Tema 4

Tema 4
Gestión de Riesgos y Control Interno
Tema 4. SCIIF. Sistema de

control interno de la
información financiera
Índice
Esquema
Ideas clave
4.1. Introducción y objetivos
4.2. Sistema de control interno sobre la información

financiera
4.3. Ejercicios prácticos resueltos
4.4. Conclusiones del tema
4.5. Referencias bibliográficas
A fondo
Consejos de administración de las empresas cotizadas
Diez años del SCIIF en España
Test
Ideas clave
4.1. Introducción y objetivos
Los modelos de gestión de riesgos y control interno son la piedra angular para
establecer un marco de seguridad y confort para la toma de decisiones en el
seno de las organizaciones.
En buena parte de los casos, estos modelos son suficientes, pero, en entornos más
complejos, como en mercados regulados y entornos cotizados, los reguladores del
mercado exigen que se vaya un paso más allá y se establezcan modelos de control
interno que aseguren la fiabilidad de la información financiera que acaba
reportándose al mercado.
A continuación, se detallan los objetivos marcados del presente tema:
▸ Mostrar la importancia de disponer de un modelo de control interno.
▸ Refrescar los conceptos básicos de la metodología COSO.
▸ Mostrar los objetivos de control interno, así como su interpretación por parte de la
Comisión Nacional del Mercado de Valores (CNMV).
▸ Explicar los principios de control interno sobre los que debe definirse el sistema de
control interno de la información financiera (SCIIF).
▸ Explicar los componentes principales del SCIIF, así como sus conceptos clave.
▸ Explicar los conceptos clave en el proceso de identificación y gestión de riesgos.
▸ Conocer las distintas tipologías de controles y modelos de control que existen.
▸ Entender cómo las organizaciones comunican a sus stakeholders la información en
relación con el SCIIF.
El SCIIF es un elemento clave para proporcionar a los distintos stakeholders
Gestión de Riesgos y Control Interno 3

Tema 4. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
Ideas clave
(accionistas, acreedores, reguladores, etc.) la seguridad razonable sobre la gestión
de los riesgos y el control interno de la compañía. En el vídeo La importancia de un
SCIIF en las organizaciones cotizadas se muestran algunos ejemplos de cómo
algunas organizaciones que no disponían de un SCIIF robusto se vieron en ciertas
dificultades y salieron a la luz casos de fraude, malversación o comportamientos de
dudosa ética empresarial
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=b29788b1-5d65-
4520-ad73-ae1a00f94754

Tema 4. Ideas clave
Ideas clave
4.2. Sistema de control interno sobre la

información financiera
Conceptos clave del SCIIF
Para empezar con el tema del SCIIF, primero es importante plantearnos las
siguientes reflexiones:
¿Cómo podemos definir el control interno?
Según se indica en el informe Control interno sobre la información financiera en las
entidades cotizadas publicado por la CNMV en 2010, podemos definir el control
interno como:
«Proceso efectuado por el consejo de administración, la dirección y
demás personal de la organización con el objetivo de proporcionar
seguridad razonable en la consecución de la eficacia y eficiencia de
las operaciones, fiabilidad de la información financiera, cumplimiento
de normas aplicables y salvaguarda de los activos».
¿Cómo podemos definir qué es el SCIIF?
De igual forma, según la CNMV, podemos definir el SCIIF como:
«El conjunto de procesos que el Consejo de Administración, el
Comité de Auditoría, la Dirección y el personal involucrado de la
entidad llevan a cabo para proporcionar seguridad razonable
respecto a la fiabilidad de la información financiera que difunden en el
mercado».

Tema 4. Ideas clave
Ideas clave
¿Qué es considerado información financiera?
De igual forma, la CNMV considera como información financiera:
«El contenido de las cuentas anuales o semestrales, que incluyen el
balance, la cuenta de pérdidas y ganancias, el estado de cambios en
el patrimonio neto, el estado de flujos de efectivo y los desgloses en
notas de la memoria, así como los datos de naturaleza contable
contenidos en los informes de gestión y las declaraciones intermedias
trimestrales».
Por tanto, tendrán también consideración de información financiera las cuentas
anuales individuales de la compañía y las cuentas anuales consolidadas del grupo.
¿Qué se considera información financiera fiable?
La información financiera se considera fiable (fiabilidad financiera) si presenta las
transacciones, hechos y demás eventos que afectan a la entidad que informa y
a su grupo consolidado, de conformidad con la normativa aplicable. En este
sentido, para que sea fiable, debe cumplir con los objetivos de control interno (o
aserciones financieras), que son los siguientes:
▸ Exactitud: las cantidades y otra información relacionada con las transacciones han
sido registrados adecuadamente.
▸ Totalidad: todas las transacciones y eventos que debieran ser registrados han sido
registrados.
▸ Corte de operaciones: las transacciones y eventos han sido registrados en el
período contable adecuado.
▸ Existencia: las transacciones y eventos registrados han ocurrido efectivamente y
atañen a la entidad.

Tema 4. Ideas clave
Ideas clave
▸ Presentación y desglose: la información financiera es adecuadamente presentada
y descrita, y los desgloses son expresados con claridad.
▸ Derechos y obligaciones: la entidad posee el control de sus derechos y los pasivos
representan obligaciones de la entidad.
▸ Valoración: activos, pasivos y patrimonio neto son registrados en los estados
financieros (EE. FF.) por los valores correctos y los ajustes de valoración son
apropiadamente asignados.
Roles que participan en el SCIIF
Tal y como recomiendan los expertos del grupo de trabajo de control interno de la
CNMV, a continuación, se detallan las responsabilidades de las figuras clave en el
SCIIF:
▸ Consejo de administración: debe ser el responsable de asegurarse de la
existencia de un adecuado y eficaz SCIIF. Para ello, deberá dotar a la organización
de los medios y recursos suficientes y adecuados para desarrollar dichas

actividades.
▸ Alta dirección: el área financiera será la responsable de diseñar e implantar el
SCIIF en la organización. Es decir, deberá liderar el proceso de despliegue del

modelo de control interno en toda la organización, incluidas las filiales y demás
empresas participadas.
▸ Comité de auditoría: será el responsable de supervisar el adecuado funcionamiento
del SCIIF. En este sentido, es imprescindible disponer de una función de auditoría

interna para realizar las tareas de evaluación de la eficacia del SCIIF y ayude a
identificar las mejoras del modelo para cubrir las posibles debilidades. Este proceso
de supervisión deberá ser continuo, suficiente y reportable al comité de auditoría.
Adicionalmente, el comité de auditoría deberá supervisar el proceso de elaboración
de la información financiera, así como su integridad. Para ello, deberá asegurarse

Tema 4. Ideas clave
Ideas clave
que la compañía está alineada con los requisitos legales y regulatorios determinados
en la ley y deberá cerciorarse de la correcta aplicación de los criterios contables
establecidos en el plan general contable en vigor en cada momento.
A continuación, se esquematizan las funciones de cada una de las figuras clave en el
SCIIF:
Figura 1. Responsabilidades SCIIF. Fuente: elaboración propia.
Por último, es importante remarcar el rol que jugará el auditor externo en el SCIIF.
▸ En el marco de la auditoría de cuentas anuales, evaluará, para determinar el
alcance de las pruebas, el control interno con la extensión necesaria, e informará al
comité de auditoría sobre las debilidades significativas.
▸ El grupo de trabajo de la CNMV, después de analizar las ventajas e inconvenientes,
ha concluido que:
• Se recomienda que las entidades cotizadas soliciten a su auditor externo un

informe especial sobre la información relativa al SCIIF que deben hacer público.
Dicho informe se realizará de acuerdo con una norma técnica que habrá de

Tema 4. Ideas clave
Ideas clave
elaborar, donde describa el trabajo por realizar y el informe por emitir.
• Si la entidad decidiera no involucrar al auditor externo en la revisión de la

información pública del SCIIF, debería informar sobre sus motivos.
▸ El auditor externo deberá realizar una revisión de la información sobre el sistema
divulgada por la compañía. En este sentido:
• El auditor revisará la información que la compañía facilite a los mercados.
• La información que la compañía facilite deberá estar soportada.
• Los procedimientos del auditor comprenderán comparar esa información con su

conocimiento de la compañía, mantener entrevistas, revisar documentación
que soporte la información divulgada, etc.
▸ Salvo esos procedimientos adicionales, no se tienen porqué producir modificaciones
en el alcance de las pruebas de auditoría externa.
▸ El auditor externo, además de las pruebas de auditoría que defina para evaluar el
SCIIF, deberá centrarse en los procesos críticos. Estos son el proceso de cierre
contable y aquellos procesos que puedan representar juicios y estimaciones (por
ejemplo, análisis de vidas útiles del inmovilizado material, deterioro de valor de
inmovilizado intangible, provisiones legales y provisiones por otras contingencias,
etc.).

Tema 4. Ideas clave
Ideas clave
Componentes del SCIIF
La CNMV ha establecido COSO I como marco de referencia para establecer los

principios y buenas prácticas para la definición e implantación del SCIIF. En este
sentido, se ha utilizado el COSO I, que comprende cinco componentes principales:
entorno de control, evaluación de riesgos, actividades de control, información y
comunicación y supervisión.
Entorno de control interno
El entorno de control interno son todas aquellas directrices que nacen en la
dirección de una organización y trascienden a todos los niveles de esta e
incluye las funciones, actitudes, consciencia y actividades por parte de los órganos
de gobierno y la dirección en relación con el control interno, así como la importancia
de este en la entidad.
El entorno de control incluye factores tales como la integridad, los valores éticos, la
competencia profesional, la filosofía de dirección y el estilo de gestión o la estructura.
En este sentido, constituye el pilar del resto de componentes de control interno, ya
que aporta disciplina y estructura.

Tema 4. Ideas clave
Ideas clave
Evaluación de los riesgos
Es el proceso seguido para identificar y analizar los riesgos que afectan a la
fiabilidad de la información financiera que tendrá que cubrirse mediante controles.
Permite analizar el impacto de los potenciales eventos en la consecución de
objetivos relacionados con la fiabilidad de la información financiera. Es decir, consiste
en identificar y valorar los errores de cálculo o de aplicación en las normas, fallos en
los sistemas informáticos, fraudes, desconocimiento de información clave,
estimaciones o proyecciones erróneas, entre otros.
Actividades de control
Las actividades de control sirven para prevenir, detectar, mitigar, corregir o
compensar los efectos de los riesgos de error en la información financiera.
Las actividades de control o controles pueden tener varios atributos:
▸ Tipología. Los tipos son:
• Controles preventivos: tienen como objetivo prevenir errores o irregularidades

que pudieran afectar a la información financiera.
• Controles detectivos: tienen como objetivo detectar errores o irregularidades

que pudieran afectar a la información financiera.
▸ Controles transaccionales. Los tipos son:
• Controles automáticos: son los realizados íntegramente por una herramienta

o sistema informático sin la involucración de las personas.
• Controles manuales: son los realizados por las personas.
• Controles semiautomáticos: son los realizados por una herramienta o

sistema informático, pero con la involucración de las personas.

Tema 4. Ideas clave
Ideas clave
▸ Controles generales (CGE). Actividades de control que operan sobre toda la
organización y generalmente tienen un impacto presente en controles al nivel de

proceso, transacción o aplicación. Los controles generales de la entidad varían en
precisión y naturaleza y pueden tener un efecto directo o indirecto en la probabilidad
de que un error sea prevenido o detectado a tiempo. Los tipos son:
• Indirectos: no tienen una relación directa con ninguna línea de los EE. FF.,
proceso de negocio o aserción financiera concreta, y por ello mismo no

prevendrían o detectarían a tiempo errores en los EE. FF. Sin embargo,
contribuyen a la efectividad de los controles.
• Directos: operan típicamente a nivel de proceso, pero a un nivel superior que

los controles transaccionales y, cuando operan efectivamente y al nivel de
precisión adecuado, pueden prevenir o detectar errores a tiempo.

Tema 4. Ideas clave
Ideas clave
▸ Controles informáticos. Los tipos son:
• Controles de las aplicaciones: los procedimientos programados en el

software de las aplicaciones y los procedimientos manuales correspondientes,
diseñados para asegurar la totalidad y la exactitud de la información
procesada. Por ejemplo, verificaciones programadas de la información
introducida en el ordenador, verificaciones de secuencias numéricas y
procedimientos manuales para realizar el seguimiento de los informes de

excepciones.
• Controles generales informáticos (CGI): políticas y procedimientos que

contribuyen a asegurar el funcionamiento correcto y continuado de los sistemas
informáticos. Incluyen controles sobre las operaciones de los centros de
procesos de datos, la adquisición y el mantenimiento de sistemas, los controles
de acceso y el desarrollo y mantenimiento de las aplicaciones. Los controles
generales apoyan el funcionamiento de los controles programados de las

operaciones. Un ejemplo de CGI son los inventarios de aplicaciones o el mapa
de sistemas informáticos.

Tema 4. Ideas clave
Ideas clave
Como resumen, a continuación, se muestra la relación entre los componentes SCIIF
y los tipos de controles:
Figura 2. Relación entre los componentes SCIIF y los tipos de controles. Fuente: elaboración propia.
¿Cómo documentar las actividades de control?
Las compañías disponen de varias formas para poder documentar las actividades
que tienen implementadas: narrativas, flujogramas o matrices de riesgos y controles
(o matriz RCM, en inglés, risk control matrix).
Las opciones narrativas se tratan de una descripción pormenorizada del control a
través de la explicación del proceso de control llevado a cabo. Su estructura
recomendada debe disponer, como mínimo, de la siguiente información:
▸ Estructura y contenido mínimo de una narrativa.
▸ Objetivo y alcance.
• Localizaciones cubiertas.

Tema 4. Ideas clave
Ideas clave
• Cuentas contables cubiertas.
▸ Principales riesgos del proceso.
▸ Identificación de controles clave.
▸ Descripción de los departamentos involucrados, así como responsable del control.
▸ Matriz de segregación de funciones.
▸ Sistemas informáticos que soportan el proceso.
▸ Historial de modificaciones.
Los flujogramas son representaciones gráficas de un proceso de control. Un buen
flujograma debe:
▸ Ser claro, simple, conciso.
▸ Mostrar el orden cronológico de los eventos.
▸ Identificar claramente los controles.
▸ Indicar quién realiza los controles (determinante para la segregación de funciones).
▸ Hacer referencias cruzadas con la narrativa para obtener aclaraciones.
▸ Usar correctamente los símbolos estándar.
En este sentido, los beneficios del uso de flujogramas son:
▸ Mejor compresión de los procesos de negocio.
▸ Mostrar de una forma más clara en qué punto del proceso se encuadran los
controles.
▸ Dar soporte para la realización de seguimiento de procesos.

Tema 4. Ideas clave
Ideas clave
Las matrices de riesgos y controles son tablas en las que en las filas quedan
representadas las actividades de control y en columnas se incluyen los atributos de
estas actividades.
A continuación, se indican los campos más comunes por incluir:
▸ Nombre del control.
▸ Descripción del control.
▸ Identificador del control (ID).
▸ Responsable ejecutor.
▸ Responsable supervisor.
▸ Frecuencia de ejecución.
▸ Proceso asociado.
▸ Nombre del riesgo.
▸ Tipo de control (preventivo/detectivo).
▸ Transaccionalidad (control manual/automático/semiautomático).
▸ Evidencia del control.
▸ Control clave (si/no).
¿Cómo saber si un control ha sido diseñado correctamente?
Cuando se evalúa el diseño de los controles para asegurar que su definición es
adecuada, se recomienda evaluarlo utilizando alguna métrica o escala de valoración
como la siguiente:

Tema 4. Ideas clave
Ideas clave
Tabla 1. Escala de valoración para el diseño de controles. Fuente: elaboración propia.
Se recomienda realizar una reevaluación de las valoraciones anualmente.
Información y comunicación
Los sistemas de información identifican, recogen, procesan y distribuyen la
información sobre transacciones y eventos. Los sistemas de comunicación sirven
para distribuir a la organización los criterios, pautas, instrucciones y, en general, la
información con que los miembros de la organización deben contar para conocer sus
funciones y la manera y tiempo en que deben ser desempeñadas.
La información por reportar al mercado debe mostrar si la entidad dispone de
procedimientos y mecanismos para transmitir al personal involucrado en el
proceso de elaboración de la información financiera los criterios de actuación
aplicables, así como los sistemas de información empleados en tales procesos. De
este modo, el objetivo es informar:
▸ Si la entidad cuenta con un área encargada de establecer y, en su caso, mantener
actualizadas las diferentes políticas, opciones, criterios y normas específicas de la

entidad.

Tema 4. Ideas clave
Ideas clave
▸ De la amplitud, grado de desarrollo, homogeneidad y automatización de los
sistemas de información y herramientas empleadas para generar la información

financiera publicada.
Supervisión
En primer lugar, es importante distinguir entre los conceptos de monitorización y
supervisión:
▸ Monitorización del SCIIF: es el proceso que evalúa la calidad del funcionamiento
del control interno en el tiempo y permite al sistema reaccionar en forma dinámica,
cambiando cuando las circunstancias así lo requieran. Debe orientarse a la

identificación de controles débiles, insuficientes o necesarios para promover su
reforzamiento.
El monitoreo se lleva a cabo de tres formas: durante la realización de las
actividades diarias en los distintos niveles de la entidad; de manera separada, por
personal que no es el responsable directo de la ejecución de las actividades
(incluidas las de control); o mediante la combinación de ambas modalidades.
▸ Supervisión del SCIIF: conjunto de actividades para comprobar que las políticas y
procedimientos de control interno implantados para asegurar la fiabilidad de la

información financiera han sido debidamente diseñados y su operatividad es
efectiva, de modo que puedan proporcionar una seguridad razonable de que el
sistema es eficaz para prevenir, detectar y corregir cualquier error material o fraude
en la información financiera.

Tema 4. Ideas clave
Ideas clave
¿Cuáles son los principales procesos de supervisión?
En este sentido, la supervisión del SCIIF será responsabilidad del comité de
auditoría y de la función de auditoría interna de la organización. Los procesos de
supervisión más relevantes son, por orden, los siguientes:
▸ Documentación:
La adecuada documentación del SCIIF es parte integral del sistema de control:
comprende los procesos y actividades de control, informar al personal involucrado
de sus responsabilidades y facilitar la supervisión y evaluación de su diseño. Una
evaluación adecuada del diseño y funcionamiento del SCIIF requerirá documentación
previa elaborada por la dirección donde se identifiquen:
▸
• Objetivos de fiabilidad de la información financiera.
• Riesgos.
• Controles asociados.
Además, documentación que evidencie su ejecución, centrada en los riesgos que
puedan implicar errores materiales o fraudes en la información financiera.
▸ Evaluación del diseño:
La evaluación del diseño supone realizar un entendimiento de los riesgos que
afectan al SCIIF y los procedimientos de control que los mitigan:
▸
• Controles transaccionales o de procesos.
• Controles generales de la entidad.
Además, comprobar que los mecanismos habilitados por la dirección mitigan
eficazmente los riesgos de errores, con impacto material en la información financiera,

Tema 4. Ideas clave
Ideas clave
y determinar si el diseño del control es adecuado: juzgar si los controles existentes,
funcionando de manera adecuada, pueden prevenir o detectar a tiempo un error que
resultaría material para la información financiera.
▸ Evaluación del funcionamiento eficaz del SCIIF:
Para la evaluación del funcionamiento del SCIIF se deberá revisar el nivel de las
evidencias aportadas en los controles por revisar. El nivel de evidencia dependerá
del riesgo inherente (tipo, frecuencia, complejidad, riesgo de evasión de controles

actuales, competencia del personal, etc.) y del riesgo de incurrir en un error
material en información financiera:
▸
• Se basa en juicios o estimaciones o se valora aplicando modelos internos.
• Es susceptible de riesgo de fraude.
• Está afectado por normativa contable compleja.
• Experimenta cambios en la naturaleza o el volumen de las operaciones que lo

constituyen.
El responsable de evaluar el eficaz funcionamiento del SCIIF deberá obtener las
evidencias. Para ello dispone de varios métodos, como, por ejemplo, pruebas de
validación, inspección, observación, etc.
Adicionalmente, debe considerar el factor de la localización. Es decir, supervisión
completa del SCIIF implica tener en cuenta todas las localizaciones significativas.
En este sentido, dado que pueden existir múltiples localizaciones que generen
evidencias, se deberán adaptar las estrategias para la obtención de las

evidencias. Podemos tener dos casos:
▸
• Las actividades de control centralizadas serán evaluadas de forma global.

Tema 4. Ideas clave
Ideas clave
• Las actividades de control específicas serán evaluadas individualmente.
Por último, es importante remarcar que la función de auditoría interna deberá realizar
un ejercicio de definición del alcance de esta evaluación. Se ha elaborado una
matriz de riesgos que identifica EE. FF. consolidados y ciclos operativos:
▸
• Alcance de procesos: ciclos operativos con impacto en los EE. FF.
• Alcance de localizaciones: agrupación por actividad y zona geográfica.
Posteriormente, se deberá realizar una evaluación de los riesgos en base a:
▸
• Criterios cuantitativos: materialidad de auditoría.
• Criterios cualitativos: factores que ayudan a objetivar al máximo la valoración

cualitativa. Algunos ejemplos son: tamaño, composición, automatización de los
procesos, integración de los sistemas, estandarización de operaciones,
susceptibilidad al fraude o error, complejidad contable, grado de estimación,
juicios, valoraciones, riesgo de pérdidas o pasivos contingentes, cambios

respecto al ejercicio anterior, ajustes de auditoría, debilidades de control o
decisión de criticidad basada en la experiencia.
▸ Evaluación de las debilidades de control. La función de auditoria deberá comunicar
las debilidades a los responsables para su corrección. La evaluación del impacto

incluye consideraciones cualitativas y cuantitativas.
▸ Periodicidad de la supervisión y evaluación:
▸
• El proceso de supervisión ha de ser continuo.
• El alcance y la periodicidad estarán sujetos al juicio del comité de auditoría y

control.

Tema 4. Ideas clave
Ideas clave
• Puede hacerse una evaluación completa del SCIIF en cada ejercicio o a lo

largo de varios ejercicios (rotación en un período de dos a tres años).
▸ Funciones de apoyo:
Normalmente, el comité de auditoría encargará la ejecución de la evaluación a las
funciones de apoyo siguientes:
▸
• Auditores internos.
• Auditores externos (salvo que se produzcan incompatibilidades legales o de

independencia).
• Otros expertos.
¿Qué consideraciones importantes debo tener en cuenta en la fase de
supervisión?
▸ Importancia de la documentación (evidencia, trazabilidad).
▸ Periodicidad de las actividades de supervisión.
▸ Impredecibilidad, visitas sorpresivas.
▸ Fallos de diseño vs. fallos de efectividad.
▸ Controles compensatorios.
▸ Cuantificación de la exposición bruta y el impacto potencial en los estados
financieros.
▸ Planes de acción.
¿Y si falla el control clave? ¿Hay controles compensatorios?
Constituyen el «plan B» de los controles clave. Cubren el objetivo de otro control que

Tema 4. Ideas clave
Ideas clave
no funcionó apropiadamente y ayudan a reducir el riesgo a un nivel aceptable.

Tema 4. Ideas clave
Ideas clave
Principios y buenas prácticas de actuación
La CNMV ha considerado definir cuáles deben ser los principios y buenas prácticas
de actuación que se deberán seguir por las compañías para conseguir los siguientes
objetivos, mapeados a cada uno de los componentes del SCIIF. A continuación, se
detalla un cuadro resumen de los objetivos que ha marcado la CNMV para cada uno
de los componentes del SCIIF:
Tabla 2. Objetivos de los componentes del SCIIF. Fuente: elaboración propia.

Tema 4. Ideas clave
Ideas clave
A continuación, se numeran los principios que propone la CNMV para lograr alcanzar
los objetivos marcados en cada componente del SCIIF.
Principios asociados al entorno de control
▸ La organización debe disponer de un código de conducta que aborde
específicamente la fiabilidad de la información financiera y al cumplimiento de la

normativa aplicable.
▸ Establecer un sistema de vigilancia para asegurar que se cumplan los principios
éticos. Adicionalmente, en caso de identificarse incumplimientos de dichos

principios, deben corregirse de inmediato.
▸ El consejo de administración debe dotar de las herramientas a la organización y
facilitar o favorecer la discusión de cualquier asunto de relevancia de esta y que esté
relacionado con la información financiera generada.
▸ El presidente y todos los miembros del comité de auditoría deben demostrar sus
conocimientos y experiencia en materia de contabilidad, auditoría o gestión de

riesgos.
▸ Se deben definir las líneas de responsabilidad en el proceso de preparación de la
información.
▸ El modelo de control debe ser homogéneo para toda la organización y se debe
disponer de herramientas de información que aseguren la integridad de la

información financiera.
▸ La empresa debe disponer de los recursos materiales y humanos suficientes y
capacitados. En este sentido, el personal debe disponer de conocimientos
suficientes y actualizados sobre normas contables, auditoría, control interno y gestión

de riesgos.
▸ Se debe disponer de sistemas de evaluación del desempeño y de remuneración

Tema 4. Ideas clave
Ideas clave
que favorezcan la fiabilidad de la información financiera.
▸ La organización debe tratar de emplear y retener al personal que elabora la
información financiera y debe evaluar sus aptitudes y actitudes necesarias.
▸ Se debe disponer de un canal de denuncias anónimo y de acceso a todos los
empleados.
Principios asociados a la evaluación de los riesgos
▸ Identificar los objetivos de la información financiera con criterio y precisión
suficiente: existencia y ocurrencia, integridad, valoración, desglose y

comparabilidad, derechos y obligaciones.
▸ Identificar los riesgos que pueden afectar al logro de los objetivos de la información
financiera considerando aspectos como la materialidad, la complejidad de las

transacciones y cálculos, estimaciones y juicios y la importancia cualitativa de la
información.
▸ El riesgo de fraude se considera en el proceso de identificación de los riesgos que
puedan afectar a la fiabilidad de la información financiera.
▸ El proceso se integra en el mapa de riesgos general de la entidad y tiene en cuenta
los efectos de otras tipologías de riesgos (operativos, tecnológicos, financieros,

legales, reputacionales, medioambientales).
Principios asociados a las actividades de control
▸ Los controles implantados deben responden a los riesgos relacionados con los
objetivos de la información financiera y de forma preventiva.
▸ Al diseñar los controles, debe tenerse en cuenta su coste-beneficio para cubrir los
riesgos relacionados con todas las etapas del proceso de preparación de la


Tema 4. Ideas clave
Ideas clave
▸ Debe existir un balance adecuado de controles preventivos y detectivos, así
como un balance entre controles manuales y automáticos.
▸ Se deberán implementar controles sobre los sistemas de información y
comunicación con impacto en la información financiera y los cierres contables, de

forma que se garantice la seguridad de acceso a datos y programas, el control sobre
los cambios, la correcta operación de estos, su continuidad y la adecuada

segregación de funciones.
▸ Las actividades de control también afectarán a aquellas tareas realizadas por
terceros por cuenta de la entidad cuando estas tienen impacto en la información

financiera.
▸ En la preparación de la información financiera se considera el impacto de las
políticas generales de gestión de riesgos. Dicha política se detallará en el

apartado del informe anual de gobierno corporativo (en adelante, IAGC) relativo a los
sistemas de control de riesgos.
▸ La información que se presenta a la aprobación del consejo ha sido previamente
revisada por los máximos responsables de su preparación (dirección general y

dirección financiera).
Principios asociados a la información y comunicación
▸ La información debe fluir en tiempo y en los formatos adecuados para favorecer
que la información financiera sea fiable.
▸ Los datos que respaldan la información financiera se deberán recoger de forma
completa, precisa y oportuna para todos los eventos que afecten a la organización.
▸ Los miembros de la organización cuentan con información en tiempo y forma para
cumplir sus funciones en relación con la información financiera.
▸ Existe flujo de información fluido entre el consejo y la alta dirección, de modo

Tema 4. Ideas clave
Ideas clave
que ambos cuenten con la información suficiente para cumplir sus responsabilidades
y funciones.
▸ Se deben establecer los canales adecuados para difundir entre la organización las
políticas, procesos y controles (manuales y descripciones) relacionados con la


Tema 4. Ideas clave
Ideas clave
Principios asociados a la supervisión
▸ El comité de auditoría se debe responsabilizar de supervisar:
▸
• La elaboración de la información financiera y el SCIIF. Para este último debe
supervisar su evaluación continua.
• La adecuación de las políticas y procedimientos de control implantados.
• El proceso de elaboración y la integridad de la información financiera, revisando
el correcto diseño del SCIIF.
• La adecuada delimitación del perímetro de consolidación.
• La correcta aplicación de los principios contables.
▸ Para acometer la supervisión del SCIIF, el comité cuenta con una función de
auditoría interna y vela por su independencia y eficacia.
▸ La supervisión del SCIIF se realiza a través de un entendimiento general de los
riesgos, de los controles, de las eventuales deficiencias y de las acciones

correctoras.
▸ La información pública sobre el SCIIF cuenta con soporte suficiente que permita
supervisar que es reflejo de las prácticas de la entidad.
▸ El auditor externo se involucra en la revisión de la información sobre el SCIIF a
través de una revisión especial (voluntario).

Tema 4. Ideas clave
Ideas clave
4.3. Ejercicios prácticos resueltos
Este ejercicio práctico resuelto planteado es en relación con el análisis de la
información pública sobre el sistema de control de la información financiera (SCIIF).
El objetivo de este trabajo es que podamos identificar la información suministrada por
parte de las entidades cotizadas en su IAGC en relación con el SCIIF. Para ello:
▸ Hemos seleccionado una sociedad cotizada en el IBEX 35 o mercado continuo para
su análisis.
▸ Hemos realizado un análisis y revisión de la información pública sobre el proceso
implantado por la entidad. Es recomendable seguir la Guía de actuación de los

auditores publicada por la CNMV (2013).
En este sentido, a continuación, se expone la información que podremos encontrar
en el IAGC:

Tema 4. Ideas clave
Ideas clave
Tabla 3. Información IAGC. Fuente: elaboración propia.

Tema 4. Ideas clave
Ideas clave

Tema 4. Ideas clave
Ideas clave
Tabla 4. Información IAGC (continuación). Fuente: elaboración propia.

Tema 4. Ideas clave
Ideas clave
4.4. Conclusiones del tema
Como resumen del tema, en relación con el SCIIF podemos concluir que:
▸ Las empresas cotizadas tienen la obligación de disponer de un SCIIF, lo cual es
una buena práctica de mercado para el resto de las compañías.
▸ Es importante cumplir y seguir los principios de control interno sobre los que
debe definirse el SCIIF.
▸ Para la definición del modelo de control se deben considerar todos los
componentes principales del SCIIF.
▸ Disponer de un SCIIF debidamente implementado puede suponer una ventaja
competitiva para el proceso de toma de decisiones de las empresas.
▸ Cada vez más los stakeholders y los reguladores exigen mayores niveles de
control de las operaciones para asegurar que la información financiera que se
ofrece al mercado tiene mayor garantía de fiabilidad.

Tema 4. Ideas clave
Ideas clave
4.5. Referencias bibliográficas
CNMV. (2010). Control interno sobre la información financiera en las entidades
cotizadas.
https://www.cnmv.es/DocPortal/Publicaciones/Grupo/Control_interno_sciifc.pdf
CNMV. (2013). Guía de Actuación y modelo de Informe del auditor referidos a la
información relativa al Sistema de Control Interno sobre la Información Financiera de
las entidades cotizadas.

https://www.cnmv.es/DocPortal/GUIAS_Perfil/CIcotizadas.pdf
CNMV (2020). IAGC Grifols.

https://www.grifols.com/documents/51507592/1023162936/iagc-2020-
es.pdf/97d42f0e-a6c5-471b-be2b-aa42a3dd6d85

Tema 4. Ideas clave
A fondo
Consejos de administración de las empresas

cotizadas
PwC. (2019). Consejos de Administración de las empresas cotizadas.

https://www.pwc.es/es/financiero/consejo-administracion-empresas-cotizadas-2019-
2020.pdf
En el documento se revisitan las principales tendencias a nivel de gobierno
corporativo en relación con las compañías cotizadas españolas. En este sentido, tal y
como se indica en el documento:
«El gobierno corporativo de las empresas españolas no ha dejado de
evolucionar en los últimos cinco años. Ahora, la crisis provocada por
la COVID-19 recuerda la importancia del buen gobierno corporativo,
así como la importancia de la gestión de riesgos y de los enfoques
que tienen en cuenta la sostenibilidad de las compañías».

Tema 4. A fondo
A fondo
Diez años del SCIIF en España
Douglas, A. y Álvarez, D. (2020). 10 años del SCIFF en España y 10 buenas
prácticas que hemos aprendido. Control Solutions 360.
https://controlsolutions360.com/wp-content/uploads/2020/06/Art%C3%ADculo-
SCIFF-IAI.pdf
En el documento se hace un repaso de la evolución que ha tenido el SCIIF en los
últimos diez años. Adicionalmente, se indican diez buenas prácticas en materia de
control interno.

Tema 4. A fondo
Test
1. Indique qué tipo de empresas deben definir un sistema de control interno de la
información financiera (SCIIF) según la CNMV:
A. Empresas familiares.
B. Empresas públicas.
C. Empresas relevantes.
D. Empresas cotizadas.
2. Según la CNMV, las cuentas anuales de una compañía pueden considerarse
como:
A. Información clave para la toma de decisiones.
B. Información confidencial.
C. Información financiera.
D. Ninguna de las anteriores.
3. Indique cuál de los objetivos de control interno (o aserciones financieras) se
corresponde con la afirmación «activos, pasivos y patrimonio neto son registrados en
los estados financieros por los valores correctos y los ajustes de valoración son
apropiadamente asignados»:
A. Existencia.
B. Exactitud.
C. Valoración.
D. Derechos y obligaciones.

Tema 4. Test
Test
4. Indique qué órgano o función es el responsable de asegurarse de la existencia de
un adecuado y eficaz SCIIF:
A. Alta dirección.
B. Consejo de administración.
C. Comité de auditoría.
D. Función de auditoría interna.
5. Indique cuál de las siguientes opciones no es un componente de SCIIF según la
CNMV:
A. Entorno de control.
B. Información y comunicación.
C. Supervisión.
D. Auditoría interna.
6. Los controles detectivos:
A. Tienen como objetivo identificar errores o irregularidades que pudieran
afectar a la información financiera.
B. Son los realizados íntegramente por una herramienta o sistema informático
sin la involucración de las personas.
C. Tienen como objetivo prevenir errores o irregularidades que pudieran
afectar a la información financiera.
D. Son los realizados por una herramienta o sistema informático, pero con la
involucración de las personas.

Tema 4. Test
Test
7. Indicar de qué forma pueden documentarse las actividades de control:
A. Matriz de riesgos y controles.
B. Narrativa de control.
C. Flujograma.
D. Todas las anteriores.
8. Indicar cuál de los siguientes procesos no es un proceso de supervisión:
A. Documentación del SCIIF.
B. Evaluación del diseño del SCIIF.
C. Evaluación del funcionamiento eficaz del SCIIF.
D. Identificación de riesgos.
9. Según la CNMV, el objetivo del componente de evaluación de riesgos es:
A. Potenciar una cultura de control interno dentro de la compañía
acompañándola de la normativa interna que corresponda.
B. Conseguir la bondad de los sistemas de información y comunicación,
interna y externa, para conseguir la fiabilidad en la información financiera.
C. La entidad debe disponer de un sistema, aprobado y supervisado por los
niveles jerárquicos adecuados, que analice los riesgos y sea la base del resto
de componentes del SCIIF.
D. Ninguna de las anteriores.

Tema 4. Test
Test
10. El principio o buena práctica propuesto por la CNMV que indica que debe existir
un balance adecuado de controles preventivos y detectivos, así como un balance
entre controles manuales y automáticos, hace referencia al componente:
A. Entorno de control.
B. Evaluación de los riesgos.
C. Actividades de control.
D. Información y comunicación.

Tema 4. Test

Tema 4

Cargado por

Copyright:

Formatos disponibles

Tema 4

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 4

Cargado por

Copyright:

Formatos disponibles

Tema 4

Gestión de Riesgos y Control Interno

Tema 4. SCIIF. Sistema de

4.1. Introducción y objetivos

4.2. Sistema de control interno sobre la información

4.3. Ejercicios prácticos resueltos

4.4. Conclusiones del tema

4.5. Referencias bibliográficas

Consejos de administración de las empresas cotizadas

Diez años del SCIIF en España

4.1. Introducción y objetivos

establecer un marco de seguridad y confort para la toma de decisiones en el

seno de las organizaciones.

complejos, como en mercados regulados y entornos cotizados, los reguladores del

interno que aseguren la ﬁabilidad de la información ﬁnanciera que acaba

A continuación, se detallan los objetivos marcados del presente tema:

▸ Mostrar la importancia de disponer de un modelo de control interno.

▸ Refrescar los conceptos básicos de la metodología COSO.

Comisión Nacional del Mercado de Valores (CNMV).

control interno de la información financiera (SCIIF).

▸ Explicar los conceptos clave en el proceso de identificación y gestión de riesgos.

▸ Conocer las distintas tipologías de controles y modelos de control que existen.

▸ Entender cómo las organizaciones comunican a sus stakeholders la información en

relación con el SCIIF.

El SCIIF es un elemento clave para proporcionar a los distintos stakeholders

Gestión de Riesgos y Control Interno 3

(accionistas, acreedores, reguladores, etc.) la seguridad razonable sobre la gestión

de los riesgos y el control interno de la compañía. En el vídeo La importancia de un

SCIIF en las organizaciones cotizadas se muestran algunos ejemplos de cómo

algunas organizaciones que no disponían de un SCIIF robusto se vieron en ciertas

diﬁcultades y salieron a la luz casos de fraude, malversación o comportamientos de

dudosa ética empresarial

Gestión de Riesgos y Control Interno 4

4.2. Sistema de control interno sobre la

Conceptos clave del SCIIF

¿Cómo podemos definir el control interno?

Según se indica en el informe Control interno sobre la información ﬁnanciera en las

entidades cotizadas publicado por la CNMV en 2010, podemos deﬁnir el control

«Proceso efectuado por el consejo de administración, la dirección y

demás personal de la organización con el objetivo de proporcionar

seguridad razonable en la consecución de la eﬁcacia y eﬁciencia de

las operaciones, ﬁabilidad de la información ﬁnanciera, cumplimiento

de normas aplicables y salvaguarda de los activos».

¿Cómo podemos definir qué es el SCIIF?

De igual forma, según la CNMV, podemos definir el SCIIF como:

«El conjunto de procesos que el Consejo de Administración, el

Comité de Auditoría, la Dirección y el personal involucrado de la

entidad llevan a cabo para proporcionar seguridad razonable

respecto a la ﬁabilidad de la información ﬁnanciera que difunden en el

Gestión de Riesgos y Control Interno 5

¿Qué es considerado información financiera?

De igual forma, la CNMV considera como información financiera:

«El contenido de las cuentas anuales o semestrales, que incluyen el

balance, la cuenta de pérdidas y ganancias, el estado de cambios en

el patrimonio neto, el estado de ﬂujos de efectivo y los desgloses en

notas de la memoria, así como los datos de naturaleza contable

contenidos en los informes de gestión y las declaraciones intermedias

Por tanto, tendrán también consideración de información ﬁnanciera las cuentas

anuales individuales de la compañía y las cuentas anuales consolidadas del grupo.

¿Qué se considera información financiera fiable?