Teorías organizativas y los sistemas de control interno

Revista Nº 22 Abr.-Jun. 2005

José Andrés Dorta Velázquez 

(España) 

Director de Control Económico de la Universidad de Las Palmas de Gran Canaria.

Profesor Titular de Economía Financiera y Contabilidad

Universidad de Las Palmas de Gran Canaria

1. Introducción

El presente artículo no pretende analizar los principios y características de los modelos de control interno y externo establecidos en el ordenamiento jurídico español, ni las alternativas que pueden plantearse para la fiscalización de la actividad económico-financiera del sector público. Son numerosos los autores que han desarrollado una importante labor investigadora sobre estos tópicos, si bien existen menos trabajos sobre los avances que se están produciendo en el ámbito internacional sobre el control interno como “sistema”.

El estudio del “sistema de control interno” interesa a los directivos y a todos aquellos que manejen fondos públicos, pues “son responsables de establecer y mantener un sistema de control interno eficaz, que asegure el logro de los objetivos previstos, la custodia de los recursos, el cumplimiento de las leyes y normas jurídicas y la obtención de información fiable” (IGAE, 1997, párr. 2.1.2).

Así mismo, no cabe duda que juega un importante papel en el quehacer de los órganos técnicos de fiscalización(1). Un claro testimonio de esta significación se encuentra en las normas de auditoría pública emitidas en el Estado español, bien por la Intervención General de la Administración del Estado (IGAE), bien por los Órganos de Control Externo (OCEX), en las que se resalta el sistema de control interno como un elemento destacado en la fase de planificación de la estrategia auditora (véase cuadro 1).

Hay que destacar que frente al enfoque de sistemas —que fundamenta su lógica en la comprobación del sistema de control interno como un instrumento apropiado para controlar adecuadamente las transacciones producidas—, actualmente la planificación de la estrategia de la auditoría ha tomado el modelo de riesgo de la AICPA como punto de referencia(2).

Cuadro 1
Concepción del sistema de control en las normas de auditoría pública
Normas IGAE (1997)Normas OCEX (1992)
“El plan de organización y el conjunto de medidas, métodos y procedimientos con el objetivo:

a) De salvaguardar y proteger sus activos y recursos.

b) De asegurar la fiabilidad e integridad de la información.

c) De asegurar el cumplimiento de la normativa aplicable.

d) De garantizar una gestión eficiente y eficaz de los recursos públicos.

e) De garantizar que se logren de manera eficaz y eficiente las metas y los objetivos establecidos en los programas”.
Las normas de los OCEX establecen una acepción de control interno en función del tipo de auditoría:

“Los métodos y los procedimientos establecidos por la dirección del organismo para garantizar razonablemente el logro de los objetivos específicos fijados”.

Auditoría financiera: ... dispositivos establecidos para proteger los activos y los recursos y asegurar que los apuntes contables se efectúen de forma adecuada”.

Auditoría de cumplimiento de legalidad: Métodos y procedimientos establecidos para ayudar a los gestores en el cumplimiento de las leyes y los reglamentos”.

Auditoría operativa: Sistemas y procedimientos establecidos que sirven de apoyo para que el ente auditado realice sus actividades de forma eficaz, eficiente y económica”.
Fuente: IGAE (1997) y OCEX (1992).

El presente escrito realiza una revisión de los modelos de control interno —como sistema— que se han propuesto por diferentes organismos en el ámbito internacional, destacando sus fundamentos básicos y el grado de complementariedad existente entre los mismos. El interés por su estudio radica en el hecho de la notable influencia que están ejerciendo en las normas de control y auditoría, tanto en el ámbito del sector privado como público(3).

A los efectos de lograr este propósito, el texto se ha estructurado en seis epígrafes, con el siguiente contenido:

— El primer epígrafe analiza el control desde la teoría organizativa en relación con la visión que tradicionalmente ha dominado la contabilidad y la auditoría.

— El segundo epígrafe profundiza en los enunciados establecidos en el denominado informe COSO, dada la gran difusión y aceptación que actualmente se le reconoce.

— Los epígrafes tercero y cuarto detallan las aportaciones sugeridas por otros modelos: el modelo canadiense desarrollado por el Criteria of Control Committee (CoCo), bajo el auspicio del Canadian Institute of Chartered Accountants (CICA) y el modelo Australian Control Criteria (ACC) elaborado por el Institute of Internal Auditors (IIA) de Australia.

— El quinto epígrafe destaca la desigual influencia que está ejerciendo los principios de la gestión de la calidad total sobre los marcos conceptuales de control interno anteriormente referenciados.

Las conclusiones alcanzadas son sintetizadas a modo de resumen al final de este artículo, junto a la bibliografía citada.

2. Perspectiva organizativa versus visión auditora-contable del control

En la literatura organizativa existen diversas líneas de investigación que versan sobre el control y toman como objeto de su análisis al individuo —perspectiva psicológica—, o los grupos que coexisten en la organización —perspectiva sociológica—, o las unidades organizativas —perspectiva administrativa—. De acuerdo con Amat (1991, 1998), la perspectiva psicológica observa los sistemas de control como mecanismos configurados básicamente como factores motivacionales; mientras que la corriente sociológica analiza los factores antropológicos y culturales que están insertos en el diseño de los sistemas de control; y, finalmente, la visión administrativa describe los instrumentos formales o explícitos que favorecen la consecución de los objetivos del sistema de control. En consecuencia, el concepto de control en la literatura organizativa no es único y está supeditado a las diversas corrientes de pensamiento existentes.

En este sentido, Monllau (1997) concluye que a lo largo de la literatura organizativa se ha producido “una evolución del concepto de control: en la teoría clásica el control era considerado como sinónimo de autoridad; la escuela de Harvard ve el control como un conjunto de mecanismos que permiten conseguir la congruencia de los objetivos. La teoría de la agencia se limita a aplicar los principios y técnicas microeconómicas al concepto de control. La teoría de los sistemas abiertos considera el control como un sistema que tiene por finalidad establecer un feed-back entre el entorno en el que se mueve la empresa, y la propia empresa. La teoría contingente, partiendo de la teoría de los sistemas abiertos, considera que el diseño del control de la empresa depende de factores que caracterizan tanto el entorno de la empresa, como de los que caracterizan a la propia empresa”.

Para esta autora, en la literatura organizativa existe una abundante investigación normativa y empírica que toma el control como objeto de estudio, analizando su finalidad e importancia para un adecuado funcionamiento de las organizaciones. Sin embargo, en la literatura auditora-contable, la investigación se ha preocupado principalmente por los problemas vinculados con la aplicación de los documentos normativos que regulan el control interno. Según Monllau (1997, pp. 325-326), es apreciable que existe un mayor avance científico en la literatura organizativa respecto a la auditora, tanto en los fundamentos teóricos que se aportan como en las contrastaciones empíricas que se realizan.

Es notorio que las corrientes más próximas entre la literatura organizativa y auditora-contable se encuentran en las líneas de investigación que observan los sistemas de control desde una perspectiva administrativa, ya que ambas corrientes orientan sus trabajos en el diseño de mecanismos formales. En menor medida se aprecian los postulados de la perspectiva psicológica y cultural en la doctrina auditora, si bien cada vez son más los autores procedentes del campo de la auditoría y de la contabilidad que reconocen la necesidad de incorporar aspectos psicosociales y los valores imperantes en la cultura organizativa. A este respecto, destacamos, entre otros, los trabajos de Amat (1991 y 1998), Basu y Wright (1997); Fisher (1995 y 1998), Flamhotz (1983 y 1985), Haskins (1987), Hooks et al. (1994), Otley (1980 y 1994), Langfield-Smith (1995), Escobar y otros (2000) y Chorafas (2001).

Con la aparición de los marcos conceptuales no solo se ha logrado una mejor delimitación teórica del control interno, sino también una respuesta a las necesidades de gestión de las organizaciones actuales, ya que estas no pueden regirse exclusivamente por los principios que tradicionalmente han venido utilizándose en la doctrina contable y de auditoría. Como se deduce de los trabajos de Jensen (1995), Marcella (1995) y Simons (1995), se requiere un proceso de cambio que permita ajustar los sistemas de control interno al nuevo entorno (cambios tecnológicos, globalidad de los mercados, etc.) y a las nuevas técnicas de gestión (gestión de la calidad total, reingeniería, etc.), especialmente si tenemos en cuenta las fuertes implicaciones prácticas que estos cambios ejercen sobre los sistemas de control, pues llevan consigo diversos aspectos que no pueden ser apoyados en la concepción tradicional contable-auditora (descentralización en la toma de decisiones, simplificación de procesos, equipos de trabajo multidisciplinares, mayor énfasis de los resultados, benchmarking, etc.).

En este sentido, no cabe duda que el marco conceptual de control interno más reconocido es el propuesto en 1992 por el Committee of Sponsoring Organizations of the Treadway Commission, conocido generalmente como “informe COSO”, cuyas aportaciones han sido asumidas o revisadas por otros organismos normalizadores. No obstante, también están adquiriendo reconocimiento los documentos propuestos sobre este tópico por el Criteria Control Board perteneciente al Canadian Institute of Chartered Accountants (CICA CoCo Board). Entre los pronunciamientos que configuran su marco conceptual destacan fundamentalmente dos, Guidance on Control (1995) y Guidance on Assessing Control - The CoCo Principles (1997), los cuales aportan un conjunto de criterios con connotaciones diferentes a los establecidos en el informe COSO. Igualmente, existen diferencias si nos adentramos en el modelo propuesto en 1998 por el Institute of Internal Auditors de Australia, bajo el título Australian Control Criteria (ACC). Este modelo no solo no entra en contradicción con los conceptos generalmente aceptados por los auditores internos sino que, por el contrario, se propone integrarlos con los marcos conceptuales que se están imponiendo en el ámbito internacional.

Puesto que un estudio detallado de los pormenores de cada uno de los marcos conceptuales desviaría excesivamente nuestra atención, deseamos resaltar que nuestro interés fundamental es extraer, mediante el estudio comparativo de los mismos, una concepción actualizada del control interno. Las conclusiones alcanzadas en esta revisión nos permitirán tener una base sólida sobre los atributos que definen el control interno en tres direcciones básicas: (a) objetivos del control interno; (b) elementos del control interno; y (c) metodología para su supervisión.

Con este propósito, acotaremos nuestro estudio centrándonos en las principales características de tres de los modelos anteriormente señalados (COSO, CoCo, ACC), quedando por fuera otras propuestas normalizadoras. Así mismo, hemos considerado interesante valorar en qué medida existe un paralelismo entre marcos conceptuales del control interno y los modelos que se han desarrollado bajo el amparo de la gestión de la calidad total.

3. Perspectiva de dirección-multiusuario: el informe COSO

Sobre la base de una recomendación de la National Commission on Fraudulent Financial Reporting —generalmente conocida como Treadway Commission—, diversas organizaciones del ámbito auditor-contable(4) crearon el Committee of Sponsoring Organizations (COSO), con el propósito general de proporcionar criterios prácticos para el establecimiento y evaluación del sistema de control interno. Con la creación de este comité, se deseaba desarrollar una aproximación de gestión que cubriera principalmente las necesidades de la dirección en relación con el sistema de control interno, sin perjuicio de que pudieran ser adoptados por otros grupos de interés (auditores internos, auditores externos, académicos, etc.).

Tras un período de trabajo de tres años(5), COSO emitió su primer documento, editado en inglés con el título Internal control integrated framework (Marco integral del control interno). En este marco de referencia se especifican las categorías de objetivos que se pretenden lograr, los elementos o componentes que condicionan su consecución y las limitaciones asociadas a su eficacia, así como las funciones y responsabilidades de las distintas partes implicadas —estas últimas no forman parte del cuerpo principal del informe y, por tanto, no constituyen una recomendación de este modelo—. Posteriormente, COSO emitió un suplemento bajo el título Addendum to “reporting to external parties” (Información a terceros), en el que se aportan pautas por las que puedan regirse las entidades que publiquen información sobre el control interno, junto con la publicación de sus estados financieros. Así mismo, COSO ofrece diversas herramientas (modelos de formularios, manuales de referencia, etc.) con la intención de facilitar y ayudar a las entidades en los procesos de evaluación de sus sistemas de control interno.

Siguiendo a Steinberg y Tanki (1992, tomado de Cantorna, 1998, p. 42) las implicaciones del informe COSO pueden observarse en dos niveles: a corto plazo y largo plazo:

— A corto plazo el informe permite que: a) los gestores puedan contrastar los sistemas de control de sus organizaciones con una norma establecida, pudiendo observar las fortalezas y debilidades del mismo; b) normalizar el lenguaje entre las diferentes partes implicadas, lo que favorece los procesos de comunicación y toma de decisiones en la resolución de problemas; c) las organizaciones que publiquen informes sobre el control interno puedan evitar que los usuarios mantengan expectativas no realistas, al tiempo que les permite una mayor protección, pues los informes están realizados con un marco de referencia concreto, cuyas limitaciones están explicitadas.

— Entre las implicaciones a largo plazo, Steinberg y Tanki consideran que: a) la dirección estará en mejor situación para integrar los controles de sus operaciones, mejorando de esta forma su calidad, eficacia y eficiencia; b) los pronunciamientos de las organizaciones profesionales sobre el control interno se realizarán atendiendo al marco general; c) los legisladores y reguladores podrán contemplar el marco como la base de su información; d) los legisladores y reguladores comprenderán mejor el concepto de control interno, los subconjuntos que lo integran, su ámbito y limitaciones; e) los docentes e investigadores podrán utilizar la terminología aportada en sus quehaceres.

En nuestra opinión, las ventajas asociadas a una redefinición de los conceptos utilizados se centran fundamentalmente en el cambio de mentalidad que puede producir en los directivos y otros grupos de interés, los cuales han observado históricamente el control interno como un mecanismo de defensa, obviando que lo esencial es instaurar sistemas que ayuden a lograr los objetivos estratégicos y operativos de la organización. Quizás la utilidad principal de los marcos conceptuales sea el cambio paradigmático que pueda producir sobre la concepción que tienen los grupos de interés sobre el control.

Una vez considerados brevemente los antecedentes y la relevancia del informe COSO, analizamos seguidamente algunas de sus aportaciones principales relativas a los objetivos, componentes, evaluación y limitaciones del control interno.

3.1. Propósitos del control interno

Según el informe COSO (1997, p. 16), el control interno es:

“Un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías: a) Eficacia y eficiencia de las operaciones; b) Fiabilidad de la información financiera; c) Cumplimiento de las leyes y normas aplicables”. 

La utilización de esta acepción amplia del control interno conlleva una consecuencia inmediata: desborda el ámbito contable para situarse en una posición más general que cubre toda la organización, abandonando el uso de los términos “control interno contable” y “control interno administrativo”, confirmando el deseo de aportar nuevos conceptos y romper con fijaciones funcionales de pronunciamientos procedentes principalmente de la contabilidad y la auditoría(6). No obstante, estamos de acuerdo con Colbert (1996) y Root (1998), al señalar que en el informe COSO existe una preeminencia del objetivo de información financiera con relación a cualquier otro tipo de información, hecho que puede resultar problemático en las organizaciones públicas y sin ánimo de lucro en las que la información no financiera tiene una gran relevancia.

El logro de los objetivos del control interno favorece la supervivencia y éxito de las organizaciones de mercado, al ser directamente vinculadas con su razón de ser. Aunque en las organizaciones públicas tal apreciación no se presente tan evidente, como consecuencia de su diferente naturaleza jurídico-política, actualmente estamos asistiendo a un cambio estratégico en el que las entidades del sector público están transformando de forma notoria su forma de actuar. En este proceso de transformación, los sujetos implicados están demandando que los sistemas de gestión públicos actúen con mayor eficacia y eficiencia, sin merma de la legalidad vigente y proporcionando paralelamente una información relevante y fiable. Así mismo, la dinamicidad y complejidad del entorno en el que operan las organizaciones actuales exigen un diseño organizativo flexible en el que la información no financiera juega un papel sin precedentes que parece no haber calado en los postulados de este marco conceptual.

Por otra parte, la acepción aportada por el informe COSO rompe con las aportaciones tradicionales al asumir que el control interno es una práctica social desarrollada en todos los ámbitos organizativos, esto es, un proceso o una multiplicidad de procesos omnipresente e inherente en la planificación, dirección y supervisión de la gestión de una entidad. Así mismo, se aporta un concepto dinámico, de actuación preventiva, que opera continuamente con el propósito general de encauzar la acción, confirmando que el control interno no es un sistema de vigilancia e inspección que analiza en qué medida la dirección actúa bajo los límites admitidos, sino un instrumento de gestión necesario para el logro del éxito de la organización. Bajo este marco conceptual, el control no solo es realizado por la dirección sino también por todas y cada una de las personas, debiéndose adecuar no solo a aspectos técnicos sino también a los valores que definen la cultura organizativa.

Este avance en la conceptualización del sistema de control interno no está exento de riesgos, pues, muchos auditores tienen incertidumbre de cómo encajar los principios del modelo con los conceptos y normas de auditoría, ya que el control tradicionalmente ha sido observado como un proceso orientado hacia la actividad, mientras que COSO adopta una perspectiva de gestión centrada más en los resultados que en el proceso. Esta apreciación también es reconocida por el IIA, señalando que los auditores internos deben utilizar algún marco de referencia a la hora de concebir el control interno, siendo generalmente el informe COSO el más sugerido, aunque la evidencia empírica demuestra que los auditores internos vienen utilizando diferentes modelos en el ámbito internacional (véase Deloitte Touche Tohmatsu, 2000).

Igualmente, una acepción amplia puede resultar inadecuada para aquellos usuarios cuyas responsabilidades están condicionadas por requerimientos contractuales o legales, como es el caso de los auditores externos cuyo cometido se centra exclusivamente en los estados financieros. Esta situación ha sido parcialmente resuelta por COSO a través de su Addendum to “reporting to external parties”, permitiendo establecer definiciones específicas que permitan cumplir con expectativas particulares.

3.2. Los componentes del control interno

Si el sistema de control interno debe cubrir todas las posibles áreas y facetas de la organización, los elementos o componentes han de ser suficientemente amplios como para abarcar las tres categorías de objetivos. En este sentido, el informe COSO propone cinco componentes, cuya evaluación integral permite establecer el grado de eficacia con el que está funcionando el sistema de control interno:

a) Entorno de control. El informe señala que el entorno de control marca las pautas de comportamiento en una organización y constituye la base de todos los demás componentes del control interno, englobando todos aquellos factores de contingencia que inciden sobre la estructura de las actividades de la organización, en el establecimiento de objetivos y en el resto de los componentes del sistema. Se atribuye importancia a factores tales como “la honradez, los valores éticos y la capacidad del personal; la filosofía de la dirección y su forma de actuar; la manera en que la dirección distribuye la autoridad y responsabilidad y organiza y desarrolla profesionalmente a sus empleados, así como la atención y orientación que proporciona el consejo de administración” (COSO, 1997, p. 27).

En nuestra opinión, la inclusión del entorno de control constituye un avance importante, al reconocer explícitamente la importancia de un conjunto de factores que, si bien habían sido puestos de manifiesto en la literatura organizativa (véase, entre otros, Langfield-Smith, 1995; Otley, 1994), no habían gozado de excesivo protagonismo por parte de los organismos profesionales y gubernamentales(7). Desde una perspectiva empírica, Cohen et al. (2000) han observado cómo los diversos elementos del entorno de control constituyen los factores más importantes para lograr un control efectivo.

Por otra parte, muchos de los factores incluidos en el entorno de control pueden quedar catalogados como parte de la cultura organizativa de la organización. El modelo estadounidense es consistente con la idea de observar la cultura organizativa como mecanismo regulador del comportamiento, siguiendo algunos postulados manifestados reiteradamente en la literatura organizativa (Álvarez-Dardet y Araújo, 1998). De esta forma, el modelo estadounidense reconoce la necesidad de ampliar el modelo estructural-funcionalista de los sistemas de control, incorporando la idea de la cultura organizativa y refiriéndose a la misma como los elementos que permiten alcanzar la integridad de la organización y facilitan la congruencia entre el comportamiento individual y organizativo en aras de lograr los objetivos.

Acorde a esta concepción, el modelo COSO propugna el desarrollo de mecanismos formales de control, tomando la evaluación de riesgos como punto básico de orientación, es decir, todos los riesgos significativos que no puedan ser cubiertos con un adecuado entorno de control deben ser controlados mediante mecanismos formales. En definitiva, se asume un punto de vista global en el que el proceso de dirección trata de influir en el comportamiento de los diferentes componentes de la organización para que se orienten hacia los objetivos de esta y para ello cuenta con mecanismos informales y formales, cuya adecuada combinación exige considerar los riesgos asumidos por la institución, así como otras características específicas (entorno, cultura organizativa, estilos de dirección, estrategias, estructura y descentralización organizativa, etc.).

b) Evaluación de los riesgos(8). Las entidades deben hacerle frente a los riesgos, tanto de origen interno como externo, por lo que deben identificar y analizar los factores que afectan a la consecución de sus objetivos y, sobre la base de dicho análisis, determinar la forma en que los riesgos deben ser gestionados, así como establecer mecanismos que reduzcan los riesgos asociados con el cambio (COSO, 1997).

COSO propone la identificación y evaluación de los riesgos corporativos (business risk), con un alcance más amplio que el habitualmente utilizado en la literatura contable, tradicionalmente centrada en algunos riesgos financieros (fraude, incumplimiento en la normativa financiera o divulgar información no fidedigna).

La identificación y evaluación de riesgos es generalmente un proceso que queda integrado dentro de la planificación estratégica, pues una vez se analizan el entorno externo e interno de una organización es posible desarrollar sus objetivos generales y específicos, así como las acciones estratégicas y operativas que permitan la consecución de la misión institucional. A este respecto, el informe COSO sugiere que el control interno se centre exclusivamente en las actividades de diagnóstico, sin perjuicio de que las mismas queden integradas y debidamente acopladas en el proceso de formulación de objetivos y en el desarrollo de acciones correctoras. Como se manifiesta en este marco conceptual, el control interno es parte del proceso de gestión, pero no todos los actos de la dirección constituyen elementos del mismo, excluyendo algunas actividades de gestión, tales como: establecimiento de los objetivos de la entidad (declaración de misión y de valores), planificación estratégica, establecimiento de los objetivos por cada actividad, gestión de riesgos y acciones correctivas.

Por tanto, COSO limita la dimensión del control interno, al integrar en el mismo únicamente las actividades que se dirigen a identificar y evaluar los riesgos de la organización, así como los mecanismos establecidos en la gestión del cambio. Como posteriormente tendremos ocasión de comprobar, otros marcos conceptuales han estimado conveniente no excluir algunas de las actividades del proceso de la planificación estratégica. En nuestra opinión, la perspectiva adoptada por el modelo estadounidense tiene una clara influencia de la auditoría financiera, cuya función tradicional ha sido aportar seguridad a la organización mediante el estudio de la idoneidad de los mecanismos establecidos en la prevención, identificación y reducción de riesgos de diversa índole.

c) Actividades de control. Desde una perspectiva operativa, el informe COSO sugiere que deben establecerse y ejecutarse políticas y procedimientos que permitan razonablemente afrontar los riesgos asociados a cada uno de los objetivos. A este respecto, las actividades de control son definidas como “las normas y procedimientos (que constituyen las acciones necesarias para implementar las políticas) que pretenden asegurar que se cumplan las directrices que la dirección ha establecido con el fin de controlar los riesgos”. Se refleja en esta definición la perspectiva funcionalista generalmente utilizada por los auditores, en la que su actuación recae sobre los medios establecidos (sistemas, procesos, iniciativas, técnicas, programas, proyectos, etc.) para el logro de los objetivos del control interno.

El informe COSO aporta pocas referencias sobre las actividades de control tradicionalmente utilizadas en la literatura contable (control físico, separación de responsabilidades, etc.), siendo consistente esta interpretación con los trabajos de investigación que advierten la escasa y dudosa contribución de tales actividades en la eficacia de un sistema de control interno (Merchant, 1985; Sia y Neo, 1997; Frigo et al., 1995). Sin embargo, este marco conceptual no aporta sugerencias sobre cómo encauzar las actividades de control ante las nuevas técnicas de gestión (desconcentrar las decisiones hacia los niveles más operativos de la organización —empowerment—, reingeniería, gestión de la calidad total, etc.).

Puesto que tiene que existir una integración entre la evaluación de riesgos y las actividades de control, estas se llevan a cabo en cualquier parte de la organización, en todos sus niveles y en todas sus funciones, abarcando una multitud de posibilidades. En este sentido, cada organización debe evaluar si las actividades de control empleadas son relevantes con relación al proceso de evaluación de riesgos realizado y, además, si se aplican de manera correcta. El modelo COSO pretende que las actividades de control se fundamenten en el grado de riesgo y no sobre la base de los posibles errores que las personas puedan cometer, de tal forma que exista una correlación entre la intensidad del riesgo y la actividad de control (Thornhill, 1996).

d) Información y comunicación. Si bien el término “sistemas de información” se puede utilizar para denominar el procesamiento de datos generados internamente en la organización relativos a las transacciones y operaciones internas, el informe COSO sugiere un sentido más amplio del término, al considerar que engloba el conjunto de procedimientos que, cuando se ejecutan, proporcionan información para la toma de decisiones y/o control de la organización. De esta forma, se resalta el valor de la información, más allá de su tradicional aspecto operativo, asumiendo una orientación estratégica en la que quedan integrados la planificación, el diseño y la implantación de los sistemas de información. Por lo que respecta a las tecnologías de información, el informe insiste en que su diseño e implantación debe estar acorde con las necesidades de planificación y control, mediante un adecuado acoplamiento con los sistemas de información.

Por otra parte, el informe COSO pone énfasis en que la información adquiere su razón de ser en la medida que permita a las personas cumplir con sus responsabilidades respecto a las tres categorías de objetivos, por lo que un sistema de control interno eficaz debe posibilitar información de calidad y sistemas adecuados de comunicación interna y externa (Davis y Militello 1994). De esta forma, cada individuo, división organizativa o funcional puede evaluar sus propios resultados con mayor autonomía, permitiendo incluso una mejor identificación y detección del fraude (Hooks et al., 1994).

e) Supervisión. Evidentemente todo el proceso ha de ser evaluado al objeto de que el sistema pueda reaccionar ágilmente y cambiar de acuerdo con las circunstancias. Según el informe COSO, dicho seguimiento puede tomar la forma de actividades de supervisión mediante evaluaciones continuas, periódicas o una combinación de ambas. La supervisión continua “se inscribe en el marco de las actividades corrientes y comprende unos controles regulares realizados por la dirección, así como determinadas tareas que realiza el personal en el cumplimiento de sus funciones”.

Se recomienda que el alcance y la frecuencia de las evaluaciones puntuales o periódicas se determinen principalmente en función de una evaluación de riesgos y de la eficacia de supervisión continuada, centrando, en todo caso, su atención en cada uno de los componentes del sistema de control interno afecto a todas las actividades importantes y en orden a la categoría de los objetivos en los que la supervisión se enfoque (operacionales, de fiabilidad de la información financiera y de cumplimiento).

Como elementos esenciales de este componente, COSO sugiere que la organización defina quién participa en el proceso de evaluación, cuál va a ser el proceso y metodología de la evaluación, así como la comunicación de las evidencias detectadas. En cualquier caso, el modelo estadounidense aporta pocas referencias sobre el papel que puede jugar la autoevaluación de control(9) (AEC) como proceso de aprendizaje y, por el contrario, sí manifiesta numerosas referencias al papel que puede jugar la auditoría interna y externa como elementos de supervisión.

3.3. Proceso iterativo y multidireccional

Para COSO (1997, p. 22) el control interno se concibe como un proceso iterativo multidireccional en el que todos sus componentes influyen en otros, resultando un sistema integrado que responde de manera dinámica a las circunstancias cambiantes del entorno externo e interno de la organización, a los efectos de lograr los objetivos operacionales, de información y cumplimiento.

Esta visión sistémica del control interno aporta numerosas posibilidades a la hora de ser evaluado, pues: (a) El control interno es relevante para la totalidad de la organización o para cualquiera de sus unidades o actividades, pudiendo limitar la evaluación por unidades departamentales, áreas o actividades funcionales; (b) La evaluación puede concretarse en el estudio de la idoneidad de uno o varios de los elementos que integran un componente y observar cómo están afectando a uno o varios de los objetivos del control interno; y, por último, (c) Se puede analizar en qué medida todos y cada uno de los componentes están favoreciendo o no al logro de una de las categorías de objetivos.

El informe COSO (1997, p. 150) se inclina por la última posibilidad, al considerar que “en general, la mejor forma de evaluar la eficacia de los controles es verificándolos para las tres categorías de objetivos por separado”, sin que ello suponga total y absoluta independencia entre dichos procesos evaluativos. De esta forma, aquellos usuarios que tengan sus responsabilidades limitadas a una categoría de objetivos, como puede ser el caso de los auditores de la información contable externa, pueden analizar si el sistema de control interno opera eficazmente respecto a su cometido mediante la evaluación de todos y cada uno de los componentes.

En nuestra opinión, la evaluación del control interno por categorías de objetivos permite establecer diferentes órganos de control con funciones propias, siempre y cuando exista una adecuada coordinación entre los mismos. La dirección, como responsable directo de todas las actividades, áreas o actividades funcionales, tendrá interés en evaluar el sistema de control interno en el ámbito institucional, si bien puede delegar parte de este proceso a órganos especializados. En consecuencia, la dirección no solo debe decir cómo se debe abordar el sistema de control interno, sino también las funciones y responsabilidades de quienes vayan a participar en el proceso de supervisión.

 

teorias1.JPG
 

 

Fuente: COSO, 1997.

4. Perspectiva de dirección: el modelo conceptual CoCo

Entre los impulsos más notables cabe resaltar el desarrollado por el Canadian Institute of Chartered Accountants (CICA), en cuyo seno se ha constituido el Criteria of Control Board (CoCo Board), con la misión de ayudar a las organizaciones a perfeccionar sus procesos de toma de decisiones a través de una mejor comprensión del control, el riesgo y la dirección. A este respecto, no cabe duda que la publicación del informe COSO en 1992 y su gran difusión ha motivado que este organismo normalizador revise sus planteamientos sobre el control, influyendo otros factores internos como la necesidad de actualizar las normas canadienses, el incremento de las expectativas sociales sobre las responsabilidades gerenciales, así como la necesidad de que las empresas canadienses lograsen mayores cuotas de competitividad (Boisclar y Jackson, 1998).

Su primer documento, Guidance on Control, establece los objetivos del control, así como diferentes criterios que permiten a la dirección la consecución de los mismos con una razonable seguridad. Esta propuesta representa un planteamiento más innovador que el establecido en pronunciamientos previos, al asumir un modelo de control más amplio y sustentado en las teorías del comportamiento (Boisclar y Jackson, 1998). Al igual que el informe COSO, el modelo canadiense parte de las premisas establecidas en la teoría general de sistemas y en la teoría de la contingencia, e igualmente, ambos marcos de referencia abandonan en parte los presupuestos establecidos por Taylor, Fayol o Weber. Sin embargo, el marco conceptual canadiense incluye también una visión humanista de la organización, reconociendo importancia a los factores psicológicos y sociales que puedan determinar el comportamiento humano (Jackson, 1998). En todo caso, los principios contenidos en Guidance on Control constituyen una visión diferente a la que tradicionalmente han utilizado contables y auditores (Luscombe, 1995), hecho que adquiere importancia si consideramos que dicho documento constituye la base sobre la que se ha construido el modelo de control del CICA.

Su segundo documento, Guidance for Directors-Governance Process for Control, pone de manifiesto, entre otros aspectos, las responsabilidades que tiene la dirección en el proceso de control y la necesidad de que deben evaluar su eficacia desde un planteamiento de gestión. Esta guía describe seis áreas de responsabilidad respecto al control: establecimiento y supervisión de los valores éticos; aprobación y supervisión de la misión, visión y estrategia; supervisión de las relaciones externas; evaluación de la gestión; supervisión de los sistemas de control de gestión; y evaluación de la eficacia de la dirección.

El CoCo Board ha emitido su norma Guidance on Assessing Control-The CoCo Principles, concretando los principios y metodología que deben seguirse en la auto-evaluación del control. Estos principios mantienen como postulado básico la necesaria alineación e integración de los siguientes elementos de la organización (CoCo, 1999): (a) Los procesos de dirección que afectan directamente al establecimiento de políticas, planes y valores éticos; (b) Los procesos de gestión dirigidos a la identificación y evaluación de riesgos, la planificación estratégica y la comunicación; y (c) Los procesos de supervisión y aprendizaje vinculados al estudio del entorno, la mejora continua y la auditoría interna.

El CICA CoCo Board ha publicado un estudio bajo el título Learning about risk: choices, connections y competencies en 1998, en el que se aportan nociones sobre cómo las organizaciones pueden identificar y evaluar sus riesgos. Este documento no tiene la misma autoridad que las recomendations y guidelines publicadas por el CICA, pues se pretende básicamente fomentar el debate y discusión sobre la importancia del riesgo en las organizaciones. La orientación que va a seguir el CICA respecto al análisis de riesgos está actualmente en fase de desarrollo, siendo Guidance for Directors - Dealing with risk in the boardroom, publicado en 2000, su único exponente a este respecto.

4.1. Consideración de las teorías organizativas

El CICA CoCo Board (1995) parte de la siguiente premisa básica:

“Una persona desarrolla una actividad bajo la comprensión de un propósito (los objetivos a lograr) y apoyado por un conjunto de capacidades (información, recursos, otros medios y habilidades). La persona necesitará un sentido de compromiso para desarrollar la actividad bien en el tiempo. La persona supervisará su actuación y el entorno para conocer la mejor manera de realizar la tarea y decidir qué cambios debe hacer. Lo mismo es cierto para cualquier equipo o grupo de trabajo”. 

 

teorias2.JPG
 

 

Fuente: CICA CoCo Board, 1995

Se detecta en este planteamiento una perspectiva cibernética en el que cada grupo o unidad organizativa define sus propósitos, capacidades, compromisos y sistemas de supervisión con el fin último de lograr unos objetivos previamente definidos y asumidos. En este sentido, el marco de control comprende los elementos de una organización (incluyendo sus recursos, sistemas, procesos, cultura, estructura y tareas) que, considerados conjuntamente, apoyan a las personas a lograr los objetivos de la organización, resaltando de esta forma el planteamiento de la teoría de sistemas abiertos, en virtud de la cual la organización debe ser observada como un conjunto cuyos elementos deben alcanzar una adecuada alineación, integración y adaptabilidad.

Siguiendo este razonamiento, el CICA CoCo Board desarrolla el contenido de su marco conceptual mediante el establecimiento de criterios para cada una de las categorías anteriormente señaladas (propósito, compromiso, capacidades y supervisión-aprendizaje). En concreto, se aportan veinte criterios cuya evaluación permite a la dirección analizar si el sistema de control está actuando razonablemente con eficacia, habida cuenta que su formalización contribuye al comportamiento racional de cada organización en particular.

Así, un sistema de control puede considerarse eficaz cuando: (a) la organización tiene un sentido de dirección, en el que queden definidos los objetivos, riesgos, políticas, planes e indicadores de gestión; (b) los miembros de la organización asumen un sentido de identificación con los objetivos planteados, es decir, los valores y las políticas de recursos humanos están debidamente integradas; (c) las personas tienen la competencia debida o los respectivos sistemas de administración están coordinados y alineados; y, finalmente, (d) la organización tiene un sentido de evolución mediante la puesta en marcha de mecanismos que permitan ir avanzando en el logro de los objetivos.

En nuestra opinión, el modelo CoCo se dirige principalmente a cubrir las responsabilidades de la dirección y, en consecuencia, asume una orientación de gestión no comprometida con los intereses y necesidades de otros usuarios (auditores internos, auditores externos, organismo de control, legisladores, etc.), lo que redunda en una mayor amplitud tanto de los objetivos del control como de los elementos necesarios para su consecución. No se busca una orientación integral que permita a todas las partes interesadas una interpretación estándar del control, como es el caso del informe COSO, sino principalmente ayudar a la dirección en la evaluación y mejora de los sistemas de control de sus organizaciones.

4.2. Principios para la evaluación del sistema de control

El CICA, a través de su Criteria of Control Board, ha ampliado sus planteamientos sobre el control mediante otro pronunciamiento (Guidance on assessing control - The CoCo principles), cuyo propósito básico es definir un conjunto de principios sobre los que sustentar la metodología de evaluación, de acuerdo con los criterios que previamente habían sido señalados en la Guidance on Control y la Guidance for Directors. En el cuadro 2 sintetizamos los aspectos más significativos de los principios propuestos, con el propósito de facilitar su comparación posterior con los objetivos y elementos incluidos en el informe COSO.

Cuadro 2
Principios para la evaluación del control según CoCo
PrincipiosContenido básico
La evaluación está dirigida a los objetivos significativos de la organización y a la gestión del riesgo asociado a tales objetivos.La evaluación no recoge todas las posibles partes u objetivos de la organización, sino que se concentra en aquellos que resultan significativos en el proceso de planificación estratégica y operativa, incluyendo riesgos inesperados y la capacidad de la institución en identificar y explotar oportunidades. Ahora bien, el proceso de evaluación debe considerar que no siempre las organizaciones explicitan sus objetivos y, por otra parte, pueden existir objetivos implícitos establecidos en normas y leyes de obligado cumplimiento.
La evaluación se realiza desde la perspectiva de la organización en su conjunto.Para ello es preciso conocer la dinámica interacción existente entre los elementos de la organización y evaluar los procesos de dirección que afectan directamente al control. No se trata de evaluar el control de las posibles partes en las que pudiera dividirse una organización o referidas a un nivel determinado de los escalones de decisión (estratégico, táctico, operativo), sino que debe envolver a la entidad en su conjunto. No obstante, no se deben duplicar o sustituir los elementos de control establecidos (sistemas de identificación de riesgos, procesos de evaluación, planificación estratégica, supervisión del entorno externo e interno, actividades de auditores externos, auditores de control de calidad, auditores medioambientales y auditores internos). Igualmente, pueden realizarse evaluaciones siguiendo los principios propuestos en unidades o actividades concretas de la organización, velando posteriormente por su coordinación con la evaluación global.
La evaluación es responsabilidad del máximo representante de la dirección.Corresponde al máximo responsable de la organización autorizar la evaluación, señalar las personas que deben participar, contribuir con sus puntos de vista, revisar y discutir las evidencias obtenidas y emitir un informe.
La evaluación utiliza un proceso minucioso y digno de crédito que incorpora la perspectiva de las personas de la organización y permite una evaluación de la organización por la propia organización.Se parte de un conjunto de creencias: las personas son responsables, en algún grado, del control; las personas se comprometerán si participan en la evaluación; la evaluación debe reflejar las perspectivas de las personas con conocimientos relevantes, con independencia de su posición jerárquica. Para ello, es necesario establecer un proceso que recoja los planteamientos y experiencias de quienes tienen conocimiento sobre el control, sin perjuicio de que otras personas voluntaria y anónimamente puedan contribuir con sus aportaciones.
La evaluación está basada en los criterios del marco de control del CICA.Se asume que la organización está utilizando los criterios establecidos en la Guidance on Control. Este modelo también puede aplicarse en el diseño del sistema control interno o para detectar áreas comunes e inconsistencias de otros marcos conceptuales.
La evaluación es desarrollada por personas con habilidades, conocimientos, cualidades y perspectivas adecuadas.La evaluación debe ser desarrollada por personas que colectivamente tengan habilidades y conocimientos en una multitud de aspectos. Por tanto, pueden existir diferentes perspectivas dependiendo, entre otros factores, de la formación, experiencia y nivel jerárquico de las personas involucradas en la evaluación.
La evaluación incluye un informe en el que se describen los resultados alcanzadosLa evaluación debe incluir un informe en el que se indique los siguientes aspectos: una conclusión sobre la eficacia del control, los riesgos que persistan sobre los objetivos significativos, un plan de acción, una descripción de los objetivos que forman el centro de la evaluación y de los riesgos asociados a los mismos, una referencia que indique que se ha seguido el marco de control del CICA, un resumen de la aproximación de evaluación seguida, una descripción de las personas que participaron, las limitaciones inherentes al control, el período de tiempo durante el cual se desarrolló la evaluación y, finalmente, la firma, dirección y fecha.
El proceso de evaluación debe ser revisado con el propósito de ser mejorado.La revisión debe ser realizada por las personas que controlan la evaluación con la adecuada colaboración de otros participantes, cuyos resultados deben ser comunicados al responsable máximo de la dirección.
Fuente: Adaptado del CICA Criteria of Control Board (1997).

5. Una perspectiva de auditoría interna: el modelo conceptual ACC

No cabe duda que el Institute of Internal Auditors (IIA), ha tenido un papel importante en el establecimiento de normas relacionadas con el control interno, pues la auditoría interna no tiene razón de ser si no existe previamente un conjunto de elementos de control que revisar y evaluar. Esta vinculación ha motivado que dicho organismo profesional haya emitido a lo largo de su existencia diferentes normas que tratan de delimitar el contenido del control interno, así como las responsabilidades que los auditores internos deben asumir en sus cometidos.

Figura 3

Estructura del control interno establecida en el modelo ACC

 

teorias3.JPG
 

 

Fuente: Institute of internal Auditors - Australia, 1998.

Recientemente el IIA (1998) ha manifestado, a través de su Proffessional Practices Panhphlet 28-2, A perspectives on control self-assesing, que los objetivos del control interno establecidos en sus normas tienen la amplitud requerida en el informe COSO. Así mismo, admitiendo que el IIA ha establecido a lo largo del tiempo un conjunto de normas coherentes por las que sus miembros puedan sustentar el trabajo de auditoría interna, lo cierto es que dicho organismo no ha explicitado un marco conceptual de referencia sobre el control interno. A la luz de este vacío normativo, el IIA ha estimado conveniente que los auditores internos desarrollen su trabajo a partir de cualquiera de los marcos conceptuales propuestos en el ámbito internacional, apreciándose una inclinación hacia el informe COSO, orientación que debe calificarse de lógica si pensamos que fue una de las entidades promotoras de dicho informe (véase Applegate y Wills, 1999).

Si bien se sugiere adoptar cualquiera de los modelos reconocidos internacionalmente, en marzo de 1998, el Institute of Internal Auditors de Australia, comenzó a desarrollar un marco conceptual sobre el control interno bajo las siglas Australian Control Criteria (ACC), en el que se integra los conceptos habitualmente utilizados por la auditoría interna con los nuevos conceptos que se están imponiendo en relación con el control. En este sentido, el ACC propone seis criterios que exponemos sintéticamente en el cuadro 3.

Cuadro 3
Criterios de control
CriteriosContenido básico
1. Propósitos y objetivos de un sistema de control interno eficaz.Un sistema de control interno es eficaz cuando permite a los tres niveles jerárquicos (político, directivo y operativo) tener seguridad de que los propósitos y objetivos de la organización se van a lograr de forma económica y eficiente, tomando para ello los objetivos tradicionales de la auditoría interna.
2. Componentes de un sistema de control interno eficaz.Los componentes propuestos por el ACC no tienen carácter exhaustivo y están considerados atendiendo a los tres niveles jerárquicos (político, directivo y operativo) y pueden agruparse en las siguientes categorías: grupos de interés, supervisión, resultados, principios de conducta, liderazgo, gestión de recursos humanos y otros requerimientos operativos.
3. Diseño de un sistema de control interno eficaz.El establecimiento y mantenimiento de un sistema de control interno, para lo cual, los objetivos específicos deberían considerar los siguientes aspectos: autocompromiso con el control; áreas de resultados e identificación de riesgos; confianza y liderazgo; compromiso y competencia; calidad y mejora continua; eficacia operativa del sistema de control interno; gestión de riesgos; y comunicación de las limitaciones inherentes al sistema de control interno.
4. Establecimiento y mantenimiento de un sistema de control interno eficaz.El establecimiento y mantenimiento del sistema exigen tener en cuenta una correcta planificación que integre diversos pasos metodológicos: (a) Establecer claramente los propósitos y objetivos, identificando los riesgos con base en las necesidades y expectativas presentes y futuras de los grupos de interés y del entorno externo de la organización; (b) Definir y comunicar un conjunto de principios que canalice las actitudes y comportamientos hacia los objetivos a lograr; (c) Definir y ordenar por importancia las áreas estratégicas de control interno para cada nivel de control (político, directivo y operativo); (d) Para cada área de control se deben identificar, evaluar y ordenar los resultados a lograr, los indicadores de gestión y los riesgos que puedan presentarse; (e) Para cada nivel de responsabilidad de control deben definirse los objetivos individuales, las responsabilidades, los canales de información, competencias y niveles de auditoría; (f) Desarrollar objetivos de control interno en áreas estratégicas y definir controles específicos que permitan lograr los objetivos de control; (g) Establecer normas consensuadas para analizar la realidad operativa de los controles internos; (h) Desarrollar medidas y sistemas de información para la revisión periódica de la realidad de algunos controles internos; (i) Revisar la eficacia global de los controles internos y desarrollar un plan de mejora; (j) Documentar y comunicar los objetivos y componentes del sistema de control interno, revisando regularmente si su diseño y eficacia están de acuerdo con las necesidades y expectativas de los grupos de interés, al objeto de anticiparse a los cambios del entorno; y (k) Revisar y modificar el liderazgo y el estilo de gestión de acuerdo con los resultados alcanzados, la eficacia del control interno y la gestión de riesgos.
5. Responsabilidad, autoridad, rendición de cuentas y estilo directivo.Como premisa básica, se considera que la persona que desarrolla una actividad o tarea es responsable del control de la misma, lográndose la rendición de cuentas a partir de la revisión independiente que realizan los auditores internos.
La utilización de una aproximación basada en el riesgo permite un sistema menos complejo y conforme a un criterio coste-eficacia, teniendo en consideración factores tales como: (a) Aceptación de la responsabilidad y rendición de cuentas sobre los resultados y el control; (b) Acuerdo sobre las dificultades y riesgos de los resultados deseados en el ámbito organizativo; (c) Competencias y niveles de motivación de directivos y empleados; (d) Eficacia del sistema de control interno de directivos y empleados; y (e) Competencias e implantación de la auditoría interna como sistema que aporta seguridad sobre los resultados y el control.
6. Ejercer una cuidadosa diligencia.Muchas de las actividades relacionadas con el control interno (establecimiento, mantenimiento y opinión sobre su eficacia) están revestidas de juicios de valor, por lo que deben realizarse con una cuidadosa diligencia.
Fuente: Adaptado de ACC, 1998.

6. Complementariedad entre los marcos conceptuales e incidencia de la gestión de la calidad total

Cada marco conceptual tiene su propia visión sobre cuáles deben ser los objetivos y elementos del sistema de control interno, proponiendo metodologías propias por las que orientar los procesos de evaluación. En nuestra opinión, la mayor amplitud del modelo CoCo favorece su complementariedad con el modelo COSO, de tal forma que las directrices señaladas por ambas aproximaciones pueden ser útiles para una mejor comprensión del control en las organizaciones(10).

6.1. Complementariedad entre los modelos

Todos los documentos mantienen similares categorías de objetivos, apreciándose algunas diferencias con relación al modelo COSO (véase cuadro 4). Así, CoCo otorga mayor amplitud a los objetivos de información y cumplimiento, pues, por una parte, considera que un sistema de control funciona eficazmente cuando toda la información, interna o externa, financiera y no financiera, goza de una razonable fiabilidad y, por otra, asume que es preciso que los miembros de la organización cumplan la normativa y sigan las políticas que internamente se hayan dado. Por su parte, el modelo ACC adopta una aproximación muy cercana a la establecida por el modelo CoCo en la definición de los objetivos del control interno, si bien añade la necesidad de que los trabajadores y otros grupos de interés posean un nivel apropiado de compromiso en el logro de los propósitos y objetivos de la organización.

Cuadro 4
Objetivos del control interno según los modelos COSO, CoCo y ACC
COSOCoCoACC
Eficacia y eficiencia en las operaciones.Eficacia y eficiencia en las operaciones.Los recursos son utilizados económica y eficientemente. Los resultados son consistentes con los propósitos y objetivos establecidos. Los activos están salvaguardados de fraude, destrucción, negligencia o uso inadecuado.
Fiabilidad en la información financiera.Fiabilidad de la información interna y externa.La información para la toma de decisiones y la revisión de la gestión (tanto desde una perspectiva financiera como operativa) es completa, segura, relevante y oportuna.
Cumplimiento de las normas y leyes aplicables.Cumplimiento con las normas, leyes aplicables y políticas internas.Existe un seguimiento de las políticas, planes, procedimientos, leyes, reglamentos, contratos, normas éticas y otras responsabilidades fiduciarias.
(1)(1)Los trabajadores y otros grupos de interés poseen un nivel apropiado de compromiso en el logro de los propósitos y objetivos.
(1) Los modelos COSO y CoCo incluyen el compromiso de competencia, si bien no le otorgan la categoría de objetivo.
Fuente: Elaboración propia.

Analizando los elementos establecidos en los modelos analizados, pueden establecerse las siguientes relaciones (véase cuadro 5):

1. Mientras el modelo CoCo incluye todos los procesos relacionados con la planificación para proporcionar a la organización de un sentido de dirección, el modelo estado-unidense incluye solo la identificación y evaluación de riesgos internos y externos o los riesgos asociados al cambio. Ahora bien, ambos documentos están de acuerdo en que la planificación, tanto en su dimensión estratégica como operativa, es un elemento que las organizaciones precisan desarrollar si desean un sistema de control eficaz. Aunque el informe COSO sostiene que la formulación de la misión, objetivos generales y específicos no forman parte del sistema de control interno, sí resalta que la dirección debe identificar, como condición previa y necesaria, cuáles son sus objetivos explícitos o implícitos. En este mismo sentido se expresa el modelo australiano, al resaltar que el establecimiento y mantenimiento de un control interno eficaz requiere una clarificación de los objetivos en sus diferentes niveles organizativos.

El propio informe COSO (1997, p. 159) reconoce que “muchas responsabilidades de gestión, tales como el establecimiento de objetivos, la toma de decisiones empresariales, la realización de transacciones e implantación de planes, figuran entre las actividades que están integradas en el sistema de control interno, pero sin formar parte de él”. En nuestra opinión, el informe COSO únicamente incorpora la identificación y análisis de los riesgos como parte del sistema de control interno, no porque el resto de actividades de gestión relacionadas con la planificación no constituyan elementos necesarios, sino porque tales actividades no pueden ser delegadas en auditores externos e internos.

Por otra parte, el modelo canadiense y australiano presentan una orientación más proactiva, por cuanto consideran que un sistema de control es eficaz cuando la organización identifica y explota sus oportunidades y no solo cuando tiene capacidad para responder o adaptarse a los riesgos asociados a sus actividades u objetivos.

2. Existe un acuerdo generalizado de que las entidades públicas y privadas deben mantener una estructura sólida, mediante el fortalecimiento de los aspectos éticos, definiendo claramente las líneas de responsabilidad y autoridad, o a través de adecuadas políticas de recursos humanos (contratación, orientación, formación, evaluación, asesoramiento, promoción, remuneración y corrección). No obstante, en los modelos CoCo y ACC se aprecia una mayor preocupación por el autocontrol y la confianza mutua como factores esenciales que potencian la identificación de los objetivos personales con los objetivos departamentales e institucionales.

3. Todos los documentos están de acuerdo en que todos los miembros de la organización deben tener los conocimientos y habilidades necesarias para llevar a cabo las funciones encomendadas, aunque el modelo ACC eleva este elemento como propósito del sistema de control interno. Así mismo, en aras de alcanzar un mayor compromiso con las responsabilidades asignadas, las personas deben contar con sistemas que les aporten información fidedigna y relevante para la toma de decisiones. El suministro de información de calidad a las personas adecuadas, con suficiente detalle y oportunidad, permite cumplir con las responsabilidades asignadas de forma eficaz y eficiente. En este sentido, los sistemas de información se deben diseñar e implantar de acuerdo con la estrategia de la organización, de tal forma que permitan valorar la consecución de los objetivos estratégicos y operativos.

Ahora bien, el modelo canadiense toma la literatura organizativa como punto de orientación y centra su atención en aspectos que tienen que ver con la gestión de la empresa, por lo que el diseño del sistema de información preocupa en la medida en que es considerado como instrumento imprescindible para la toma de decisiones. Por su parte, el informe estadounidense al nutrirse de la literatura de auditoría se centra en los elementos de gestión que puedan tener una repercusión en el diseño del sistema de información, prestando especial atención a la de naturaleza financiera.

Como parte íntimamente relacionada con la información, los marcos conceptuales analizados están de acuerdo en que debe favorecerse la comunicación tanto interna como externa. Finalmente, existe un consenso en que las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, riesgos y otros elementos de control.

4. El concepto de supervisión tiene nuevamente un significado más amplio en el modelo CoCo. El informe COSO considera que las circunstancias sobre las que se configura el sistema de control interno de una organización cambian a lo largo del tiempo, reduciendo su capacidad de advertir riesgos originados por nuevas circunstancias. Por tanto, para asegurar que el control interno continúe funcionando adecuadamente es preciso desarrollar un proceso de supervisión, cuyo alcance y frecuencia varía según la magnitud de los riesgos objeto de control y de la importancia de actividades de control. Las deficiencias y oportunidades, potenciales o reales, que se detectan a través de los procedimientos de supervisión deben ser informadas a la persona responsable de la función o actividad implicada. Por su parte, el modelo CoCo pretende proporcionar a la organización de un sentido de evolución, por lo que los criterios sugeridos analizan todo el proceso de evaluación, incluyendo la asunción de los objetivos establecidos y las acciones correctivas que deban llevarse a cabo. Estas actividades de gestión no son consideradas en el modelo estadounidense pues, como hemos venido sosteniendo, este marco conceptual pretende responder a las expectativas que tiene en común directivos, auditores externos e internos, principalmente.

Respecto a la supervisión del sistema de control interno, el modelo CoCo difiere en tres aspectos principales con relación al informe COSO (CICA CoCo Board, 1995, p. 28):

a) Los juicios sobre la eficacia se realizan con relación a un objetivo específico (por ejemplo, el nivel de satisfacción de clientes) y no sobre una categoría de objetivos (eficacia y eficiencia en las operaciones).

b) CoCo realiza la evaluación de la eficacia del control a través de veinte criterios específicos. Entre tanto, COSO desarrolla la evaluación a través de cinco componentes, y establece aspectos a considerar para cada uno de ellos que están directa e indirectamente relacionados con los que se incluyen en el documento del CoCo Board, excepto los siguientes: Receptibilidad de la dirección a las sugerencias de los trabajadores dirigidas a mejorar la productividad, la calidad u otras mejoras similares; alcance que permite al personal, en el desarrollo de sus actividades regulares, obtener evidencia respecto a si el sistema de control interno continúa operativo; alcance por el que terceras partes tienen alguna preocupación por las normas éticas de la entidad; desarrollo de seminarios de formación, sesiones de planificación y otros encuentros que permitan retroalimentación a la dirección sobre la eficacia con la que están operando los controles; y adecuación del nivel de documentación (de una evaluación).

c) CoCo incluye la siguiente definición de control: el control significa qué hace una organización por lograr sus objetivos. Este es eficaz cuando proporciona una seguridad razonable de que la organización logrará sus objetivos. O, en otras palabras, el control es eficaz cuando los riesgos mantenidos en la organización y que pueden hacer fracasar sus objetivos son considerados aceptables.

Como conclusión, tanto los principios como las fases del proceso de evaluación que se sugieren en el modelo canadiense permiten complementar la aproximación del modelo COSO, toda vez que favorecen la implementación de las herramientas de evaluación aportadas por este último marco conceptual (formularios, cuestionarios, hojas de trabajo, manual de referencias, etc.). Consideramos que los marcos conceptuales analizados no son excluyentes entre sí, pues ambos presentan aproximaciones de gestión sobre el control interno, si bien en el informe COSO tal aproximación queda restringida en las expectativas comunes entre directivos y auditores. Esta complementariedad es reconocida en el modelo canadiense al señalar que “la evaluación también puede ser aplicada en organizaciones que utilizan marcos de control con otros propósitos. Las organizaciones que han utilizado otros marcos de control pueden utilizar los criterios de control CICA al objeto de determinar áreas comunes y posibles inconsistencias. Los efectos prácticos de la evaluación por diferencias entre dos marcos dependerán de la interpretación y aplicación de cada marco conceptual” (CICA CoCo Board, 1997; párr. 31).

Cabe destacar que se detecta una proximidad entre los elementos considerados por los modelos ACC y CoCo, al incluir actividades de gestión explícitamente excluidas por el modelo COSO. Se desprende una clara influencia del modelo CoCo en la aproximación australiana, habida cuenta de las actividades de gestión que se incluyen en la estructura del control interno. Sin embargo, en el proceso de revisión del modelo ACC, el CICA CoCo Board realizó algunos comentarios de interés, cuyo contenido exponemos a continuación, con el propósito de observar las diferencias existentes entre estos marcos conceptuales:

a) El término “criterios” tiene un significado diferente en el marco conceptual canadiense. El modelo CoCo propone veinte criterios como base conceptual por la que entender y opinar sobre la eficacia del control de una organización, cuyo diseño o evaluación no puede lograrse aisladamente sino bajo la interrelación existente entre los mismos. Por su parte, ACC presenta criterios para el diseño, evaluación, mantenimiento y opinión sobre el control interno, bajo los planteamientos generales de la auditoría interna;

b) Los criterios del modelo CoCo están basados en un modelo de comportamiento, aplicables a la totalidad de la organización, a una de sus partes (división, grupo, equipo o individuo), a uno de sus procesos (desarrollo de un servicio), o a uno de sus sistemas (sistema de producción, sistemas de financiación). Por el contrario, el ACC ha sido diseñado en tres niveles jerárquicos (político, directivo y operativo), reforzando una aproximación tradicional con implicaciones diferentes. Así, el ACC limita el autocompromiso con el control al nivel más operativo de la organización, situación que pudiera ser utilizada por la dirección como una herramienta manipuladora, mientras el modelo canadiense sugiere que el autocompromiso debe recaer en todos los niveles jerárquicos de la organización;

c) El modelo canadiense diferencia el control (en singular) de los controles (en plural). Control (en singular), “son todos los elementos de la organización que, conjuntamente, apoyan a las personas a lograr los objetivos de la organización”. Por tanto, la evaluación de la eficacia del control requiere un conocimiento y apreciación de las interrelaciones existentes entre los componentes del sistema. Los controles (en plural) son definidos como “reglas establecidas para proporcionar una seguridad de que los procesos operan tal y como fueron diseñados y permiten lograr los requerimientos establecidos en las políticas de la organización”. El modelo australiano utiliza indistintamente los términos “control” y “controles”, lo que evidentemente puede provocar confusión;

d) A pesar de que el ACC señala que dicho modelo ha sido diseñado con el propósito de apoyar a la dirección y auditores internos, lo cierto es que el documento tiene una clara influencia de la auditoría interna; y, por último,

e) El modelo ACC sugiere que el control puede analizarse en tres niveles organizativos, pero no explicita las interrelaciones y mutua interdependencia existente entre los mismos. Con el propósito de que la organización no sea observada como la suma de partes independientes, el Criteria on Control Board sugiere que todo marco conceptual debe incorporar la teoría de sistemas, tanto en los procesos de diseño como evaluación del control interno.

Cuadro 5
Comparación entre los elementos considerados en los modelos COSO, CoCo y ACC
COSOCoCoACC
Evaluación de riesgos:

– Identificación y análisis de los riesgos internos y externos.

– Identificación y análisis de riesgos asociados con el cambio.
Propósito:

– Objetivos incluyendo la misión, visión y estrategias.

– Identificación y análisis de riesgos y oportunidades.

– Políticas.

– Planificación estratégica.

– Objetivos operativos e indicadores.
Establecer y mantener un sistema de control interno eficaz:

– Establecer claramente los propósitos y objetivos.

Diseño de un sistema de control interno eficaz:

Identificación y análisis de los riesgos internos y externos.
Entorno de control:

– Integridad y valores éticos.

– Asignación de autoridad y responsabilidad.

– Políticas y prácticas de recursos humanos.

– Consejo de administración o comité de auditoría.

– La filosofía de dirección y el estilo de gestión.

– Estructura organizativa.
Compromiso:

– Valores éticos e integridad.

– Autoridad, responsabilidad y rendición de cuentas.

– Política de recursos humanos.

– Confianza mutua.
Componentes de un sistema de control interno eficaz:

– Principios de conducta.

Responsabilidad, autoridad, rendición de cuentas y estilo directivo:

– Asignación de autoridad y responsabilidad.

– Rendición de cuentas.

– Estilo de gestión.

Diseño de un sistema de control interno eficaz:

– Autocompromiso con el control.

– Confianza mutua y liderazgo.
Entorno de control:

– Compromiso de competencia profesional.

Información y comunicación:

– Información.

– Comunicación.

– Coordinación.

Actividades de control:

– Actividades de control.
Capacidades:

– Conocimiento, habilidades y herramientas.

– Procesos de comunicación.

– Información.

– Coordinación.

– Actividades de control.
Diseño de un sistema de control interno eficaz:

(1)

Componentes de un sistema de control interno eficaz:

– Información.

Establecer y mantener un sistema de control interno eficaz:

– Actividades de control.
Supervisión:

– Supervisión continuada.

– Evaluación puntual.

– Información de las deficiencias detectadas.
Supervisión y aprendizaje:

– Supervisión del entorno externo e interno.

– Supervisión de la actuación.

– Replantear la asunción de objetivos.

– Reevaluar las necesidades de información y los sistemas de información.

– Procedimientos de seguimiento.

– Evaluación de la eficacia del control.
Establecer y mantener un sistema de control interno eficaz:

– Revisar regularmente si el diseño y eficacia están acordes con las necesidades y expectativas de los grupos de interés y permiten anticiparse a los cambios del entorno.

– Revisar y modificar el liderazgo, así como el estilo de gestión de acuerdo con los resultados alcanzados, la eficacia lograda y la gestión de riesgos.
(1) El modelo ACC incluye el compromiso de competencia como una categoría de los objetivos del control interno.
Fuente: Elaboración propia.

6.2. Incidencia de los principios de la teoría de la gestión de la calidad total

Los marcos conceptuales del control interno (COSO, CoCo, ACC) guardan una relación con los modelos que se han propuesto desde los planteamientos de la gestión de la calidad total, pues todos pretenden lograr una mayor excelencia en el gobierno de las organizaciones mediante un conjunto integrado de principios (enfoque del cliente, mejora continua, gestión de procesos, trabajo en equipo, énfasis en el valor de los empleados, liderazgo, adaptación al entorno y las expectativas de los grupos de interés). Ahora bien, existiendo tres posturas al respecto: COSO sostiene que tales principios no forman parte del sistema de control interno; CoCo reconoce que existen puntos en común; y, finalmente, ACC señala claramente que los principios y prácticas de la calidad pueden insertarse en el establecimiento de un sistema de control interno, al otorgar importancia a las necesidades y expectativas de los diferentes grupos de interés.

A este respecto, Root (1998, p. 153) detalla el grado de interrelación existente entre los modelos COSO y MBNQA, llegando a las siguientes conclusiones (véase cuadro 6): El marco COSO, por definición, excluye la planificación estratégica del control interno, ofrece poco reconocimiento al concepto de satisfacción de los clientes y otorga poca prominencia a los procesos de control que afectan a los resultados; mientras que MNNQA no incluye la evaluación de riesgos entre sus criterios.

Cuadro 6
Comparación entre MBNQA y COSO
MBNQACOSO
 Entorno de controlEvaluación de riesgosActividades de controlInformación y comunicaciónSupervisión
Liderazgo(3)    
Planificación estratégica00000
Centrado en el mercado y en los clientes00(1)00
Información y análisis00(1)(1)(2)
Gestión y desarrollo de los recursos humanos(1)0000
Gestión de los procesos00(2)(2)(1)
Resultados0000(2)
Donde: 0: No considerado; (1): Poco considerado; (2): Considerado; (3): Muy considerado.
Fuente: Root (1998, p. 153).

Resulta evidente que las propuestas de la gestión de la calidad total han tenido un mayor predicamento en el modelo canadiense y prueba de ello es la comparación que realiza el CICA CoCo Board entre los modelos CoCo y MBNQA, en la que dicho organismo integra en su marco conceptual gran parte de los criterios propuestos por el modelo de calidad y cuyas diferencias se concretan en los siguientes aspectos:

— Los riesgos internos y externos significativos a los que deba hacer frente la organización deben estar identificados y evaluados.

— Una atmósfera de confianza mutua debería promoverse para apoyar el flujo de información entre las personas y su actuación eficaz hacia el logro de los objetivos de la organización.

— Las decisiones y acciones en diferentes partes de la organización deberían estar coordinadas.

— La actuación debe ser supervisada mediante la contraposición de los objetivos e indicadores establecidos.

— La asunción de los objetivos debería ser periódicamente revisada.

— Los procedimientos de seguimiento deberían ser establecidos y desarrollados al objeto de asegurar que los cambios o las acciones se implementen.

En nuestra opinión, las diferencias señaladas por el CICA CoCo Board deben ser matizadas, pues a tenor de los principios y fundamentos de la gestión de la calidad total, no encontramos argumentos que permitan señalar que tales actividades de gestión no se encuentran insertas en el modelo MBNQA. Estamos de acuerdo con Root (1998) al indicar que la diferencia esencial se encuentra en aquellas actividades relacionadas con el riesgo, en las que los sistemas de control tradicionalmente han jugado un papel destacado. En nuestra opinión, los marcos conceptuales toman el riesgo como punto neurálgico y prestan una especial relevancia a todos los factores que se relacionan con el mismo.

Finalmente, el modelo ACC admite explícitamente que los principios y prácticas de la calidad pueden insertarse en el establecimiento de un sistema de control interno, lo que supone incluir en el diseño del sistema de control interno todos los conceptos y fundamentos que son aportados desde los modelos de la gestión de la calidad total. Sin embargo, este marco conceptual no señala en qué condiciones debe concretarse la aplicación de los criterios de la calidad total.

Conclusiones

Es preciso tener presente que los intentos dirigidos hacia el desarrollo y establecimiento de una definición consensuada del control interno han comenzado a cristalizarse a lo largo de la década de los noventa, proliferando diferentes marcos conceptuales que tratan de exponer sus visiones particulares. En nuestra opinión, la diversidad de modelos no implica una falta de consenso doctrinal, pues todos mantienen como finalidad básica definir los objetivos y elementos que deben integrarse dentro del sistema de control interno, sino más bien la existencia de expectativas y necesidades no siempre coincidentes, lo que, a nuestro juicio, induce a desigualdades parciales en los modelos analizados. No cabe duda de que una definición consensuada que responda a todos los grupos de interés elimina diferencias de expectativas, pero tal proceso normalizador conlleva una solución de compromiso en la que pueden preponderar los intereses de los participantes con mayor capacidad para imponer su perspectiva.

Así, aunque la búsqueda de una interpretación común entre las partes implicadas ha sido la preocupación fundamental por la que se desarrolló el modelo COSO, en nuestra opinión su informe se dirige principalmente a satisfacer los intereses de los auditores externos, otorgando mayor alcance a los aspectos relacionados con la información financiera y nutriéndose principalmente de la doctrina auditora. El informe CoCo, por su parte, se dirige principalmente a cubrir las responsabilidades de la dirección, asumiendo una aproximación de gestión no comprometida con las demandas de otros grupos de interés. En la formulación de este último modelo se observa la influencia de algunas teorías organizativas, así como los principios sugeridos por la gestión de la calidad total, sin contradecir, por otra parte, los criterios propuestos en el modelo estadounidense. Consecuentemente, el modelo canadiense presenta una mayor amplitud en la definición de los objetivos y elementos del sistema objeto de estudio. Entre tanto, en el modelo ACC se aprecia una influencia directa de las normas tradicionalmente sugeridas para el ejercicio de la auditoría interna, al tiempo que asume gran parte de los criterios del modelo canadiense y de la gestión de la calidad total.

Cabe resaltar que todos los marcos conceptuales analizados están de acuerdo en que no existen normas prescriptivas por las cuales se pueda diseñar un sistema de control interno para todo tipo de organizaciones y que la consideración de todas ellas no proporciona una seguridad en el logro de los objetivos pretendidos. En este sentido, el sistema objeto de estudio es interpretado actualmente como un sistema abierto caracterizado por un conjunto complejo de objetivos y elementos entrelazados, cuyas interconexiones tienden a ser complejas, dinámicas y a menudo desconocidas.

Se concibe como un proceso altamente diferenciado en los ámbitos sectorial y organizativo; es un producto social y aunque se concrete en una organización en un momento determinado, en su configuración participan directa e indirectamente muchos agentes que aportan sus conocimientos, iniciativas y competencias específicas. El sistema de control interno es consustancialmente un fenómeno localizado en el tiempo y en el espacio. Es, además, un proceso abierto, sujeto a continuas actuaciones entre los agentes que lo generan, en lugar de un proceso secuencial de transiciones lineales entre los objetivos y componentes que lo constituyen. Por tanto, se trata de un proceso intrínsecamente incierto, en el que las pautas de su diseño y evaluación son difíciles de establecer.

Por ello, cada marco conceptual mantiene matices propios acerca de cuáles deben ser los objetivos y actuaciones que habrían de tenerse en cuenta para lograr un control interno satisfactorio. No obstante, encontramos que existe un alto grado de similitud y complementariedad entre los modelos de control analizados.

Profundizar en los componentes del sistema de control constituye un reto para los responsables de cualquier institución, sea pública o privada. En nuestro país y como fruto de las actuales normas, se ha avanzado mucho sobre determinados elementos fundamentales (plan de organización que proporcione una adecuada segregación de funciones; sistema adecuado de autorizaciones y de procedimientos; prácticas sólidas a seguir en el desarrollo de las responsabilidades y funciones organizativas; políticas para adecuar la formación y capacidad del personal en correspondencia con las funciones que desempeña; sistemas de control de gestión para la obtención de información presupuestaria, financiera y de gestión que permitan la toma de decisiones de la dirección de la entidad).

Sin embargo, son muchas las actividades que tienen que emprenderse en un futuro para lograr que las organizaciones cuenten con sistemas de control interno más eficaces. Se trata de una labor ambiciosa que corresponde a los responsables de la gestión como agentes del cambio, pues en ellos recaen las labores de diseño y desarrollo de cualquier componente del control interno. También les corresponde a los gestores la evaluación del sistema de control interno, sin perjuicio del notable apoyo que pueden encontrar en los órganos de control —internos o externos, institucionales o privados—.

Bibliografía

Álvarez-Dardet Espejo, J. y Araújo Ñizón, P. Cambio contable y cultura organizativa. En: Revista Europea de Dirección y Economía de la Empresa, vol. 7, Nº 3, 1998, pp. 121-134.

Amat, J.M. Los sistemas de control en las empresas de alta tecnología: El caso de dos empresas del sector químico-farmacéutico. Instituto de Contabilidad y Auditoría de Cuentas, Madrid: 1991.

Amat, J.M. Control de gestión: Una perspectiva de dirección. Barcelona: Ediciones Gestión 2000, primera edición, 1998.

Applegate, D. y Wills, T. Struggling to incoporate the COSO recommendations into your audit process? Here´s one audit shop´s winning strategy. The Institute of Internal Auditors (http://COSO.ORG/Articles/audit_shop.htm), 1999.

Asociación de Letrados y Auditores del Tribunal de Cuentas. “Seminario sobre normalización de los procedimientos fiscalizadores”. En: Seminarios 1994-1995. Tribunal de Cuentas, 1996, pp. 331-547.

Auditing Standards Board [AUS 402]. Risk assessment e internal controls. Auditing Standards Board of the Australian Accounting Research Foundation, Victoria: October, 1995.

Basu, P. y Wright, A. An exploratory study of control environment risk factors: Client contingency considerations y audit test strategy. International Journal of Auditing, 1(2), 1997, pp. 77-96.

Boisclar, M. y Jackson, L. Two sides of the same coin. CICA´s guidance on control y CCAF´s effectiveness reporting framework. The Canadian Institute of Chartered Accountants, 1998.

Cantorna Agra, S. La eficacia de los sistemas de control interno. En: Revista Técnica del Instituto de Auditores-Censores Jurados de Cuentas de España, Nº 12, (1998a), pp. 34-49.

Cantorna Agra, S. Una visión actual del control y la auditoría interna. VIII Encuentro de la Asociación Española de Profesores de Contabilidad (Asepuc), La contabilidad y la auditoría ante los próximos retos. Alicante: mayo (1998b), pp. 361-375.

Chorafas, D.N. Implementing and auditing the internal control system. Palgrave, New York: 2001.

Cohen, J.; Krishnamoorthy, G. y Wright, A. Midyear auditing conference. LA (January), 2000.

Colbert, J. y Bowen, P.A. Comparison of internal controls: COBIT®, SAC, COSO y SAS 55/78. (http://www.isaca.org/bkr_cbt3.htm), 1999.

Committee of Sponsoring Organizations of the Treadway Commission [COSO]. Internal control integrated framework, 1992. En el presente trabajo se ha utilizado la traducción realizada por el Instituto de Auditores Internos de España y Coopers & Lybry. Los nuevos conceptos del control interno (informe COSO). Madrid: Editorial Diez de Santos, 1997.

Criteria Control Board of the Canadian Institute of Chartered Accountants. Guidance on control, 1995; —. Guidance for directors-governance process for control, 1997; —. Learning about risk: Choices, connections y competencies, 1998; —. Guidance on assessing control - The CoCo principles, 1999; —. Guidance for directors-dealing with risk in the boardroom, 2000. Toronto, Ontario.

Davis, H.A. y Militello, F.C. The empowered organization: Redefining roles y practices of finance. Financial Executives Research Foundation, New Jersey: 1994.

Díaz Zurro, A. El control interno. En: Revista Española de Control Externo, Nº 10, enero, 2002, pp. 31-52.

Escobar Pérez, B.; Lobo Gallardo, A. y Roberts, H. Marco integrador para estudiar los sistemas de control. IX Encuentro de la Asociación Española de Profesores Universitarios de Contabilidad (Asepuc), Las Palmas de Gran Canaria: 2000, pp. 627-648.

Fisher, J.G. Contingency-based research on management control systems: Categorization by level of complexity. Journal of Accounting Literature, vol. 14, 1995, pp. 24-53.

Fisher, J.G. Contingency theory, management control systems y firm outcomes: Past results y future directions. Behavioral Research in Accounting, vol. 10, suplemento, 1998, pp. 47-64.

Flamholz, E.G. Accounting, budgeting and control systems in their organizational context: Theoretical y empirical perspectives. Accounting, Organizations . Society, vol. 8, Nº 2-3, 1983, pp. 153-169.

Flamholz, E.G.; Das, T.K. y Annes, T. Toward an integrative framework of organizational control. Accounting, Organizations y Society, vol. 10, Nº 13, 1985, pp. 35-50.

Frigo, M.L.; Krull, G.W. y Yates, S.Y.N. The impact of business process re-engineering on internal auditing. The Institute of Internal Auditors, Florida: 1995.

Haskins, M.E. .Client control environments: An examination of auditors’ perceptions. The Accounting Review, 62 (3), 1987, pp. 542-564.

Hooks, K.L.; Kaplan, S.E. y Schultz, J.J., JR. Enhancing communication to assist in fraud prevention y detection. Auditing: A Journal of Practice y Theory, vol. 13, Fall, 1994, pp. 86-117.

International Audit Practice Committee [ISA 400]. Risk assessment y internal control. New York, NY: IAPC, 1994.

Intervención General de la Administración del Estado (IGAE). Resolución de 1º de septiembre de 1998, de la intervención general de la administración del Estado, por la que se ordena la publicación de la resolución que aprueba las normas de auditoría del sector público. Boletín Oficial del Estado, Nº 234, 30 de noviembre, 1997.

Jackson, P. “CoCo in the Crucible”. The Canadian Institute of Chartered Accountants Maganice, june-july, 1998, pp. 41-46.

Jensen, M.C. “Éxito y fracaso de los sistemas de control interno”. Harvard Deusto Business-Review, 1995.

Langfield-Smith, K. Organizational culture and control, 1995. Incluido en Berry, A.J.; Broadbent, J. y Otley, D. (eds.): Management control, theories, issues and practices. London: MacMillan Press.

Luscombe, M. Guidance on control. The Canadian Institute of Chartered Accountants Maganice, march, 1995, pp. 25-29.

Makosz, P.G. COSO/CoCo. Estructura para el control interno. XI Conferencia internacional sobre acontecimientos en la administración financiera gubernamental, 7-9 de abril, Miami, Florida, USA: 1997.

Mañez Vindel, G. “El modelo de control interno de la actividad económico-financiera del sector público estatal español: Características y fundamento”. Presupuesto y Gasto Público, Nº 18, 1996, pp. 27-36.

Marcella, A.J. Outsourcing, downsizing y re-engineering: internal control implications. The Institute of Internal Auditors, Florida: 1995.

Mautz, R.K. y Winjum, J. Criteria for management control systems. Financial Executives Research Foundation, New York: 1981.

Merchant, K.A. Control in business organizations. Pitman, Boston: 1985.

Monllau Jaques, T.M. Los sistemas de control interno en la empresa: Estudio empírico del caso español. Tesis doctoral (inédita). Universitat Politècnica de Catalunya: 1997.

Monllau Jaques, T.M. El sistema de control interno en España: Estudio empírico del sector de la cerámica. Partida Doble, abril, 1999, pp. 80-91.

Órganos de control externo. Principios y normas de auditoría del sector público, 1992.

Orta Pérez, M. Una propuesta de marco conceptual de la auditoría de cuentas anuales. Instituto de Contabilidad y Auditoría de Cuentas, Madrid: 1996.

Otley, D.T. Contingency theory of management accounting: Achievement and prognosis. Accounting, Organizations and Society, vol. 5, Nº 4, 1980, pp. 413-428.

Otley, D.T. Management control in contemporany organizations: Towards a wider framework. Management Accounting Research, vol. 5, 1994, pp. 289-299.

Otley, D.T. y Berry, A.J. Control, organization and accounting. Accounting, Organizations and Society, vol. 5, 1980, pp. 883-847.

Otley, D.T. y Berry, A.J. Case study research in management accounting and control. Management Accounting Research, vol. 5, Nº 1, 1994, pp. 45-65.

Palomar Olmeda, A. y Losada González, H. El procedimiento administrativo y la gestión presupuestaria y su control. Dykinson, Madrid: 1995.

Pedroche Rojo, L. “El control de la actividad económico financiera del sector público estatal. Consideraciones para el desarrollo de un marco de actuación diferente”. En: Revista de la Intervención General de la Administración del Estado, Nº 7, junio, 2003, pp. 37-51.

Redondo De La Vega, J. El control interno en el sector público. Partida Doble, Nº 111, mayo, 2000, pp. 72-79.

Root, S.J. Beyond COSO: Internal control to enhance corporate governance. John Wiley & Sons, Inc., 1998.

Santacana Gómez, J.M. Principios reguladores de la función interventora: Su aplicación en las administraciones públicas españolas. Presupuesto y Gasto Público, Nº 11, 1993, pp. 161-180.

Sia, S.K. y Neo, B.S. Reengineering effectiveness and the redesign of organizational control: A case study of the inland revenue authority of Singapore. Journal of Management Information Systems, 14 (1), 1997, pp. 69-92.

Simons, R. “Control in an age of empowerment”. Harvard Business Review, march-april, 1995, pp. 80-88.

Sindicatura General de Argentina. Normas generales de control interno, 1998.

The Institute of Internal Auditors – Australia. Australian Control Criteria (ACC): Effective internal control to achieve business objetives an acceptable degree of risk. Sydney South, march, 1998.

(1) Sobre las singularidades del sistema de control interno en el sector público pueden verse las ponencias y comunicaciones presentadas en el Seminario sobre Normalización de los Procedimientos Fiscalizadores e incluidas en el libro colectivo promovido por la Asociación de Letrados y Auditores del Tribunal de Cuentas. Seminarios 1994-1995. Tribunal de Cuentas, 1996, pp. 331-547.

(2) Este enfoque propone que el auditor debe planificar en función de las siguientes consideraciones: a) Analizar el riesgo inherente basado en las condiciones de la economía en general y del ente auditado en particular; b) Determinar la confianza en la estructura del control interno; c) Realizar juicios preliminares sobre la importancia relativa; y d) Concretar los problemas potenciales en las diferentes áreas de las cuentas anuales y las condiciones que puedan requerir una modificación de los procedimientos de auditoría (Orta, 1996).

(3) Durante los años noventa, las normas de auditoría del sector privado se modificaron para adaptarse a los avances aportados por los marcos conceptuales, especialmente COSO y CoCo, no solo en el ámbito nacional (Estados Unidos (SAS 78, 1995); Australia (AUS 402, 1995), Nueva Zelanda (AS-402, 1998), etc.), sino también internacional (ISA 400, 1994). Por lo que respecta al sector público, una influencia más que notoria se puede observar en las Standards for Internal Control in the Federal Government de la General Accounting Office (1999), cuyo esquema conceptual es una adaptación del informe COSO a la realidad pública y a los cometidos específicos de esta oficina gubernamental. Influencia del informe estadounidense también se observa en la Ley General de Control Interno de 2002 (L. 8292) promulgada por el Gobierno de Costa Rica, la cual está enfocada al sector público, estableciendo los criterios mínimos que deben observar los entes u órganos públicos en sus sistemas de control interno. Similar consideración merecen las normas generales de control interno establecidas por la Sindicatura General de Argentina, etc. En el marco internacional, el Comité de Normas de Control Interno de INTOSAI, basándose en una encuesta realizada entre sus miembros en el 2001, ha sugerido la integración de sus normas con las emitidas por COSO y CoCo.

(4) Las cinco organizaciones patrocinadoras de la Treadway Commission son: el American Institute of Certified Public Accountants (AICPA), la American Accounting Association (AAA), el Financial Executives Institute (FEI), el Institute of Internal Auditors (IIA) y el Institute of Management Accountants (IMA).

(5) Dada la gran diversidad de intereses o expectativas que despertaba este tópico, el COSO desarrolló una metodología dirigida a involucrar a todos los sujetos implicados y con el propósito final de lograr un consenso entre las partes. Root (1998) critica seriamente la metodología seguida al señalar que “no está claro si el documento final refleja el consenso de los puntos de vista recabados a través de cuestionarios, entrevistas, grupos de trabajo, respuestas recibidas, o simplemente las preferencias de Coopers & Lybrand”. En su descargo, es justo reconocer que el informe COSO ha divulgado las herramientas de investigación utilizadas (revisión de la literatura, entrevistas, cuestionarios, etc.), mientras que otros informes no hacen alusión a este respecto (por ejemplo, CoCo).

(6) Paradójicamente los marcos conceptuales retoman algunos conceptos que se habían abandonado en décadas anteriores. Por ejemplo, la AICPA en 1949 incluía las tres categorías de objetivos (operacionales, de información y cumplimiento) como propósitos a lograr por todo sistema de control interno. Sin embargo, los documentos emitidos por la AICPA en 1958 y 1972, comienzan a alejarse de este concepto y se instauran los denominados “control interno contable” y “control interno administrativo” (véase Mautz y Winjum, 1981), iniciándose una etapa en la que los profesionales de la contabilidad y de la auditoría centran su atención en el primero en detrimento del segundo. Quizás esta situación se haya reproducido en nuestro país, en el que los componentes que no se vinculan con la información financiera han sido infravalorados o simplemente ignorados.

(7) La Comisión Treadway se había pronunciado sobre la importancia de los factores incluidos en el entorno de control, al señalar que: “Un clima ético vigoroso dentro de la empresa y en todos los niveles de la misma, es esencial para el bienestar de la organización, de todos los componentes y del público en general. Un clima así contribuye en forma significativa a la eficacia de las políticas y los sistemas de control de las empresas y permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control más elaborados”.

(8) COSO ha emitido recientemente un borrador de norma (Exposure Draft) en el que se definen directrices generales para la evaluación y gestión de los riesgos empresariales. Este documento, bajo el título Enterprise Risk Management Framework, espera aprobarse en verano del 2004. Dicho documento puede obtenerse en: http://www.erm.coso.org.

(9) La autoevaluación de control (AEC) es una metodología iniciada en Calgary (Alberta, Canadá) en 1986 y constituye una poderosa herramienta para evaluar la efectividad del control, así como los procesos de negocios dentro de las organizaciones. Permite que la gerencia y/o los equipos de trabajo directamente responsables de la función de un negocio participen en la evaluación del control interno, evalúen sus riesgos, desarrollen planes de acción para abordar debilidades identificadas y, finalmente, analicen la probabilidad de lograr los objetivos de la organización. Cabe señalar que es una metodología relativamente nueva y creciente, cuyo éxito se relaciona directamente con el grado efectivo de compromiso de los participantes, habiéndose mostrado útil tanto para la evaluación de los controles tradicionales como blandos —factores del entorno de control—.

La AEC recibe otras denominaciones en la literatura especializada: autoevaluación de control/riesgo (AECR), administración de la autoevaluación, autoevaluación del control y riesgo, y autoevaluación de negocios.

(10) De acuerdo con la experiencia de Makosz (1997, p. 151), “el contenido inteligente es aproximadamente noventa y cinco por ciento el mismo que COSO. Pero, hicimos un esfuerzo muy grande para usar un lenguaje que uno podría usar con un CEO, con un ministro diputado, con un presidente, o con un conserje, o con algún empleado de los departamentos postales. Nos esforzamos bastante para encontrar un lenguaje que encajara con todos”.