque (operacionales,de fiabilidad de la información financiera y de cumplimiento).

��


��

Como elementos esenciales de este componente, COSO su-giere que la organización defina quién participa en el proce-so de evaluación, cuál va a ser el proceso y metodología dela evaluación, así como la comunicación de las evidenciasdetectadas. En cualquier caso, el modelo estadounidenseaporta pocas referencias sobre el papel que puede jugar laautoevaluación de control(9) (AEC) como proceso de apren-dizaje y, por el contrario, sí manifiesta numerosas referen-cias al papel que puede jugar la auditoría interna y externacomo elementos de supervisión.

3.3. Proceso iterativo y multidireccional

Para COSO (1997, p. 22) el control interno se concibe comoun proceso iterativo multidireccional en el que todos sus com-ponentes influyen en otros, resultando un sistema integradoque responde de manera dinámica a las circunstancias cam-biantes del entorno externo e interno de la organización, alos efectos de lograr los objetivos operacionales, de infor-mación y cumplimiento.

Esta visión sistémica del control interno aporta numerosasposibilidades a la hora de ser evaluado, pues: (a) El controlinterno es relevante para la totalidad de la organización opara cualquiera de sus unidades o actividades, pudiendo li-mitar la evaluación por unidades departamentales, áreas oactividades funcionales; (b) La evaluación puede concretar-se en el estudio de la idoneidad de uno o varios de los ele-mentos que integran un componente y observar cómo estánafectando a uno o varios de los objetivos del control interno;y, por último, (c) Se puede analizar en qué medida todos ycada uno de los componentes están favoreciendo o no al lo-gro de una de las categorías de objetivos.

El informe COSO (1997, p. 150) se inclina por la últimaposibilidad, al considerar que “en general, la mejor forma deevaluar la eficacia de los controles es verificándolos para lastres categorías de objetivos por separado”, sin que ello su-ponga total y absoluta independencia entre dichos procesosevaluativos. De esta forma, aquellos usuarios que tengan susresponsabilidades limitadas a una categoría de objetivos,

(9) La autoevaluaciónde control (AEC) es unametodología iniciadaen Calgary (Alberta,Canadá) en 1986 yconstituye unapoderosa herramientapara evaluar laefectividad del control,así como los procesosde negocios dentro delas organizaciones.Permite que la gerenciay/o los equipos detrabajo directamenteresponsables de lafunción de un negocioparticipen en laevaluación del controlinterno, evalúen susriesgos, desarrollenplanes de acción paraabordar debilidadesidentificadas y,finalmente, analicen laprobabilidad de lograrlos objetivos de laorganización. Cabeseñalar que es unametodologíarelativamente nueva ycreciente, cuyo éxito serelaciona directamentecon el grado efectivode compromiso de losparticipantes,habiéndose mostradoútil tanto para laevaluación de loscontroles tradicionalescomo blandos—factores del entornode control—.

La AEC recibe otrasdenominaciones en laliteratura especializada:autoevaluación decontrol/riesgo (AECR),administración de laautoevaluación,autoevaluación delcontrol y riesgo, yautoevaluación denegocios.

��


��

como puede ser el caso de los auditores de la informacióncontable externa, pueden analizar si el sistema de controlinterno opera eficazmente respecto a su cometido mediantela evaluación de todos y cada uno de los componentes.

En nuestra opinión, la evaluación del control interno por ca-tegorías de objetivos permite establecer diferentes órganosde control con funciones propias, siempre y cuando existauna adecuada coordinación entre los mismos. La dirección,como responsable directo de todas las actividades, áreas oactividades funcionales, tendrá interés en evaluar el sistemade control interno en el ámbito institucional, si bien puededelegar parte de este proceso a órganos especializados. Enconsecuencia, la dirección no solo debe decir cómo se debeabordar el sistema de control interno, sino también las fun-ciones y responsabilidades de quienes vayan a participar enel proceso de supervisión.

Figura 1

Proceso iterativo y multidireccionalentre objetivos y componentes

SUPERVISIÓN

Fuente: COSO, 1997.

ACTIVIDADES DE CONTROL

EVALUACIÓN DE RIESGOS

ENTORNO DE CONTROL

AC

TIV

IDA

D 1

.....................................................

.....................................................

.....................................................

......

......

......

......

......

......

......

.....

......

......

......

......

......

......

......

.....

......

......

......

......

......

......

......

.....

......

......

......

......

......

......

......

.....

......

......

......

......

......

......

......

.....

................................

................................

.....................................................

..................................................... ................................

..................................................... ................................

................................

................................

.....................................................INFORMACIÓN Y COMUNICACIÓN

UN

IDA

D B

AC

TIV

IDA

D 2

UN

IDA

D A

INFO

RMACIÓ

N

FINANCIE

RA

CUMPLIM

IENTO

OPERACIO

NES

�


��

4. Perspectiva de dirección: el modeloconceptual CoCo

Entre los impulsos más notables cabe resaltar el desarrolla-do por el Canadian Institute of Chartered Accountants(CICA), en cuyo seno se ha constituido el Criteria of Con-trol Board (CoCo Board), con la misión de ayudar a las or-ganizaciones a perfeccionar sus procesos de toma de deci-siones a través de una mejor comprensión del control, elriesgo y la dirección. A este respecto, no cabe duda que lapublicación del informe COSO en 1992 y su gran difusiónha motivado que este organismo normalizador revise sus plan-teamientos sobre el control, influyendo otros factores inter-nos como la necesidad de actualizar las normas canadien-ses, el incremento de las expectativas sociales sobre lasresponsabilidades gerenciales, así como la necesidad de quelas empresas canadienses lograsen mayores cuotas decompetitividad (Boisclar y Jackson, 1998).

Su primer documento, Guidance on Control, establece losobjetivos del control, así como diferentes criterios que per-miten a la dirección la consecución de los mismos con unarazonable seguridad. Esta propuesta representa un plantea-miento más innovador que el establecido en pronunciamien-tos previos, al asumir un modelo de control más amplio ysustentado en las teorías del comportamiento (Boisclar yJackson, 1998). Al igual que el informe COSO, el modelocanadiense parte de las premisas establecidas en la teoríageneral de sistemas y en la teoría de la contingencia, e igual-mente, ambos marcos de referencia abandonan en parte lospresupuestos establecidos por Taylor, Fayol o Weber. Sinembargo, el marco conceptual canadiense incluye tambiénuna visión humanista de la organización, reconociendo im-portancia a los factores psicológicos y sociales que puedandeterminar el comportamiento humano (Jackson, 1998). Entodo caso, los principios contenidos en Guidance on Con-trol constituyen una visión diferente a la que tradicionalmentehan utilizado contables y auditores (Luscombe, 1995), he-cho que adquiere importancia si consideramos que dichodocumento constituye la base sobre la que se ha construidoel modelo de control del CICA.

�


��

Su segundo documento, Guidance for Directors-GovernanceProcess for Control, pone de manifiesto, entre otros aspec-tos, las responsabilidades que tiene la dirección en el proce-so de control y la necesidad de que deben evaluar su eficaciadesde un planteamiento de gestión. Esta guía describe seisáreas de responsabilidad respecto al control: establecimien-to y supervisión de los valores éticos; aprobación y supervi-sión de la misión, visión y estrategia; supervisión de las rela-ciones externas; evaluación de la gestión; supervisión de lossistemas de control de gestión; y evaluación de la eficacia dela dirección.

El CoCo Board ha emitido su norma Guidance on AssessingControl-The CoCo Principles, concretando los principios ymetodología que deben seguirse en la auto-evaluación delcontrol. Estos principios mantienen como postulado básicola necesaria alineación e integración de los siguientes ele-mentos de la organización (CoCo, 1999): (a) Los procesosde dirección que afectan directamente al establecimiento depolíticas, planes y valores éticos; (b) Los procesos de ges-tión dirigidos a la identificación y evaluación de riesgos, laplanificación estratégica y la comunicación; y (c) Los proce-sos de supervisión y aprendizaje vinculados al estudio delentorno, la mejora continua y la auditoría interna.

El CICA CoCo Board ha publicado un estudio bajo el títuloLearning about risk: choices, connections y competenciesen 1998, en el que se aportan nociones sobre cómo las orga-nizaciones pueden identificar y evaluar sus riesgos. Este do-cumento no tiene la misma autoridad que las recomendationsy guidelines publicadas por el CICA, pues se pretende bási-camente fomentar el debate y discusión sobre la importanciadel riesgo en las organizaciones. La orientación que va a se-guir el CICA respecto al análisis de riesgos está actualmenteen fase de desarrollo, siendo Guidance for Directors - Dealingwith risk in the boardroom, publicado en 2000, su único ex-ponente a este respecto.

4.1. Consideración de las teorías organizativas

El CICA CoCo Board (1995) parte de la siguiente premisabásica:

��


��

“Una persona desarrolla una actividad bajo la compren-sión de un propósito (los objetivos a lograr) y apoyadopor un conjunto de capacidades (información, recursos,otros medios y habilidades). La persona necesitará unsentido de compromiso para desarrollar la actividad bienen el tiempo. La persona supervisará su actuación y elentorno para conocer la mejor manera de realizar la ta-rea y decidir qué cambios debe hacer. Lo mismo es ciertopara cualquier equipo o grupo de trabajo”.

Principios básicos del sistema de control

Figura 2

SUPERVISIÓN YAPRENDIZAJE

COMPROMISO

PROPÓSITO

Fuente: CICA CoCo Board, 1995.

Se detecta en este planteamiento una perspectiva cibernéticaen el que cada grupo o unidad organizativa define sus propó-sitos, capacidades, compromisos y sistemas de supervisióncon el fin último de lograr unos objetivos previamente defi-nidos y asumidos. En este sentido, el marco de control com-prende los elementos de una organización (incluyendo sus

CAPACIDADES

ACCIÓN

��


��

recursos, sistemas, procesos, cultura, estructura y tareas) que,considerados conjuntamente, apoyan a las personas a lograrlos objetivos de la organización, resaltando de esta forma elplanteamiento de la teoría de sistemas abiertos, en virtud dela cual la organización debe ser observada como un conjun-to cuyos elementos deben alcanzar una adecuada alineación,integración y adaptabilidad.

Siguiendo este razonamiento, el CICA CoCo Board desa-rrolla el contenido de su marco conceptual mediante el esta-blecimiento de criterios para cada una de las categorías ante-riormente señaladas (propósito, compromiso, capacidades ysupervisión-aprendizaje). En concreto, se aportan veinte cri-terios cuya evaluación permite a la dirección analizar si elsistema de control está actuando razonablemente con efica-cia, habida cuenta que su formalización contribuye al com-portamiento racional de cada organización en particular.

Así, un sistema de control puede considerarse eficaz cuan-do: (a) la organización tiene un sentido de dirección, en elque queden definidos los objetivos, riesgos, políticas, planese indicadores de gestión; (b) los miembros de la organiza-ción asumen un sentido de identificación con los objetivosplanteados, es decir, los valores y las políticas de recursoshumanos están debidamente integradas; (c) las personas tie-nen la competencia debida o los respectivos sistemas de ad-ministración están coordinados y alineados; y, finalmente,(d) la organización tiene un sentido de evolución mediantela puesta en marcha de mecanismos que permitan ir avan-zando en el logro de los objetivos.

En nuestra opinión, el modelo CoCo se dirige principalmen-te a cubrir las responsabilidades de la dirección y, en conse-cuencia, asume una orientación de gestión no comprometidacon los intereses y necesidades de otros usuarios (auditoresinternos, auditores externos, organismo de control, legisla-dores, etc.), lo que redunda en una mayor amplitud tanto delos objetivos del control como de los elementos necesariospara su consecución. No se busca una orientación integralque permita a todas las partes interesadas una interpretaciónestándar del control, como es el caso del informe COSO,

��


��

sino principalmente ayudar a la dirección en la evaluación ymejora de los sistemas de control de sus organizaciones.

4.2. Principios para la evaluación del sistemade control

El CICA, a través de su Criteria of Control Board, ha am-pliado sus planteamientos sobre el control mediante otro pro-nunciamiento (Guidance on assessing control - The CoCoprinciples), cuyo propósito básico es definir un conjunto deprincipios sobre los que sustentar la metodología de evalua-ción, de acuerdo con los criterios que previamente habíansido señalados en la Guidance on Control y la Guidance forDirectors. En el cuadro 2 sintetizamos los aspectos más sig-nificativos de los principios propuestos, con el propósito defacilitar su comparación posterior con los objetivos y ele-mentos incluidos en el informe COSO.

Cuadro 2

Principios para la evaluacióndel control según CoCo

Principios Contenido básico

La evaluaciónestá dirigida alos objetivossignificativosde la organiza-ción y a la ges-tión del riesgoasociado a ta-les objetivos.

La evaluación no recoge todas las posibles partesu objetivos de la organización, sino que se con-centra en aquellos que resultan significativos enel proceso de planificación estratégica y operativa,incluyendo riesgos inesperados y la capacidad dela institución en identificar y explotar oportuni-dades. Ahora bien, el proceso de evaluación debeconsiderar que no siempre las organizacionesexplicitan sus objetivos y, por otra parte, puedenexistir objetivos implícitos establecidos en nor-mas y leyes de obligado cumplimiento.

La evaluaciónse realiza des-de la perspecti-va de la organi-zación en suconjunto.

Para ello es preciso conocer la dinámicainteracción existente entre los elementos de la or-ganización y evaluar los procesos de direcciónque afectan directamente al control. No se tratade evaluar el control de las posibles partes en lasque pudiera dividirse una organización o referi-das a un nivel determinado de los escalones dedecisión (estratégico, táctico, operativo), sinoque debe envolver a la entidad en su conjunto.No obstante, no se deben duplicar o sustituir los

��


��

Cuadro 2


(Continuación)


elementos de control establecidos (sistemas deidentificación de riesgos, procesos de evaluación,planificación estratégica, supervisión del entor-no externo e interno, actividades de auditores ex-ternos, auditores de control de calidad, auditoresmedioambientales y auditores internos). Igual-mente, pueden realizarse evaluaciones siguiendolos principios propuestos en unidades o activida-des concretas de la organización, velando poste-riormente por su coordinación con la evaluaciónglobal.

La evaluaciónes responsabili-dad del máximorepresentante dela dirección.

Corresponde al máximo responsable de la orga-nización autorizar la evaluación, señalar las per-sonas que deben participar, contribuir con sus pun-tos de vista, revisar y discutir las evidenciasobtenidas y emitir un informe.

La evaluaciónutiliza un pro-ceso minuciosoy digno de cré-dito que incor-pora la pers-pectiva de laspersonas de laorganizacióny permite unaevaluación dela organizaciónpor la propiaorganización.

Se parte de un conjunto de creencias: las perso-nas son responsables, en algún grado, del con-trol; las personas se comprometerán si participanen la evaluación; la evaluación debe reflejar lasperspectivas de las personas con conocimientosrelevantes, con independencia de su posición je-rárquica. Para ello, es necesario establecer un pro-ceso que recoja los planteamientos y experien-cias de quienes tienen conocimiento sobre elcontrol, sin perjuicio de que otras personas vo-luntaria y anónimamente puedan contribuir consus aportaciones.

La evaluaciónestá basada enlos criterios delmarco de con-trol del CICA.

Se asume que la organización está utilizando loscriterios establecidos en la Guidance on Control.Este modelo también puede aplicarse en el dise-ño del sistema control interno o para detectar áreascomunes e inconsistencias de otros marcos con-ceptuales.

La evaluaciónes desarrolladapor personascon habilidades,conocimientos,

La evaluación debe ser desarrollada por personasque colectivamente tengan habilidades y conoci-mientos en una multitud de aspectos. Por tanto,pueden existir diferentes perspectivas dependien-do, entre otros factores, de la formación, expe-

��


��

Cuadro 2


(Continuación)


cualidades yperspect ivasadecuadas.

riencia y nivel jerárquico de las personas invo-lucradas en la evaluación.

La evaluaciónincluye un in-forme en el quese describen losresultados al-canzados.

La evaluación debe incluir un informe en el quese indique los siguientes aspectos: una conclu-sión sobre la eficacia del control, los riesgos quepersistan sobre los objetivos significativos, un plande acción, una descripción de los objetivos queforman el centro de la evaluación y de los riesgosasociados a los mismos, una referencia que indi-que que se ha seguido el marco de control delCICA, un resumen de la aproximación de evalua-ción seguida, una descripción de las personas queparticiparon, las limitaciones inherentes al con-trol, el período de tiempo durante el cual se desa-rrolló la evaluación y, finalmente, la firma, direc-ción y fecha.

El proceso deevaluación de-be ser revisadocon el propósi-to de ser mejo-rado.

La revisión debe ser realizada por las personasque controlan la evaluación con la adecuada co-laboración de otros participantes, cuyos resulta-dos deben ser comunicados al responsable máxi-mo de la dirección.

Fuente: Adaptado del CICA Criteria of Control Board (1997).

5. Una perspectiva de auditoríainterna: el modelo conceptual ACC

No cabe duda que el Institute of Internal Auditors (IIA), hatenido un papel importante en el establecimiento de normasrelacionadas con el control interno, pues la auditoría internano tiene razón de ser si no existe previamente un conjuntode elementos de control que revisar y evaluar. Esta vincula-ción ha motivado que dicho organismo profesional hayaemitido a lo largo de su existencia diferentes normas quetratan de delimitar el contenido del control interno, así como

��


��

las responsabilidades que los auditores internos deben asu-mir en sus cometidos.

Recientemente el IIA (1998) ha manifestado, a través de suProffessional Practices Panhphlet 28-2, A perspectives oncontrol self-assesing, que los objetivos del control internoestablecidos en sus normas tienen la amplitud requerida enel informe COSO. Así mismo, admitiendo que el IIA ha es-tablecido a lo largo del tiempo un conjunto de normas cohe-rentes por las que sus miembros puedan sustentar el trabajo

GRUPOSDE

INTERÉS

SUPERVISIÓN

RESULTADOS

PRINCIPIOS DE CONDUCTA

LIDERAZGO GESTIÓNDE RECURSOS

HUMANOS

POLÍTICO

DIRECTIVO

OPERATIVO

REQUERIMIENTOS OPERATIVOSDIRE

CCIÓ

N AUDITORIÍA

INTERNA

Figura 3

Estructura del control interno establecidaen el modelo ACC

Fuente: Institute of Internal Auditors - Australia, 1998.

��


��

de auditoría interna, lo cierto es que dicho organismo no haexplicitado un marco conceptual de referencia sobre el con-trol interno. A la luz de este vacío normativo, el IIA ha esti-mado conveniente que los auditores internos desarrollen sutrabajo a partir de cualquiera de los marcos conceptuales pro-puestos en el ámbito internacional, apreciándose una incli-nación hacia el informe COSO, orientación que debe califi-carse de lógica si pensamos que fue una de las entidadespromotoras de dicho informe (véase Applegate y Wills, 1999).

Si bien se sugiere adoptar cualquiera de los modelos recono-cidos internacionalmente, en marzo de 1998, el Institute ofInternal Auditors de Australia, comenzó a desarrollar unmarco conceptual sobre el control interno bajo las siglasAustralian Control Criteria (ACC), en el que se integra losconceptos habitualmente utilizados por la auditoría internacon los nuevos conceptos que se están imponiendo en rela-ción con el control. En este sentido, el ACC propone seiscriterios que exponemos sintéticamente en el cuadro 3.

��


��

Cuadro 3

Criterios de control

Criterios Contenido básico

1. Propósitosy objetivos deun sistema decontrol inter-no eficaz.

Un sistema de control interno es eficaz cuandopermite a los tres niveles jerárquicos (político, di-rectivo y operativo) tener seguridad de que lospropósitos y objetivos de la organización se van alograr de forma económica y eficiente, tomandopara ello los objetivos tradicionales de la auditoríainterna.

2. Componen-tes de un siste-ma de controlinterno eficaz.

Los componentes propuestos por el ACC no tie-nen carácter exhaustivo y están considerados aten-diendo a los tres niveles jerárquicos (político, di-rectivo y operativo) y pueden agruparse en lassiguientes categorías: grupos de interés, supervi-sión, resultados, principios de conducta, liderazgo,gestión de recursos humanos y otros requerimien-tos operativos.

3. Diseño de unsistema de con-trol interno efi-caz.

El establecimiento y mantenimiento de un siste-ma de control interno, para lo cual, los objetivosespecíficos deberían considerar los siguientes as-pectos: autocompromiso con el control; áreas deresultados e identificación de riesgos; confianzay liderazgo; compromiso y competencia; calidady mejora continua; eficacia operativa del sistemade control interno; gestión de riesgos; y comuni-cación de las limitaciones inherentes al sistemade control interno.

4. Estableci-miento y man-tenimiento deun sistema decontrol internoeficaz.

El establecimiento y mantenimiento del sistemaexigen tener en cuenta una correcta planificaciónque integre diversos pasos metodológicos: (a)Establecer claramente los propósitos y objetivos,identificando los riesgos con base en las necesi-dades y expectativas presentes y futuras de losgrupos de interés y del entorno externo de la or-ganización; (b) Definir y comunicar un conjuntode principios que canalice las actitudes y com-portamientos hacia los objetivos a lograr; (c) De-finir y ordenar por importancia las áreas estraté-gicas de control interno para cada nivel de control(político, directivo y operativo); (d) Para cada áreade control se deben identificar, evaluar y ordenarlos resultados a lograr, los indicadores de gestióny los riesgos que puedan presentarse; (e) Para cadanivel de responsabilidad de control deben defi-nirse los objetivos individuales, las responsabili-dades, los canales de información, competencias

�


��

Cuadro 3

Criterios de control(Continuación)

Criterios Contenido básico

y niveles de auditoría; (f) Desarrollar objetivosde control interno en áreas estratégicas y de-finir controles específicos que permitan lograrlos objetivos de control; (g) Establecer normasconsensuadas para analizar la realidad operativade los controles internos; (h) Desarrollar medi-das y sistemas de información para la revisiónperiódica de la realidad de algunos controles in-ternos; (i) Revisar la eficacia global de los con-troles internos y desarrollar un plan de mejora;(j) Documentar y comunicar los objetivos y com-ponentes del sistema de control interno, revisan-do regularmente si su diseño y eficacia están deacuerdo con las necesidades y expectativas de losgrupos de interés, al objeto de anticiparse a loscambios del entorno; y (k) Revisar y modificar elliderazgo y el estilo de gestión de acuerdo conlos resultados alcanzados, la eficacia del controlinterno y la gestión de riesgos.

5. Responsabi-lidad, autori-dad, rendiciónde cuentas y es-tilo directivo.

Como premisa básica, se considera que la perso-na que desarrolla una actividad o tarea es respon-sable del control de la misma, lográndose la ren-dición de cuentas a partir de la revisiónindependiente que realizan los auditores internos.

La utilización de una aproximación basada en elriesgo permite un sistema menos complejo y con-forme a un criterio coste-eficacia, teniendo en con-sideración factores tales como: (a) Aceptación dela responsabilidad y rendición de cuentas sobrelos resultados y el control; (b) Acuerdo sobre lasdificultades y riesgos de los resultados deseadosen el ámbito organizativo; (c) Competencias y ni-veles de motivación de directivos y empleados;(d) Eficacia del sistema de control interno de di-rectivos y empleados; y (e) Competencias e im-plantación de la auditoría interna como sistemaque aporta seguridad sobre los resultados y elcontrol.

6. Ejercer unacuidadosa dili-gencia.

Muchas de las actividades relacionadas con elcontrol interno (establecimiento, mantenimientoy opinión sobre su eficacia) están revestidas dejuicios de valor, por lo que deben realizarse conuna cuidadosa diligencia.

Fuente: Adaptado de ACC, 1998.

�


��

6. Complementariedad entre losmarcos conceptuales e incidenciade la gestión de la calidad total

Cada marco conceptual tiene su propia visión sobre cuálesdeben ser los objetivos y elementos del sistema de controlinterno, proponiendo metodologías propias por las que orien-tar los procesos de evaluación. En nuestra opinión, la mayoramplitud del modelo CoCo favorece su complementariedadcon el modelo COSO, de tal forma que las directrices seña-ladas por ambas aproximaciones pueden ser útiles para unamejor comprensión del control en las organizaciones(10).

6.1. Complementariedad entre los modelos

Todos los documentos mantienen similares categorías deobjetivos, apreciándose algunas diferencias con relación almodelo COSO (véase cuadro 4). Así, CoCo otorga mayoramplitud a los objetivos de información y cumplimiento,pues, por una parte, considera que un sistema de control fun-ciona eficazmente cuando toda la información, interna o ex-terna, financiera y no financiera, goza de una razonable fia-bilidad y, por otra, asume que es preciso que los miembrosde la organización cumplan la normativa y sigan las políti-cas que internamente se hayan dado. Por su parte, el modeloACC adopta una aproximación muy cercana a la establecidapor el modelo CoCo en la definición de los objetivos delcontrol interno, si bien añade la necesidad de que los traba-jadores y otros grupos de interés posean un nivel apropiadode compromiso en el logro de los propósitos y objetivos dela organización.

(10) De acuerdo con laexperiencia de Makosz

(1997, p. 151), “elcontenido inteligente es

aproximadamentenoventa y cinco por

ciento el mismo queCOSO. Pero, hicimos un

esfuerzo muy grandepara usar un lenguaje

que uno podría usar conun CEO, con un ministro

diputado, con unpresidente, o con un

conserje, o con algúnempleado de los

departamentos postales.Nos esforzamos

bastante para encontrarun lenguaje que

encajara con todos”.

��


��

Cuadro 4

Objetivos del control interno segúnlos modelos COSO, CoCo y ACC

COSO CoCo ACC

Eficacia y efi-ciencia en lasoperaciones.

Eficacia y efi-ciencia en lasoperaciones.

Los recursos son utilizadoseconómica y eficientemen-te. Los resultados son con-sistentes con los propósitosy objetivos establecidos.

Los activos están salvaguar-dados de fraude, destruc-ción, negligencia o uso ina-decuado.

Fiabilidad en lainformación fi-nanciera.

Fiabilidad de lainformación in-terna y externa.

La información para la tomade decisiones y la revisiónde la gestión (tanto desdeuna perspectiva financieracomo operativa) es comple-ta, segura, relevante y opor-tuna.

Cumplimientode las normas yleyes aplicables.

Cumplimientocon las normas,leyes aplicablesy políticas inter-nas.

Existe un seguimiento de laspolíticas, planes, procedi-mientos, leyes, reglamentos,contratos, normas éticas yotras responsabilidades fi-duciarias.

(1) (1) Los trabajadores y otros gru-pos de interés poseen un ni-vel apropiado de compromi-so en el logro de los propó-sitos y objetivos.

(1) Los modelos COSO y CoCo incluyen el compromiso de competencia, si bien no le otorgan lacategoría de objetivo.

Fuente: Elaboración propia.

Analizando los elementos establecidos en los modelos ana-lizados, pueden establecerse las siguientes relaciones (véasecuadro 5):

1. Mientras el modelo CoCo incluye todos los procesosrelacionados con la planificación para proporcionar a la or-ganización de un sentido de dirección, el modelo estado-

��


��

unidense incluye solo la identificación y evaluación de ries-gos internos y externos o los riesgos asociados al cambio.Ahora bien, ambos documentos están de acuerdo en que laplanificación, tanto en su dimensión estratégica como ope-rativa, es un elemento que las organizaciones precisan desa-rrollar si desean un sistema de control eficaz. Aunque elinforme COSO sostiene que la formulación de la misión,objetivos generales y específicos no forman parte del siste-ma de control interno, sí resalta que la dirección debe identi-ficar, como condición previa y necesaria, cuáles son sus ob-jetivos explícitos o implícitos. En este mismo sentido seexpresa el modelo australiano, al resaltar que el estableci-miento y mantenimiento de un control interno eficaz requie-re una clarificación de los objetivos en sus diferentes nivelesorganizativos.

El propio informe COSO (1997, p. 159) reconoce que “mu-chas responsabilidades de gestión, tales como el estableci-miento de objetivos, la toma de decisiones empresariales, larealización de transacciones e implantación de planes, figu-ran entre las actividades que están integradas en el sistemade control interno, pero sin formar parte de él”. En nuestraopinión, el informe COSO únicamente incorpora la identifi-cación y análisis de los riesgos como parte del sistema decontrol interno, no porque el resto de actividades de gestiónrelacionadas con la planificación no constituyan elementosnecesarios, sino porque tales actividades no pueden ser dele-gadas en auditores externos e internos.

Por otra parte, el modelo canadiense y australiano presentanuna orientación más proactiva, por cuanto consideran queun sistema de control es eficaz cuando la organización iden-tifica y explota sus oportunidades y no solo cuando tienecapacidad para responder o adaptarse a los riesgos asocia-dos a sus actividades u objetivos.

2. Existe un acuerdo generalizado de que las entidadespúblicas y privadas deben mantener una estructura sólida,mediante el fortalecimiento de los aspectos éticos, definien-do claramente las líneas de responsabilidad y autoridad, o através de adecuadas políticas de recursos humanos (contra-tación, orientación, formación, evaluación, asesoramiento,

��


��

promoción, remuneración y corrección). No obstante, en losmodelos CoCo y ACC se aprecia una mayor preocupaciónpor el autocontrol y la confianza mutua como factores esen-ciales que potencian la identificación de los objetivos perso-nales con los objetivos departamentales e institucionales.

3. Todos los documentos están de acuerdo en que todoslos miembros de la organización deben tener los conocimien-tos y habilidades necesarias para llevar a cabo las funcionesencomendadas, aunque el modelo ACC eleva este elementocomo propósito del sistema de control interno. Así mismo,en aras de alcanzar un mayor compromiso con las responsa-bilidades asignadas, las personas deben contar con sistemasque les aporten información fidedigna y relevante para latoma de decisiones. El suministro de información de calidada las personas adecuadas, con suficiente detalle y oportuni-dad, permite cumplir con las responsabilidades asignadas deforma eficaz y eficiente. En este sentido, los sistemas de in-formación se deben diseñar e implantar de acuerdo con laestrategia de la organización, de tal forma que permitanvalorar la consecución de los objetivos estratégicos yoperativos.

Ahora bien, el modelo canadiense toma la literatura organi-zativa como punto de orientación y centra su atención en as-pectos que tienen que ver con la gestión de la empresa,por lo que el diseño del sistema de información preocupaen la medida en que es considerado como instrumentoimprescindible para la toma de decisiones. Por su parte, elinforme estadounidense al nutrirse de la literatura de auditoríase centra en los elementos de gestión que puedan tener unarepercusión en el diseño del sistema de información, pres-tando especial atención a la de naturaleza financiera.

Como parte íntimamente relacionada con la información, losmarcos conceptuales analizados están de acuerdo en que debefavorecerse la comunicación tanto interna como externa. Fi-nalmente, existe un consenso en que las actividades de con-trol deben diseñarse como parte integral de la organización,tomando en consideración sus objetivos, riesgos y otros ele-mentos de control.

��


��

4. El concepto de supervisión tiene nuevamente un signifi-cado más amplio en el modelo CoCo. El informe COSO con-sidera que las circunstancias sobre las que se configura elsistema de control interno de una organización cambian a lolargo del tiempo, reduciendo su capacidad de advertir ries-gos originados por nuevas circunstancias. Por tanto, paraasegurar que el control interno continúe funcionando ade-cuadamente es preciso desarrollar un proceso de supervi-sión, cuyo alcance y frecuencia varía según la magnitud delos riesgos objeto de control y de la importancia de activida-des de control. Las deficiencias y oportunidades, potencia-les o reales, que se detectan a través de los procedimientosde supervisión deben ser informadas a la persona responsa-ble de la función o actividad implicada. Por su parte, el mo-delo CoCo pretende proporcionar a la organización de unsentido de evolución, por lo que los criterios sugeridos ana-lizan todo el proceso de evaluación, incluyendo la asunciónde los objetivos establecidos y las acciones correctivas quedeban llevarse a cabo. Estas actividades de gestión no sonconsideradas en el modelo estadounidense pues, como he-mos venido sosteniendo, este marco conceptual pretende res-ponder a las expectativas que tiene en común directivos, au-ditores externos e internos, principalmente.

Respecto a la supervisión del sistema de control interno, elmodelo CoCo difiere en tres aspectos principales con rela-ción al informe COSO (CICA CoCo Board, 1995, p. 28):

a) Los juicios sobre la eficacia se realizan con relación aun objetivo específico (por ejemplo, el nivel de satisfacciónde clientes) y no sobre una categoría de objetivos (eficacia yeficiencia en las operaciones).

b) CoCo realiza la evaluación de la eficacia del control através de veinte criterios específicos. Entre tanto, COSO de-sarrolla la evaluación a través de cinco componentes, y esta-blece aspectos a considerar para cada uno de ellos que estándirecta e indirectamente relacionados con los que se inclu-yen en el documento del CoCo Board, excepto los siguien-tes: Receptibilidad de la dirección a las sugerencias de lostrabajadores dirigidas a mejorar la productividad, la calidad

��


��

u otras mejoras similares; alcance que permite al personal,en el desarrollo de sus actividades regulares, obtener evi-dencia respecto a si el sistema de control interno continúaoperativo; alcance por el que terceras partes tienen algunapreocupación por las normas éticas de la entidad; desa-rrollo de seminarios de formación, sesiones de planificacióny otros encuentros que permitan retroalimentación a la di-rección sobre la eficacia con la que están operando los con-troles; y adecuación del nivel de documentación (de una eva-luación).

c) CoCo incluye la siguiente definición de control: el con-trol significa qué hace una organización por lograr sus obje-tivos. Este es eficaz cuando proporciona una seguridad razo-nable de que la organización logrará sus objetivos. O, enotras palabras, el control es eficaz cuando los riesgos mante-nidos en la organización y que pueden hacer fracasar susobjetivos son considerados aceptables.

Como conclusión, tanto los principios como las fases delproceso de evaluación que se sugieren en el modelo cana-diense permiten complementar la aproximación del mo-delo COSO, toda vez que favorecen la implementación delas herramientas de evaluación aportadas por este últimomarco conceptual (formularios, cuestionarios, hojas detrabajo, manual de referencias, etc.). Consideramos quelos marcos conceptuales analizados no son excluyentesentre sí, pues ambos presentan aproximaciones de ges-tión sobre el control interno, si bien en el informe COSOtal aproximación queda restringida en las expectativas co-munes entre directivos y auditores. Esta complementa-riedad es reconocida en el modelo canadiense al señalar que“la evaluación también puede ser aplicada en organizacio-nes que utilizan marcos de control con otros propósitos. Lasorganizaciones que han utilizado otros marcos de control pue-den utilizar los criterios de control CICA al objeto de deter-minar áreas comunes y posibles inconsistencias.Los efectos prácticos de la evaluación por diferencias entredos marcos dependerán de la interpretación y aplicaciónde cada marco conceptual” (CICA CoCo Board, 1997;párr. 31).

��


��

Cabe destacar que se detecta una proximidad entre los ele-mentos considerados por los modelos ACC y CoCo, al in-cluir actividades de gestión explícitamente excluidas por elmodelo COSO. Se desprende una clara influencia del mode-lo CoCo en la aproximación australiana, habida cuenta delas actividades de gestión que se incluyen en la estructuradel control interno. Sin embargo, en el proceso de revisióndel modelo ACC, el CICA CoCo Board realizó algunos co-mentarios de interés, cuyo contenido exponemos a continua-ción, con el propósito de observar las diferencias existentesentre estos marcos conceptuales:

a) El término “criterios” tiene un significado diferente enel marco conceptual canadiense. El modelo CoCo proponeveinte criterios como base conceptual por la que entender yopinar sobre la eficacia del control de una organización, cuyodiseño o evaluación no puede lograrse aisladamente sino bajola interrelación existente entre los mismos. Por su parte, ACCpresenta criterios para el diseño, evaluación, mantenimientoy opinión sobre el control interno, bajo los planteamientosgenerales de la auditoría interna;

b) Los criterios del modelo CoCo están basados en unmodelo de comportamiento, aplicables a la totalidad de laorganización, a una de sus partes (división, grupo, equipo oindividuo), a uno de sus procesos (desarrollo de un servi-cio), o a uno de sus sistemas (sistema de producción, siste-mas de financiación). Por el contrario, el ACC ha sido dise-ñado en tres niveles jerárquicos (político, directivo yoperativo), reforzando una aproximación tradicional conimplicaciones diferentes. Así, el ACC limita el autocom-promiso con el control al nivel más operativo de la organiza-ción, situación que pudiera ser utilizada por la dirección comouna herramienta manipuladora, mientras el modelo canadien-se sugiere que el autocompromiso debe recaer en todos losniveles jerárquicos de la organización;

c) El modelo canadiense diferencia el control (en singular)de los controles (en plural). Control (en singular), “son to-dos los elementos de la organización que, conjuntamente,apoyan a las personas a lograr los objetivos de la organiza-

��


��

ción”. Por tanto, la evaluación de la eficacia del control re-quiere un conocimiento y apreciación de las interrelacionesexistentes entre los componentes del sistema. Los controles(en plural) son definidos como “reglas establecidas para pro-porcionar una seguridad de que los procesos operan tal ycomo fueron diseñados y permiten lograr los requerimien-tos establecidos en las políticas de la organización”. El mo-delo australiano utiliza indistintamente los términos “con-trol” y “controles”, lo que evidentemente puede provocarconfusión;

d) A pesar de que el ACC señala que dicho modelo ha sidodiseñado con el propósito de apoyar a la dirección y audito-res internos, lo cierto es que el documento tiene una clarainfluencia de la auditoría interna; y, por último,

e) El modelo ACC sugiere que el control puede analizarseen tres niveles organizativos, pero no explicita las interrela-ciones y mutua interdependencia existente entre los mismos.Con el propósito de que la organización no sea observadacomo la suma de partes independientes, el Criteria on Con-trol Board sugiere que todo marco conceptual debe incorpo-rar la teoría de sistemas, tanto en los procesos de diseño comoevaluación del control interno.

��


��

Cuadro 5

Comparación entre los elementos consideradosen los modelos COSO, CoCo y ACC

COSO CoCo ACC

Evaluación deriesgos:– Identificación yanálisis de los ries-gos internos y exter-nos.– Identificación yanálisis de riesgosasociados con elcambio.

Propósito:– Objetivos inclu-yendo la misión, vi-sión y estrategias.– Identificación yanálisis de riesgos yoportunidades.– Políticas.– Planificación es-tratégica.– Objetivos opera-tivos e indicadores.

Establecer y man-tener un sistema decontrol interno efi-caz:– Establecer clara-mente los propósi-tos y objetivos.Diseño de un siste-ma de control in-terno eficaz:Identificación yanálisis de los ries-gos internos y exter-nos.

Entorno decontrol:– Integridad y valo-res éticos.– Asignación de au-toridad y responsa-bilidad.– Políticas y prácti-cas de recursos hu-manos.– Consejo de admi-nistración o comitéde auditoría.– La filosofía de di-rección y el estilode gestión.– Estructura orga-nizativa.

Compromiso:– Valores éticos e in-tegridad.– Autoridad, respon-sabilidad y rendiciónde cuentas.– Política de recur-sos humanos.– Confianza mutua.

Componentes deun sistema de con-trol interno eficaz:– Principios de con-ducta.Responsabilidad,autoridad, rendi-ción de cuentas yestilo directivo:– Asignación de au-toridad y responsa-bilidad.– Rendición decuentas.– Estilo de gestión.Diseño de un siste-ma de control in-terno eficaz:– Autocompromisocon el control.– Confianza mutuay liderazgo.

Entorno decontrol:– Compromiso decompetencia profe-sional.

Capacidades:– Conocimiento, ha-bilidades y herra-mientas.– Procesos de comu-nicación.

Diseño de un siste-ma de control in-terno eficaz:

(1)

�


��

Cuadro 5

Comparación entre los elementos consideradosen los modelos COSO, CoCo y ACC

(Continuación)

COSO CoCo ACC

Información ycomunicación:– Información.– Comunicación.– Coordinación.Actividades decontrol:– Actividades decontrol.

– Información.– Coordinación.– Actividades decontrol.

Componentes deun sistema de con-trol interno eficaz:– Información.Establecer y man-tener un sistema decontrol interno efi-caz:– Actividades decontrol.

Supervisión:– Supervisión con-tinuada.– Evaluación pun-tual.– Información delas deficiencias de-tectadas.

Supervisión yaprendizaje:– Supervisión delentorno externo e in-terno.– Supervisión de laactuación.– Replantear la asun-ción de objetivos.– Reevaluar las ne-cesidades de infor-mación y los siste-mas de información.– Procedimientos deseguimiento.– Evaluación de laeficacia del control.

Establecer y man-tener un sistema decontrol interno efi-caz:– Revisar regular-mente si el diseño yeficacia están acor-des con las necesi-dades y expectativasde los grupos de in-terés y permiten an-ticiparse a los cam-bios del entorno.– Revisar y modifi-car el liderazgo, asícomo el estilo degestión de acuerdocon los resultadosalcanzados, la efica-cia lograda y la ges-tión de riesgos.

(1) El modelo ACC incluye el compromiso de competencia como una categoría de los objetivosdel control interno.

Fuente: Elaboración propia.

�


��

6.2. Incidencia de los principios de la teoríade la gestión de la calidad total

Los marcos conceptuales del control interno (COSO, CoCo,ACC) guardan una relación con los modelos que se han pro-puesto desde los planteamientos de la gestión de la calidadtotal, pues todos pretenden lograr una mayor excelencia enel gobierno de las organizaciones mediante un conjunto in-tegrado de principios (enfoque del cliente, mejora continua,gestión de procesos, trabajo en equipo, énfasis en el valor delos empleados, liderazgo, adaptación al entorno y las expec-tativas de los grupos de interés). Ahora bien, existiendo tresposturas al respecto: COSO sostiene que tales principios noforman parte del sistema de control interno; CoCo reconoceque existen puntos en común; y, finalmente, ACC señala cla-ramente que los principios y prácticas de la calidad puedeninsertarse en el establecimiento de un sistema de control in-terno, al otorgar importancia a las necesidades y expectati-vas de los diferentes grupos de interés.

A este respecto, Root (1998, p. 153) detalla el grado deinterrelación existente entre los modelos COSO y MBNQA,llegando a las siguientes conclusiones (véase cuadro 6): Elmarco COSO, por definición, excluye la planificación estra-tégica del control interno, ofrece poco reconocimiento alconcepto de satisfacción de los clientes y otorga poca pro-minencia a los procesos de control que afectan a los resulta-dos; mientras que MNNQA no incluye la evaluación de ries-gos entre sus criterios.

��


��

Cuadro 6

Comparación entre MBNQA y COSO

MBNQA

COSO

Entornode

control

Evaluaciónde

riesgos

Activida-des decontrol

Informa-ción y

comunica-ción

Supervisión

Liderazgo

Planificación estra-tégica

Centrado en el mer-cado y en los clien-tes

Información y aná-lisis

Gestión y desarrollode los recursos hu-manos

Gestión de los pro-cesos

Resultados

(3)

0 0 0 0 0

0 0 (1) 0 0

0 0 (1) (1) (2)

(1) 0 0 0 0

0 0 (2) (2) (1)

0 0 0 0 (2)

Donde: 0: No considerado; (1): Poco considerado; (2): Considerado; (3): Muy considerado.

Fuente: Root (1998, p. 153).

Resulta evidente que las propuestas de la gestión de la cali-dad total han tenido un mayor predicamento en el modelocanadiense y prueba de ello es la comparación que realizael CICA CoCo Board entre los modelos CoCo y MBNQA,en la que dicho organismo integra en su marco concep-tual gran parte de los criterios propuestos por el modelo decalidad y cuyas diferencias se concretan en los siguientesaspectos:

— Los riesgos internos y externos significativos a los quedeba hacer frente la organización deben estar identificados yevaluados.

— Una atmósfera de confianza mutua debería promoversepara apoyar el flujo de información entre las personas y su

��


��

actuación eficaz hacia el logro de los objetivos de la organi-zación.

— Las decisiones y acciones en diferentes partes de la orga-nización deberían estar coordinadas.

— La actuación debe ser supervisada mediante la contrapo-sición de los objetivos e indicadores establecidos.

— La asunción de los objetivos debería ser periódicamenterevisada.

— Los procedimientos de seguimiento deberían ser estable-cidos y desarrollados al objeto de asegurar que los cambioso las acciones se implementen.

En nuestra opinión, las diferencias señaladas por el CICACoCo Board deben ser matizadas, pues a tenor de los princi-pios y fundamentos de la gestión de la calidad total, no en-contramos argumentos que permitan señalar que tales acti-vidades de gestión no se encuentran insertas en el modeloMBNQA. Estamos de acuerdo con Root (1998) al indicarque la diferencia esencial se encuentra en aquellas activida-des relacionadas con el riesgo, en las que los sistemas decontrol tradicionalmente han jugado un papel destacado. Ennuestra opinión, los marcos conceptuales toman el riesgocomo punto neurálgico y prestan una especial relevancia atodos los factores que se relacionan con el mismo.

Finalmente, el modelo ACC admite explícitamente que losprincipios y prácticas de la calidad pueden insertarse en elestablecimiento de un sistema de control interno, lo que su-pone incluir en el diseño del sistema de control interno todoslos conceptos y fundamentos que son aportados desde losmodelos de la gestión de la calidad total. Sin embargo, estemarco conceptual no señala en qué condiciones debe con-cretarse la aplicación de los criterios de la calidad total.

��


��

Conclusiones

Es preciso tener presente que los intentos dirigidos hacia eldesarrollo y establecimiento de una definición consensuadadel control interno han comenzado a cristalizarse a lo largode la década de los noventa, proliferando diferentes marcosconceptuales que tratan de exponer sus visiones particula-res. En nuestra opinión, la diversidad de modelos no implicauna falta de consenso doctrinal, pues todos mantienen comofinalidad básica definir los objetivos y elementos que debenintegrarse dentro del sistema de control interno, sino másbien la existencia de expectativas y necesidades no siemprecoincidentes, lo que, a nuestro juicio, induce a desigualda-des parciales en los modelos analizados. No cabe duda deque una definición consensuada que responda a todos losgrupos de interés elimina diferencias de expectativas, perotal proceso normalizador conlleva una solución de compro-miso en la que pueden preponderar los intereses de los parti-cipantes con mayor capacidad para imponer su perspectiva.

Así, aunque la búsqueda de una interpretación común entrelas partes implicadas ha sido la preocupación fundamentalpor la que se desarrolló el modelo COSO, en nuestra opi-nión su informe se dirige principalmente a satisfacer los in-tereses de los auditores externos, otorgando mayor alcance alos aspectos relacionados con la información financiera ynutriéndose principalmente de la doctrina auditora. El infor-me CoCo, por su parte, se dirige principalmente a cubrir lasresponsabilidades de la dirección, asumiendo una aproxima-ción de gestión no comprometida con las demandas de otrosgrupos de interés. En la formulación de este último modelose observa la influencia de algunas teorías organizativas, asícomo los principios sugeridos por la gestión de la calidadtotal, sin contradecir, por otra parte, los criterios propuestosen el modelo estadounidense. Consecuentemente, el modelocanadiense presenta una mayor amplitud en la definición delos objetivos y elementos del sistema objeto de estudio. En-tre tanto, en el modelo ACC se aprecia una influencia directade las normas tradicionalmente sugeridas para el ejerciciode la auditoría interna, al tiempo que asume gran parte de loscriterios del modelo canadiense y de la gestión de la calidadtotal.

��


��

Cabe resaltar que todos los marcos conceptuales analizadosestán de acuerdo en que no existen normas prescriptivas porlas cuales se pueda diseñar un sistema de control interno paratodo tipo de organizaciones y que la consideración de todasellas no proporciona una seguridad en el logro de los objeti-vos pretendidos. En este sentido, el sistema objeto de estu-dio es interpretado actualmente como un sistema abierto ca-racterizado por un conjunto complejo de objetivos yelementos entrelazados, cuyas interconexiones tienden a sercomplejas, dinámicas y a menudo desconocidas.

Se concibe como un proceso altamente diferenciado en losámbitos sectorial y organizativo; es un producto social y aun-que se concrete en una organización en un momento deter-minado, en su configuración participan directa e indirecta-mente muchos agentes que aportan sus conocimientos,iniciativas y competencias específicas. El sistema de controlinterno es consustancialmente un fenómeno localizado en eltiempo y en el espacio. Es, además, un proceso abierto, suje-to a continuas actuaciones entre los agentes que lo generan,en lugar de un proceso secuencial de transiciones linealesentre los objetivos y componentes que lo constituyen. Portanto, se trata de un proceso intrínsecamente incierto, en elque las pautas de su diseño y evaluación son difíciles de es-tablecer.

Por ello, cada marco conceptual mantiene matices propiosacerca de cuáles deben ser los objetivos y actuaciones quehabrían de tenerse en cuenta para lograr un control internosatisfactorio. No obstante, encontramos que existe un altogrado de similitud y complementariedad entre los modelosde control analizados.

Profundizar en los componentes del sistema de control cons-tituye un reto para los responsables de cualquier institución,sea pública o privada. En nuestro país y como fruto de lasactuales normas, se ha avanzado mucho sobre determinadoselementos fundamentales (plan de organización que propor-cione una adecuada segregación de funciones; sistema ade-cuado de autorizaciones y de procedimientos; prácticas sóli-das a seguir en el desarrollo de las responsabilidades y

��


��

funciones organizativas; políticas para adecuar la formacióny capacidad del personal en correspondencia con las funcio-nes que desempeña; sistemas de control de gestión para laobtención de información presupuestaria, financiera y degestión que permitan la toma de decisiones de la direcciónde la entidad).

Sin embargo, son muchas las actividades que tienen queemprenderse en un futuro para lograr que las organizacionescuenten con sistemas de control interno más eficaces. Se tratade una labor ambiciosa que corresponde a los responsablesde la gestión como agentes del cambio, pues en ellos recaenlas labores de diseño y desarrollo de cualquier componentedel control interno. También les corresponde a los gestoresla evaluación del sistema de control interno, sin perjuiciodel notable apoyo que pueden encontrar en los órganos decontrol —internos o externos, institucionales o privados—.

� ��

Álvarez-Dardet Espejo, J. y Araújo Ñizón, P. Cambio contable ycultura organizativa. En: Revista Europea de Dirección y Econo-mía de la Empresa, vol. 7, Nº 3, 1998, pp. 121-134.

Amat, J.M. Los sistemas de control en las empresas de alta tecno-logía: El caso de dos empresas del sector químico-farmacéutico.Instituto de Contabilidad y Auditoría de Cuentas, Madrid: 1991.

Amat, J.M. Control de gestión: Una perspectiva de dirección. Bar-celona: Ediciones Gestión 2000, primera edición, 1998.

Applegate, D. y Wills, T. Struggling to incoporate the COSOrecommendations into your audit process? Here´s one audit shop´swinning strategy. The Institute of Internal Auditors (http://COSO.ORG/Articles/audit_shop.htm), 1999.

Asociación de Letrados y Auditores del Tribunal de Cuentas. “Se-minario sobre normalización de los procedimientos fiscalizadores”.En: Seminarios 1994-1995. Tribunal de Cuentas, 1996, pp.331-547.

��


��

Auditing Standards Board [AUS 402]. Risk assessment e internalcontrols. Auditing Standards Board of the Australian AccountingResearch Foundation, Victoria: October, 1995.

Basu, P. y Wright, A. An exploratory study of control environmentrisk factors: Client contingency considerations y audit test strategy.International Journal of Auditing, 1(2), 1997, pp. 77-96.

Boisclar, M. y Jackson, L. Two sides of the same coin. CICA´sguidance on control y CCAF´s effectiveness reporting framework.The Canadian Institute of Chartered Accountants, 1998.

Cantorna Agra, S. La eficacia de los sistemas de control interno.En: Revista Técnica del Instituto de Auditores-Censores Juradosde Cuentas de España, Nº 12, (1998a), pp. 34-49.

Cantorna Agra, S. Una visión actual del control y la auditoría in-terna. VIII Encuentro de la Asociación Española de Profesores deContabilidad (Asepuc), La contabilidad y la auditoría ante los próxi-mos retos. Alicante: mayo (1998b), pp. 361-375.

Chorafas, D.N. Implementing and auditing the internal controlsystem. Palgrave, New York: 2001.

Cohen, J.; Krishnamoorthy, G. y Wright, A. Midyear auditingconference. LA (January), 2000.

Colbert, J. y Bowen, P.A. Comparison of internal controls:COBIT®, SAC, COSO y SAS 55/78. (http://www.isaca.org/bkr_cbt3.htm), 1999.

Committee of Sponsoring Organizations of the TreadwayCommission [COSO]. Internal control integrated framework, 1992.En el presente trabajo se ha utilizado la traducción realizada por elInstituto de Auditores Internos de España y Coopers & Lybry. Losnuevos conceptos del control interno (informe COSO). Madrid:Editorial Diez de Santos, 1997.

Criteria Control Board of the Canadian Institute of CharteredAccountants. Guidance on control, 1995; —. Guidance fordirectors-governance process for control, 1997; —. Learning aboutrisk: Choices, connections y competencies, 1998; —. Guidance onassessing control - The CoCo principles, 1999; —. Guidance fordirectors-dealing with risk in the boardroom, 2000. Toronto,Ontario.

��


��

Davis, H.A. y Militello, F.C. The empowered organization:Redefining roles y practices of finance. Financial ExecutivesResearch Foundation, New Jersey: 1994.

Díaz Zurro, A. El control interno. En: Revista Española de ControlExterno, Nº 10, enero, 2002, pp. 31-52.

Escobar Pérez, B.; Lobo Gallardo, A. y Roberts, H. Marcointegrador para estudiar los sistemas de control. IX Encuentro dela Asociación Española de Profesores Universitarios de Contabili-dad (Asepuc), Las Palmas de Gran Canaria: 2000, pp. 627-648.

Fisher, J.G. Contingency-based research on management controlsystems: Categorization by level of complexity. Journal ofAccounting Literature, vol. 14, 1995, pp. 24-53.

Fisher, J.G. Contingency theory, management control systems yfirm outcomes: Past results y future directions. Behavioral Researchin Accounting, vol. 10, suplemento, 1998, pp. 47-64.

Flamholz, E.G. Accounting, budgeting and control systems in theirorganizational context: Theoretical y empirical perspectives.Accounting, Organizations . Society, vol. 8, Nº 2-3, 1983, pp. 153-169.

Flamholz, E.G.; Das, T.K. y Annes, T. Toward an integrativeframework of organizational control. Accounting, Organizations ySociety, vol. 10, Nº 13, 1985, pp. 35-50.

Frigo, M.L.; Krull, G.W. y Yates, S.Y.N. The impact of businessprocess re-engineering on internal auditing. The Institute of InternalAuditors, Florida: 1995.

Haskins, M.E. .Client control environments: An examination ofauditors’ perceptions. The Accounting Review, 62 (3), 1987, pp.542-564.

Hooks, K.L.; Kaplan, S.E. y Schultz, J.J., JR. Enhancingcommunication to assist in fraud prevention y detection. Auditing:A Journal of Practice y Theory, vol. 13, Fall, 1994, pp. 86-117.

International Audit Practice Committee [ISA 400]. Risk assessmenty internal control. New York, NY: IAPC, 1994.

Intervención General de la Administración del Estado (IGAE).Resolución de 1º de septiembre de 1998, de la intervención gene-ral de la administración del Estado, por la que se ordena la publi-cación de la resolución que aprueba las normas de auditoría delsector público. Boletín Oficial del Estado, Nº 234, 30 de noviem-bre, 1997.

��


��

Jackson, P. “CoCo in the Crucible”. The Canadian Institute ofChartered Accountants Maganice, june-july, 1998, pp. 41-46.

Jensen, M.C. “Éxito y fracaso de los sistemas de control interno”.Harvard Deusto Business-Review, 1995.

Langfield-Smith, K. Organizational culture and control, 1995. In-cluido en Berry, A.J.; Broadbent, J. y Otley, D. (eds.): Managementcontrol, theories, issues and practices. London: MacMillan Press.

Luscombe, M. Guidance on control. The Canadian Institute ofChartered Accountants Maganice, march, 1995, pp. 25-29.

Makosz, P.G. COSO/CoCo. Estructura para el control interno. XIConferencia internacional sobre acontecimientos en la administra-ción financiera gubernamental, 7-9 de abril, Miami, Florida, USA:1997.

Mañez Vindel, G. “El modelo de control interno de la actividadeconómico-financiera del sector público estatal español: Caracte-rísticas y fundamento”. Presupuesto y Gasto Público, Nº 18, 1996,pp. 27-36.

Marcella, A.J. Outsourcing, downsizing y re-engineering: internalcontrol implications. The Institute of Internal Auditors, Florida:1995.

Mautz, R.K. y Winjum, J. Criteria for management control systems.Financial Executives Research Foundation, New York: 1981.

Merchant, K.A. Control in business organizations. Pitman, Boston:1985.

Monllau Jaques, T.M. Los sistemas de control interno en la empre-sa: Estudio empírico del caso español. Tesis doctoral (inédita).Universitat Politècnica de Catalunya: 1997.

Monllau Jaques, T.M. El sistema de control interno en España:Estudio empírico del sector de la cerámica. Partida Doble, abril,1999, pp. 80-91.

Órganos de control externo. Principios y normas de auditoría delsector público, 1992.

Orta Pérez, M. Una propuesta de marco conceptual de la auditoríade cuentas anuales. Instituto de Contabilidad y Auditoría de Cuen-tas, Madrid: 1996.

Otley, D.T. Contingency theory of management accounting:Achievement and prognosis. Accounting, Organizations and Society,vol. 5, Nº 4, 1980, pp. 413-428.

�


��

Otley, D.T. Management control in contemporany organizations:Towards a wider framework. Management Accounting Research,vol. 5, 1994, pp. 289-299.

Otley, D.T. y Berry, A.J. Control, organization and accounting.Accounting, Organizations and Society, vol. 5, 1980, pp.883-847.

Otley, D.T. y Berry, A.J. Case study research in managementaccounting and control. Management Accounting Research, vol.5, Nº 1, 1994, pp. 45-65.

Palomar Olmeda, A. y Losada González, H. El procedimiento ad-ministrativo y la gestión presupuestaria y su control. Dykinson,Madrid: 1995.

Pedroche Rojo, L. “El control de la actividad económico financie-ra del sector público estatal. Consideraciones para el desarrollode un marco de actuación diferente”. En: Revista de la Interven-ción General de la Administración del Estado, Nº 7, junio, 2003,pp. 37-51.

Redondo De La Vega, J. El control interno en el sector público.Partida Doble, Nº 111, mayo, 2000, pp. 72-79.

Root, S.J. Beyond COSO: Internal control to enhance corporategovernance. John Wiley & Sons, Inc., 1998.

Santacana Gómez, J.M. Principios reguladores de la función in-terventora: Su aplicación en las administraciones públicas espa-ñolas. Presupuesto y Gasto Público, Nº 11, 1993, pp. 161-180.

Sia, S.K. y Neo, B.S. Reengineering effectiveness and the redesignof organizational control: A case study of the inland revenueauthority of Singapore. Journal of Management InformationSystems, 14 (1), 1997, pp. 69-92.

Simons, R. “Control in an age of empowerment”. Harvard Busi-ness Review, march-april, 1995, pp. 80-88.

Sindicatura General de Argentina. Normas generales de controlinterno, 1998.

The Institute of Internal Auditors – Australia. Australian ControlCriteria (ACC): Effective internal control to achieve businessobjetives an acceptable degree of risk. Sydney South, march, 1998.

Documents

Teorias Organizativas y Los Sistemas de Control Interno