EVALUACIÓN DEL CONTROL INTERNO 1
Que es el Control Interno El control interno significa diferentes cosas para diferentes personas. Esto causa causa confus confusión ión entre entre las gentes gentes de negoci negocios, os, legisl legislado adores res y públic público o en general. Su resultado es errada o equívoca comunicación, con expectativas divers diversas, as, causan causantes tes de proble problemas mas al interi interior or de la empres empresa. a. Se produce producen n problemas cuando el término, si no esta claramente definido, esta escrito en la ley, regulación o regla. Este informe trata de las necesidades y expectativas de gerentes y otros directivos. Define y describe el control interno para: Esta Establ blec ecer er una una defi defini nici ción ón comú común n que que sirva sirva a las las nece necesi sida dade dess de • diferentes sectores. Proveer patrones contra los cuales negocios o empresas, grandes o • pequeñas del sector público o privado, con o sin interés de lucro, puedan evaluar sus sistemas de control y determinar cómo mejorarlos. El control interno es definido en forma amplia como un proceso, efectuado por por la junt juntaa de dire direct ctore oress de una una enti entida dad, d, gere gerenc ncia ia y/o y/o demá demáss pers person onal al,, dise diseña ñado do para para prop propor orci cion onar ar una una razo razona nabl blee segu seguri rida dad d con con mira mirass a la realización de objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones. • Confiabilidad de la información financiera. • Acatamiento de las leyes y regulaciones aplicables. • La primera categoría apunta a los objetivos básicos de la entidad, incluyendo metas de desempeño rentabilidad y salvaguarda de recursos. La segunda está relacionada con la preparación y publicación de estados financieros dignos de conf confia ianz nza, a, incl incluy uyen endo do esta estado doss fina financ ncie iero ross inte interm rmed edio ioss y resu resumi mido doss e información financiera derivada de dichos estados tales como ganancias por distri distribui buir, r, report reportada adass públi públicam cament ente.L e.Laa tercera tercera se ocupa ocupa de cumpli cumplirr con aquellas leyes y regulaciones a que la empresa o ente económico está sujeto. Estas diversas pero traslapadas categorías apuntan a diferentes necesidades que permitan un enfoque dirigido a suplir las distintas necesidades. Un sistema de control interno opera a diferentes niveles de efectividad. El control interno puede ser juzgado efectivo en cada una de las tres categorías, 1
Este numeral se ha desarrollado a partir de la traducción traducción libre efectuada por el contador público Fransisco de Paula Nicholls del Resumen Resumen Ejecutivo del “Framework” que aparece en el documento documento “Internal Control Integrated” emitido por “Committee of Sponsoring Organizations of the Treadway Commission (COSO)”.
1
respectivamente, si la junta directiva y los administradores tienen razonable seguridad de que: Ellos entienden el grado o alcance hacia el cual los objetivos de • operación de la entidad están siendo ejecutados. Los estados financieros publicados son confiables y fidedignos. • Las leyes y regulaciones aplicables están siendo cumplidas. • Mientras el control interno es un proceso, su efectividad es un estado o condición de el proceso en uno o más puntos en el tiempo. El control interno consta de cinco componentes interelacionados. Estos se derivan de formas de dirección y manejo de negocios que se integran con los procesos de administración. Aunque estos componentes se aplican a todas las entidades, las empresas pequeñas y medianas, los implementan de manera diferente a las grandes empresas. Sus controles pueden ser menos formales y menos estructurados, aunque una pequeña empresa puede sin embargo tener un efectivo control interno. Los componentes son: •
Ambiente de Control. El ambiente de control establece el tono de una organización, influenciando en la gente la conciencia o conocimiento sentido sentido del control. control. Esta es la fundament fundamentación ación para para todos los otros otros comp compon onen ente tess del del cont contro roll inte intern rno o cont control rol inte interno rno,, sumi sumini nist stra rand ndo o disciplina disciplina y estructura estructura.. El ambiente ambiente de control incluy incluyee factores factores de integridad, valores éticos, y competencia del personal de la entidad; filosofía de la administración y estilos de operación; el camino de la dirección asigna autoridad y responsabilidad, y organiza y desarrolla su gente; y el esmero y dirección proviene de la junta de directores.
Evaluación de Riesgos. Cada entidad afronta una variedad de riesgos
*
de origen interno y externo que deben ser valorados. La precondición para la evaluación del riesgo es es el establecimiento de objetivos, articulados a diferentes niveles e internamente consistentes. La evaluación de riesgos es la identificación y análisis de riesgos relevantes a la ejecución de los objetivos, formando una base para dete determ rmin inar ar como como debe deben n ser ser mane maneja jado dos. s. Porq Porque ue la econ econom omía ía la industria las regulaciones y las condiciones de operación continuaran cambiando, son necesarios mecanismos que identifiquen y se ocupen de los riesgos especiales asociados con el cambio. •
Actividades de Control. Actividades de control son las políticas y pro proce cedi dimi mien ento toss que que ayud ayudan an a gara garant ntiz izar ar que que se llev llevee a cabo cabo la admi admini nist stra raci ción ón.. Ello Ello cont contri ribu buye ye a garan garanti tiza zarr que que las las acci accion ones es necesarias sean tomadas para direccionar el riesgo y ejecución de los objetivos de la entidad. Las actividades de control control ocurren por toda la organización, a todos los niveles y en todas las funciones. Ello incluye 2
un rango de activid vidades tan diver versas como aprob robaci aciones, auto autori riza zaci cion ones es,, veri verifi fica caci cion ones es,, recon reconci cili liac acio ione nes, s, revis revisio ione ness de desemp desempeño eño de operaci operacione ones, s, seguri seguridad dad de activo activoss y segreg segregaci ación ón de funciones.
Información y Comunicación. La información pertinente debe ser
*
identificada capturada y comunicada en forma y estructuras de tiempo que faciliten a la gente cumplir cumplir sus responsabilidades. Los sistemas de info inform rmac ació ión n prod produc ucen en info inform rmac ació ión n oper operac acio iona nall fina financ ncie iera ra y suplementaria que hacen posible manejar y controlar los negocios. Ellos Ellos distri distribuy buyen en no solo solo los datos datos genera generados dos intern intername amente nte,, sino sino tamb tambié ién n info inform rmac ació ión n acer acerca ca de suce suceso soss exte extern rnos os,, acti activi vida dade dess y condiciones necesarias en la información para la toma de decisiones e información externa. La comunicación útil también puede darse en un amplio sentido, fluyendo por toda la organización. Todo el personal debe recibir un claro mensaje de la alta dirección en el sentido de que las responsabilidades del control deben ser tomadas muy seriamente. Ellos deben entender su propio papel en el sistema de control interno, tan bien como conocer el trabajo individual de otros. Ellos deben entender claramente el significativo comunicacional de la inme inmedi diat atéz éz de la info inform rmac ació ión. n. Tamb Tambié ién n es nece necesa sari rio o tene tenerr una una comu comuni nica caci ción ón útil útil con con el exte exteri rior or como como clie client ntes es,, prov provee eedo dore res, s, entidades gubernamentales, y accionistas. •
sistema de control interno interno necesita necesita ser Supervisión y Monitoreo. Un sistema superv supervisa isado, do, o sea, impleme implementa ntarr un proces proceso o de evaluac evaluación ión de la calidad del desempeño del del sistema, simultáneo simultáneo a su actuación. Esto es, activi actividad dades es de supervi supervisió sión n que se desarro desarrolla llan n adecua adecuadam dament entee con evaluación evaluación separada separada o una combinación combinación de las dos. dos. Los aspectos aspectos de supe supervi rvisi sión ón ocurre ocurren n en el transc transcur urso so de la oper operac ació ión. n. Incl Incluy uyee acti activi vida dade dess regu regula lares res de supe supervi rvisi sión ón y dire direcc cció ión, n, y acci accion ones es del del personal personal en el desempeño desempeño de sus quehaceres. quehaceres. El alcance alcance y frecuencia frecuencia de las las eval evalua uaci cion ones es sepa separa rada dass depe depend nder eráá prin princi cipa palm lmen ente te de la eval evalua uaci ción ón del del ries riesgo go y la efec efecti tivi vida dad d de los los proc proced edim imie ient ntos os de supervisión en marcha. Las deficiencias del control interno deben ser repo report rtad adas as de inme inmedi diat ato, o, con con info inform rmee de nove noveda dad d de los los asun asunto toss graves, a la alta gerencia y junta directiva.
Hay sinergia y articulación, es decir, concurso activo y concertado de varios elementos para realizar una función, formando así un sistema integrado, que reacciona reacciona dinámicame dinámicamente nte ante condicione condicioness de cambio o modificación. modificación. Un sistema de control interno se entrelaza con las actividades operacionales de la entidad y existe por fundamentales razones de negocios. El control interno
3
adquiere su mayor eficacia cuando es construido desde el interior de la infraestructura misma de la entidad, y hace parte de la esencia de la empresa. El "Built in" o control elaborado y entendido como parte inherente de nuestra pro propi piaa estr estruc uctu tura ra,, da sust susten enta taci ción ón y sopo soport rtee a la cali calida dad d de nues nuestr tras as inicia iniciativ tivas, as, evita evita costos costos innece innecesar sarios ios y permit permitee rápida rápidass respue respuesta stass a las condiciones del cambio. Hay una directa directa relación entre las tres categorías categorías de objetivos objetivos cuales son los que que una una enti entida dad d se esfu esfuer erza za por por logr lograr, ar, y los los comp compon onen ente tess los los cual cuales es repres represen enta tan n lo que es nece necesa sari rio o para para lograr lograr los los obje objeti tivo vos. s. Todo Todoss los los componentes son relevantes a cada categoría de objetivos. Cuando miramos cualquiera de las categorías, - la efectividad y eficiencia de las operaciones, por por ejem ejempl plo, o,-- todo todoss los los cinc cinco o comp compon onen ente tess debe deben n esta estarr pres presen ente tess y funcionando efectivamente, para concluir que el control interno sobre las operaciones es efectivo. La definición de control interno, - con su subyacente concepto fundamental de proceso, efectuado por personas, para proveer una razonable seguridad junto con la categorización de objetivos y los componentes y criterios de efectividad asociados a la discusión constituyen este marco o estructura del control interno.
Que puede hacer el Control Interno El control interno puede ayudar a una entidad a lograr su desempeño y metas de rentab rentabil ilid idad ad,, y prev preven enir ir pérdid pérdidaa de sus sus recu recurs rsos os.. Pued Puedee ayud ayudar ar a garant garantiza izarr lo confia confiable ble de sus inform informes es financie financieros ros.. Y puede ayudar ayudar a garantizar que la empresa cumple con las leyes y regulaciones, evitando perjuicios y demás consecuencias a su reputación. En suma, puede ayudar a la entidad a ir donde quiera y deseé, y evitar trampas y sorpresas a lo largo del camino.
Que no puede hacer el Control Interno Infortunadamente, muchas personas tienen una expectativa amplia y poco realista sobre el control interno. Ellos esperan lo absoluto, creyendo que: *
El cont contro roll int inter erno no pued puedee gar garan anti tiza zarr el buen buen éxit éxito o de de la la ent entid idad ad - que que es es de seguro, el logro de los objetivos básicos del negocio, o cuando menos, asegurar la supervivencia. Un efectivo control interno puede solamente ayudar a una entidad a realizar estos objetivos. Puede proveer información a la gerencia o dirección, acerca de los progresos de la entidad o carencia de ellos, en 4
la ejecu ejecuci ción ón.. Pero Pero el control control intern interno o no puede puede conv conver erti tirr un mal administrador en un buen administrador, y los cambios en las políticas o programas del gobierno, las acciones o condiciones económicas de los competidores, pueden ir o estar más allá que los controles de la administrac administración ión y la gerencia. El control control interno no puede garantizar garantizar buenos resultados o aún sobrevivencia. *
El co contro ntroll inte intern rno o pued puedee garan garanti tiza zarr la confi confiab abil ilid idad ad de los los inf infor orm mes financieros y el cumplimiento de las regulaciones legales. Esta creencia es igualmente indefensable o sin garantía. Un sistema de control interno, no importa que tan bien concebido y operado esté, puede proveer solamente una razonable - no absoluta - seguridad, a la administración y a la junta directiva, considerando la realización de los objetivos de la entidad. La verosimilitud del logro esta afectada por limitacio limitaciones nes inherentes inherentes a todos los sistemas sistemas de control control interno. interno. Esto incluye efectivamente criterios en la toma de decisiones que pueden ser defectuosos y el fracaso ocurre por motivo de simple error o equivocación. Adicionalmente, los controles pueden ser evadidos por la colusión de dos o más personas, y la dirección tiene el poder de vencer el sistema. Otro factor limitante es que el diseño de un sistema de control interno tiene que reflejar el hecho de que hay recursos constreñidos y el beneficio del control debe ser considerado de acuerdo a sus costos.
Así, mientras el control interno puede ayudar a lograr los objetivos de una entidad, éste no es una panacea.
Papeles y Responsabilidades Responsabilidades Todas Todas las person personas as en una organi organizac zación ión tienen tienen respon responsab sabil ilida idades des por el control interno. *
Dirección. La cabeza principal, o director ejecutivo es en esencia finalmente el responsable, y debe asumir su propiedad o pertenencia de el sistema. sistema. Más que cualquier cualquier otro individ individuo, uo, el director director ejecutivo ejecutivo establece el "tono y el tope" que influye la integridad,la ética y otros factores de un positivo ambiente de control. En una compañía grande el direc directo torr ejec ejecut utiv ivo o colm colmaa sus sus debe deberes res por por prov provee eerr de lide liderat rato o y dirección a los demás directivos, revisando repasando y analizando la forma como ellos están controlando el negocio. Estos administradores a su vez, asignan responsabilidades para el establecimiento de más
5
espe especí cífi fica cass polí políti tica cass y proc proced edim imie ient ntos os de cont contro roll inte intern rno o para para el personal responsable de las funciones de la unidad. En una entidad pequeña, la influencia del director ejecutivo, a menudo un direct director/ or/pro propie pietar tario, io, es usualm usualment entee más directa. directa. En cualquie cualquier r even eventto, en una casca ascada da de res respons ponsab abiilidad idades es,, un dire direcctor tor es efectivamente el director ejecut ecutiivo de su o sus sus esferas ras de respon responsab sabili ilidad dad.. De partic particula ularr signif significa icanci nciaa son sus dependi dependient entes es financieros y su personal de dirección, quienes controlan actividades de un lado a otro, tan bien como arriba y abajo la operación y otras unidades de una empresa. *
Junta Directiva. -La gerencia es responsable ante la Junta Directiva, la cual provee provee autori autoridad, dad, direcc dirección ión y vigil vigilanc ancia. ia. Los miembro miembross de Junta Junta Direct Directiva iva eficac eficaces, es, son objeti objetivos vos,, hábile hábiles, s, compet competent entes es con maní maníaa de preg pregun unta tar. r. Ello Elloss adem además ás tien tienen en un cono conoci cimi mien ento to de las las actividades y ambiente de la entidad, y someten al tiempo que sea necesario el realizar y verificar sus responsabilidades de directivos. La gere gerenc ncia ia pued puedee esta estarr en una una posi posici ción ón de pasa pasarr inad inadve vert rtid idaa de los los cont contro role less e igno ignora rarr u ocul oculta tarr comu comuni nica caci cion ones es de subo subordi rdina nado dos, s, permit permitien iendo do una admini administr straci ación ón deshon deshonest estaa que intenc intencion ionalm alment entee falsea falsea result resultado adoss para para cubrir cubrir su huella huella.. Una fuerte fuerte y activa activa junta, junta, partic particula ularme rmente nte cuando cuando hace hace pareja pareja con canale canaless de comuni comunicac cación ión adecuados, adecuados, e idóneos idóneos financiero financieross y auditores auditores internos, internos, es a menudo la mejor forma de identificar y corregir tal problema.
*
Auditores Internos. - Los auditores internos juegan un importante papel en la evaluación de la efectividad de los sistemas de control, y contribuyen a su mejoramiento. A causa de la posición organizacional y autoridad en una entidad, la función de un auditor interno juega a menudo un significativo papel de supervisión.
*
Otro Personal. - El control interno es, en algún grado, responsabilidad de todos en una organización, y por lo tanto, debe tener una parte explícita o implícita de la descripción de cargos de todo el personal vinculado. vinculado. Virtualm Virtualmente ente todos los empleados empleados producen informaci información ón usada en el sistema de control interno, o realizan acciones necesarias para efectuarlo. Además todo el personal debe ser responsable por reportar los problemas en las operaciones, no cumpliendo el código de conducta u otras violaciones de políticas o acciones ilegales. Un número de sujetos externos a menudo contribuyen al logro de obje objeti tivo voss en la enti entida dad. d. Los Los audi audito tore ress exte extern rnos os trae traen n una una visi visión ón objetiva e independiente, que contribuye directamente a través de los esta estado doss financ nancie iero ross audi audittados ados,, e indi ndirect rectam amen entte por por pro proveer veer
6
información útil a la dirección y a la junta, para cumplir con sus responsabilidades. Otros proveedores de información útil a la entidad, en su efec efecto to sobr sobree el cont contro roll inte intern rno o son son las las norm normas as lega legale less y regu regula laci cion ones es,, los los clie client ntes es,, las las tran transa sacc ccio ione ness de nego negoci cios os con con la empresa, los analistas financieros, los lazos de unión con la gente, y los medi medios os y peri period odis ista tas. s. Los Los suje sujeto toss exte extern rnos os,, sin sin emba embargo rgo,, no son son responsable responsables, s, por no ser ellos una parte del sistema sistema de control interno de la entidad.
Evaluación del Control Interno En una auditoría financiera se deben evaluar cada uno de los componentes del control interno. La revisi revisión ón del sistem sistemaa es princi principal palmen mente te un proceso proceso de obtenc obtención ión de información respecto a la organización y de los procedimientos prescritos y pretende pretende servir como base para las pruebas de control y para la evaluación del sistema. La información requerida para este objeto normalmente se obtiene a través de entrevistas con el personal apropiado del cliente y referen referencia cia a la docume documenta ntació ción n tal como como manual manuales es de procedi procedimie miento ntos, s, descripción de puestos, diagramas de flujo y cuadros de decisión. Con el fin de aclarar el entendimiento de la información obtenida de dichas fuentes, algunos auditores siguen la práctica de rastrear uno o varios de los diferentes tipos de transacciones afectadas a través de la documentación relativa y de los registros que se tengan. Esta práctica puede ser útil para el propósito indicado y puede ser considerada como parte de las pruebas de control como se comenta más adelante en esta sección. La información relativa al sistema puede ser anotada por el auditor en forma de respuestas a un cuestionario, memorándum narrativo, diagramas de flujo, cuadros de decisión o cualquier otra forma que convenga a las necesidades o preferencias del auditor. Al terminar la revisión del sistema, el auditor debe ser capaz de hacer una evalua evaluació ción n presumi presumiend endo o un satisf satisfact actori orio o cumpli cumplimie miento nto con el sistem sistemaa prescrito.
AMBIENTE DE CONTROL Un eval evalua uado dorr podr podría ía cons consid ider erar ar cada cada fact factor or del del ambi ambien ente te de cont contro roll determinando si existe un ambiente de control positivo. Adelante se da un lista istado do sobre obre lo que que uno uno pued puedee enfo enfoca cars rse. e. En este este list istado ado no est está
7
todo/incluido, ni tampoco todos los items o puntos aplicables a todas las entidades; puede, sin embargo, servir como punto de partida. Aunque algunos a lgunos de los puntos son altamente subjetivos y requieren considerable criterio, ellos en general son pertinentes y vienen al caso a la efectividad del ambiente de control.
Integridad y Valores Eticos •
•
•
Existencia e implementación de códigos de conducta y otras políticas relativas a prácticas aceptables en los negocios, conflictos de intereses, o guías/patrones esperados, de conducta ética y moral. Relaciones/negocios con empleados, proveedores, clientes, inversionistas, acreedores, aseguradores, competidores competidores y auditores etc, (v.g.,sea que, las conductas de la gerencia en los negocios están dentro de un alto carácter ético, ético, o prestan prestan poca atención atención a los dictados dictados de la ética, insistir insistir que estos otros lo hagan en la forma correcta). Apremio por encontrar ilusorios objetivos de desempeño, -particularmente para resultados a corto tiempo - y extensivo a que la compensación esta basada sobre la realización de aquellos objetivos o bjetivos de desempeño.
Compromiso hacia la Competencia •
•
Formal o informal descripción de funciones u otros medios de definición de labores que comprende tareas específicas. Anál Anális isis is del del cono conoci cimi mien ento to y dest destrez rezas as nece necesa sari rias as para para la adec adecua uada da ejecución de los trabajos.
Junta de Directores o Comité de Auditoría •
•
•
•
Independencia proveniente de la dirección, tal como sea necesaria, aun si hay dificultades y explorando los interrogantes que surjan. La frecuencia y oportunidad con que son convenidas las reuniones con el jefe financiero y/o gentes de contabilidad, auditores internos y auditores externos. La suficiencia suficiencia y oportunida oportunidad d con que la información información es suministrad suministradaa a la jun junta ta o miem miembr bros os del del comi comité té,, perm permit itee supe supervi rvisa sarr los los obje objeti tivo voss y estrategia estrategiass de la administración administración,, los resultados resultados operativo operativoss y posición financiera de la entidad y términos de acuerdos significativos. La suficiencia y oportunidad con que la junta o comité de auditores es avisada de información delicada o confidencial, investigaciones y actos inco incorr rrec ecto toss (v.g (v.g., ., gast gastos os de viaj viajee de ofic oficin inis ista tass anti antigu guos os,, liti litigi gios os impo import rtan ante tes, s, inve invest stig igac acio ione ness de agen agenci cias as regu regula lado dora ras, s, desf desfal alco cos, s,
8
peculados, estropeo o abuso de los activos de la entidad, violación del secreto mercantil, recompensas políticas, pagos ilegales.
Filosofía de la Administración y Estilo de Operación •
•
•
Naturaleza de los riesgos aceptados en los negocios, v.g., si la dirección con frecuencia entra en aventuras y altos riesgos o es extremadamente conservadora en aceptarlos. La frec frecue uenc ncia ia de acci acción ón recí recípr proc ocaa entr entree la dire direcc cció ión n anti antigu guaa y la administr administración ación actuante, actuante, particular particularmente mente cuando cuando la operación operación proviene proviene geográficamente de posiciones eliminadas. Actitudes y acciones hacia informes financieros, incluyendo discusiones sobre sobre tratam tratamien iento to de aplica aplicacio ciones nes de contab contabili ilidad dad,, (v.g., (v.g., selecc selección ión de políticas conservadoras de contabilidad contra políticas de contabilidad ampli amplias as y libres libres;; si los princi principio pioss contab contables les han sido sido mal aplica aplicados dos,, importante información financiera no revelada, o registros manipulados o falsificados.
•
Estructura Organizacional •
•
•
Aptitud de la estructura organizacional de la entidad, y su capacidad para sumin uminis istr trar ar el nece necesa sari rio o flujo ujo de inf informac rmació ión n para para manej anejar ar sus sus actividades. Adecuada ada definición de las res responsabi sabillidad dades claves de los administradores y su entendimiento de ellas. Adecu decuac ació ión n del del cono conoci cimi mien entto y exper xperie ienc ncia ia de los princ rincip ipal ales es administradores a la luz de sus responsabilidades.
•
Asignación de Autoridad y Responsabilidades •
•
•
Asignación de responsabilidad y delegación de autoridad para ocuparse de objet bjetiv ivos os y meta etas orga organi niza zaci cion onal ales es,, funcio ncione ness de opera peraci ció ón y requerimientos reguladores, incluyendo responsabilidades por sistemas de información y autorización autorización de cambios. Aptitud de patrone roness y procedimientos de control rol conexo o a fin,incluyendo descripción de funciones funciones de los empleados. empleados. Apro Apropi piad ado o núme número ro de pers person onas as,, part partic icul ular arme ment ntee con con resp respec ecto to al departamento de procesamiento de datos y funciones de contabilidad con el requisito de un relativo nivel de destreza a la medida de la naturaleza y complejidad de actividades y sistema de la entidad.
Políticas y Prácticas de Recursos Humanos
9
•
•
•
•
Exte xtender nder aque aquelllas las pol políti íticas cas y proc proced ediimient ientos os de contr ontrat atac ació ión, n, entrenamiento, promoción y compensación de empleados en el lugar del trabajo. Aptitud de acción remedial admitiendo como respuesta los procedimientos y políticas de salida aprobadas. Adecuación de contenidos y antecedentes de candidatos a empleados, parti particul cularm arment entee con relació relación n a accion acciones es precedent precedentes es o activi actividad dades es consideradas inaceptables por la entidad. Adec Adecua uaci ción ón de crit criter erio ioss de reten retenci ción ón y prom promoc oció ión n de empl emplea eado doss e infor informac mación ión/ac /acumu umulac lación ión técnic técnicaa ( v.g., v.g., desemp desempeño eño y evalua evaluació ción n ) y relación al código de proceder u otras o tras guías de conducta.
VALORACION DE RIESGOS La evaluación se centrará en el proceso administrativo para definición de objetivos, objetivos, análisis de riesgos riesgos y administrac administración ión del cambio, cambio, incluyendo incluyendo sus vínculos y su relevancia con las actividades de negocio. Lo listado abajo son asuntos que un evaluador puede considerar. La lista no es completa, no todos los ítems aplicarán a todas las entidades; puede, sin embargo, servir como punto de arranque.
Objetivos Globales de la entidad •
•
•
•
Exte Extens nsió ión n en la cual cual los los obje objeti tivos vos glob global ales es de la enti entida dad d prove proveen en declaraciones y orientaciones ampliamente suficientes sobre lo que la entidad desea conseguir, y si son lo suficientemente específicos como para relacionarse directamente con ella. Efec Efecti tivi vida dad d con con la cual cual los los obje objeti tivo voss glob global ales es de la enti entida dad d son son comunicados a los empleados y al consejo de directores. Relación y consistencia de las estrategias con los objetivos globales de la entidad. Consistencia de los planes y presupuestos de negocio con los objetivos globales de la entidad, planes estratégicos y condiciones actuales.
Objetivos a Nivel de Actividad •
•
•
•
Vínculo Vínculo de los objetivos objetivos a nivel de actividad con los objetivos objetivos globales de la entidad y con los planes estratégicos. Relevancia de los objetivos a nivel de actividad para con todo el proceso de negocios significativo. Especificidad de los objetivos a nivel de actividad. Conveniencia de los recursos relacionados con los objetivos.
10
•
•
Identificación de los objetivos importantes (factores críticos de éxito) para la consecución de los objetivos globales de la entidad. Compromiso Compromiso de todos los niveles de administrac administración ión en la definición definición de objetivos y en la extención en la cual ellos están encargados de los objetivos.
Riesgos •
•
•
•
Conve onveni nien enci ciaa de los meca mecani nism smos os para para iden identi tifi fica carr los ries riesgo goss provenientes de fuentes externas. Conve onveni nien enci ciaa de los meca mecani nism smos os para para iden identi tifi fica carr los ries riesgo goss provenientes de fuentes internas. Iden Identi tifi fica caci ción ón de los los ries riesgo goss sign signif ific icat ativ ivos os para para cada cada obje objeti tivo vo significativo a nivel de actividad. Totalidad y relevancia del proceso de análisis de riesgos, incluyendo la estimación de los riesgos significativos, la valoración de la probabilidad de su ocurrencia y la determinación de las acciones requeridas.
Manejo del cambio •
•
Existencia de mecanismos para anticipar, identificar y reaccionar a los evento eventoss o activi actividad dades es rutuna rutunario rioss que afecta afectan n la consec consecuci ución ón de los objetivos globales o de los objetivos a nivel de actividad de la entidad (implementados usualmente por los administradores responsables de las actividades que podrían ser afectadas por los cambios). Existencia de mecanismos para identificar y reaccionar a los cambios que puedan tener efecto más dramático dramático y penetrante penetrante sobre la entidad, entidad, y que puedan demandar la atención de la alta administración.
ACTIVIDADES DE CONTROL Las actividades actividades de control control deben evaluarse evaluarse en el contexto de las directivas directivas admi admini nist strat rativ ivas as para para mane maneja jarr los los ries riesgo goss asoc asocia iado doss con con los los obje objeti tivo voss esta establ blec eciidos dos para para cada cada act activi ividad dad sign signiifica ficati tiva va.. Un eval evalua uado dorr por por consiguiente considerará si las actividades de control se relacionan con el proceso de valoración de riesgos y si son apropiadas para asegurar que las directivas de la administración se están cumpliendo. Esto debe hacerse para cada actividad de negocios significativa, incluyendo los controles generales sobre los sistemas de información computarizados. (Estas serán cada una de las las acti activi vida dade dess iden identi tifi fica cada dass en la eval evalua uaci ción ón de la valo valora raci ción ón de riesgo riesgos). s). Un evalua evaluador dor consid considera erará rá no solame solamente nte si las activi actividad dades es de control establecidas son relevantes para el proceso de valoración de riesgos, sino también si ellas están siendo aplicadas adecuadamente.
11
INFORMACION Y COMUNICACIÓN La evaluación considerará la conveniencia de los sistemas de información y comunicación para las necesidades de la entidad. Los asuntos listados abajo son algunos de los que puede considerar. La lista no es completa, cada ítem no necesa necesaria riamen mente te aplica aplicará rá a cada cada entida entidad; d; puede, puede, sin embargo embargo,, servir servir como un punto de arranque.
Información •
•
•
•
Obten btenci ción ón de info nformac rmaciión ext externa erna e int interna erna,, y sum suminis inisttro a la admini administr straci ación ón de los report reportes es necesa necesario rioss sobre sobre el desemp desempeño eño de la entidad relativo a los objetivos establecidos. Proporcionar información a la gente correcta con detalle suficiente y de manera oportuna que les permita cumplir eficiente y efectivamente sus responsabilidades. Desarrollo o revisión de sistemas de información basados en un plan estratégico para sistemas de información - enlazado con la estrategia globa globall de la enti entida dadd- y sens sensib ible le a la consec consecuc ució ión n de los obje objeti tivo voss globales de la entidad y a los objetivos de nivel de actividad. Apoy Apoyo o de la admi admini nist strac ració ión n para para el desa desarro rroll llo o de los los sist sistem emas as de informa informació ción n necesa necesario rios, s, el cual cual es demost demostrado rado por la asigna asignació ción n de recursos apropiados, humanos y financieros.
Comunicación •
•
•
•
•
Efectividad con la cual se comunican los deberes de los empleados y las responsabilidades de control. Establecimiento de canales de comunicación para que la gente reporte asuntos indeseables sospechados. Receptividad por parte de la administración frente a las sugerencias de los empleados respecto de maneras de aumentar la productividad, la calidad u otros mejoramientos similares. Sufi Sufici cien enci ciaa de la comu comuni nica caci ción ón a lo largo largo de la orga organi niza zaci ción ón (por (por ejemplo, entre actividades de obtención y producción) y la totalidad y oportunidad de la información y su suficiencia para permitir que la gente se descargue efectivamente de sus responsabilidades. Apertura y efectividad de los canales con clientes, proveedores y otras partes externas para comunicación de información sobre las cambiantes necesidades de los clientes.
12
•
•
Extensión en la cual las partes externas han tenido conciencia de los estándares éticos de la entidad. Oportunidad y propuedad de las acciones hacia arriba, por parte de los administradores, derivadas de las comunicaciones recibidas de parte de clientes, vendedores, reguladores u otras partes externas.
SUPERVISION – MONITOREO Cons Consid ider eran ando do la exte extens nsió ión n en la cual cual es moni monito torea reada da la efec efecti tivi vida dad d continua del control interno, deben tenerse en cuenta tanto las actividades de monitoreo ongoing como las evaluaciones separadas del sistema de control interno, o porciones de los mismos. Lo listado abajo son asuntos que se pueden considerar. La lista no es completa, no todos aplicarán a cada entidad; puede, sin embargo, servir como punto de arranque. Monitoreo Ongoing Extensión en la cual el personal, en el desempeño de sus actividades regulares, obtiene evidencia de si el sistema de control interno continua funcionando. Extensión en la cual las comunicaciones provenientes de partes externos corroboran la información generada internamente o indica problemas. Comparaciones periódicas de las cantidades registradas por el sistema de contabilidad con los activos físicos. La sensibilidad frente a las recomendaciones de auditores internos y externos como medios para fortalecer los controles internos. Extensión en la cual los seminarios de entrenamiento, las sesiones de planeación y las otras reuniones proporcionan retroalimentación a la administración sobre si los controles operan efectivamente. Si el personal es preguntado periódicamente para establecer si ellos enti entien ende den n y cump cumple len n con con el códi código go de cond conduc ucta ta de la enti entida dad d y desempeñan regularmente actividades críticas de control. Efectividad de las actividades de auditoría interna. •
•
•
•
•
•
•
Evaluaciones separadas •
•
•
•
Alcanc Alcancee y frecue frecuenci nciaa de las evalua evaluacio ciones nes separad separadas as del sistem sistemaa de control interno. Conveniencia del proceso de evaluación. Si la metodología del sistema de evaluación es lógica y apropiada. Conveniencia del nivel de documentación.
13
Reporte de deficiencias •
•
•
Exist xisten enci ciaa de mecan ecaniismos smos para para capt captur uraa e infor nforma maci ción ón de las deficiencias de control interno identificadas. Conveniencia de los protocolos de reporte. Conveniencia de las acciones hacia arriba
14
INFORME PARA LA ENTIDAD EXAMINADA Objetivo del informe: Inducir Inducir a la entidad examinada examinada que adopte las medidas necesarias necesarias par la corrección de las deficiencias. Dejar constancia escrita de los comentarios. Dar a la entidad examinada el beneficio de las observaciones durante el transcurso de la Auditoría. Sugerencias para lograr de la entidad examinada una mayor aceptación de las recomendaciones: Respecto a la naturaleza de las recomendaciones: Reca Recalc lcar ar la impo import rtan anci ciaa de los los punt puntos os más más impo import rtan ante tess y eliminar o reducir los puntos de menor importancia. Determinar hasta qué grado es práctica la recomendación desde el punto de vista de: Posibilidad de llevar a cabo el procedimiento. Protección que va a prestar, y Su costo No sugerir cambios tendientes, únicamente, a facilitar la Auditoría. No criticar un procedimiento sin ofrecer una sugerencia para mejorarlo.
Forma y Estilo del Informe 1. El estilo deberá reflejar la intención de prestar a la entidad examinada un servicio constructivo, de forma que su destino no sea el de “quedar en el archivo”. 2. Los puntos a tratar deben expresarse con claridad y utilizando una terminología que no resulte obscura ni tampoco afectada. 3. El modelo que se sugiere a continuación es, con frecuencia, efectivo por porqu quee en él se indi indica ca el proc proces eso o a segu seguir ir en la pres presen enta taci ción ón de las las recomendaciones: (a) Explicar los aspectos sobresalientes del procedimiento en vigor. (b) Señalar Señalar las fallas fallas del procedimiento procedimiento actual, indicando indicando el tipo general de irregularidades a que podrían dar lugar. (c) Brindar Brindar una sugerencia sugerencia constructiva. constructiva. 15
(d) Mostrar rar claram ramente las ventajas y desventajas que que sobre el proc proced edim imie ient nto o actu actual al,, tien tienee el proce procedi dimi mien ento to suge sugeri rido do,, así así como como cualquier otra alternativa posible. 4. Si el memorándum es largo deberá llevar un índice. El informe debe contener, cuando resulte factible, la oferta por parte de la firma auditora de ayudar al ente examinado en el diseño o instalación de nue nuevos procedimientos
16
