para el año 2017 la necesidad de poner a disposición
de los auditores un
documento descriptivo de todos los
riesgos que afectan a la entidad así como su opinión res-
pecto a cómo ha funcionado el sistema de control interno
establecido para evitar errores o fraudes y para mitigar
los riesgos existentes. De esta forma, y precisamente para
que el cuentadante y el responsable financiero de la enti-
dad puedan llegar a contestar las anteriores preguntas con
la suficiente concreción (especialmente la relativa a cómo
ha funcionado el sistema, aspecto que supone per ser un
juicio de valor) parece imprescindible tener un modelo de
control documentado e implantado de manera eficaz y,
preferiblemente, verificado por auditores externos, como
puede ser el SCIIF.
Una vez aclarado que el SCIIF no deja de ser sino una
evolución de los diversos mecanismos de control interno
que las compañías establecieron a partir de la aparición
de la Ley Sarbanes-Oxley en el año 2002 (Ley SOX), em-
pecemos definiéndolo como el conjunto de procesos que,
formando parte de su modelo de control interno, la enti-
dad (Consejo de Administración, Comisión de Auditoría,
en su caso, y Alta Dirección) y, en general, todo el perso-
nal involucrado de la entidad, llevan a cabo para propor-
cionar una seguridad razonable respecto a la fiabilidad de
la información financiera.
Este sistema de control interno se configura de acuer-
do con los estándares internacionales establecidos por el
“Committee of Sponsoring Organizations of the Treadway
Commission” (COSO) -actualmente en su tercera revisión-,
y que se articulan alrededor de los 5 componentes ya cono-
cidos: entorno de control; evaluación del riesgo; actividades
de control; información y comunicación y supervisión.
Aplicación del sistema de control interno de la información financiera en organismos públicos
57
Auditoría Pública nº 71
(2018), pp. 55 - 63
En el caso del control interno sobre los sistemas IT de
tecnología informática (aspecto básico hoy en día en la
gestión financiera de cualquier compañía) tan solo citar la
existencia de COBIT para definir las responsabilidades de
control sobre los sistemas informáticos, y SAC que ofrece
asistencia a los auditores internos sobre el control y audi-
toría de los sistemas y tecnología informática.
Volviendo a los sistemas de control a nivel global ba-
sados en COSO, para poder opinar sobre la eficacia del
SCIIF y vigilar que estos componentes están debidamen-
te coordinados y que operan de forma conjunta existen
una serie de indicadores que se analizan para emitir un
diagnóstico al respecto. Dichos indicadores que habrá
que adaptar y completar a la naturaleza y regulación de la
entidad correspondiente (es básica la correcta documen-
tación de todo el modelo y de todos los controles que se
realicen) se resumen de manera genérica en la siguien-
te tabla que, adecuadamente cumplimentada, será en su
caso objeto de inclusión en el Informe de Gobierno Cor-
porativo de la entidad (IAGC), obligatorio para las socie-
dades mercantiles estatales y las entidades públicas em-
presariales desde el ejercicio 2012 como consecuencia de
lo dispuesto en la Ley de Economía Sostenible.
