En el ámbito del control interno en entidades financieras reguladas, el papel del Consejo de Administración está condicionado por un marco regulatorio y supervisor que exige una implicación efectiva en la gestión del riesgo y en la calidad del gobierno

En este contexto, resulta especialmente útil el reciente documento de COSO (Committee of Sponsoring Organizations of the Treadway Commission), uno de los marcos internacionales de referencia en control interno y gestión de riesgos, sobre Guiding Principles for Board Oversight.

El documento sitúa al Consejo como elemento central en la integración de estrategia, riesgo y control dentro del sistema de gobierno.

A partir de este marco, el análisis relevante no es conceptual, sino operativo: cómo ejerce el Consejo esa supervisión en la práctica.

El Consejo y su rol en la supervisión del riesgo

COSO define el gobierno corporativo como el conjunto de estructuras y procesos mediante los cuales un Consejo informado dirige la estrategia y supervisa su ejecución dentro de un entorno de control adecuado .

Este planteamiento exige al Consejo:

• Comprensión efectiva del perfil de riesgo de la entidad.
• Capacidad de contraste sobre la información recibida.
• Integración de estrategia, cultura y control en la toma de decisiones.

El principio relativo a gestión de riesgos y control interno sitúa además al Consejo como responsable de supervisar tanto el marco de control como los mecanismos de aseguramiento asociados .

Información y aseguramiento: condición necesaria para la supervisión

La efectividad del Consejo está directamente vinculada a la calidad, profundidad e independencia de la información que recibe.

El reporting de gestión, por definición, refleja la visión de la propia organización.
La supervisión requiere contraste.

En este punto, la auditoría interna aporta una función específica: proporcionar una evaluación independiente sobre la efectividad del gobierno, la gestión de riesgos y el control interno, con acceso directo al Consejo o a sus comisiones .

Cuando la supervisión no es suficiente (ejemplos habituales)

En la práctica, las deficiencias en la supervisión del Consejo suelen materializarse en situaciones como:

• Incidencias relevantes en control interno o cumplimiento que escalan tarde al Consejo, pese a existir indicadores previos en la organización.
• Modelos de delegación excesiva en management, donde el Consejo valida decisiones sin disponer de una visión independiente sobre riesgos asumidos.
• Fallos recurrentes en procesos operativos o de reporting, que se tratan como incidencias aisladas sin una visión agregada del riesgo.

No se trata de ausencia de información, sino de falta de contraste y de integración de esa información en la supervisión.

El marco CNMV

Las Circulares 6/2009 (ESI) y 1/2014 (SGIIC/SGEIC) establecen la obligación de disponer de una función de auditoría interna independiente, con alcance suficiente y acceso al órgano de administración, encargada de evaluar de forma periódica la adecuación y eficacia de los sistemas de control.

La norma define el marco.
Su efectividad depende de cómo se articule en la práctica dentro del Consejo.

Auditoría interna en la dinámica del Consejo

Una función de auditoría interna correctamente posicionada permite al Consejo:

• Acceder a una visión integrada del sistema de control.
• Identificar riesgos emergentes y áreas de vulnerabilidad.
• Contrastar la información de management con evidencia independiente.
• Evaluar la consistencia entre cultura, incentivos y comportamiento operativo.

Su valor no reside en la revisión, sino en la capacidad de generar criterio para la toma de decisiones.

Reflexión final

El elemento diferencial no es la existencia de marcos de control, sino la calidad de la supervisión que ejerce el Consejo sobre ellos. En términos prácticos, la cuestión es concreta:

¿Qué nivel de visibilidad independiente tiene el Consejo sobre los riesgos y el funcionamiento real del sistema de control?

Ahí es donde se define, en última instancia, la solidez del modelo de gobierno.

---

📄 Documento de referencia: COSO – Corporate Governance: Guiding Principles for Board Oversight