INTRODUCCIÓN El buen desempeño de una administración corporativa depende en gran medida de la eficacia de los controles internos implementados y del personal que los lleva a cabo, sin embargo existe un riesgo que estos no sean desarrollados adecuadamente creando un ambiente propicio en la compañía para pérdidas, fraudes, sanciones regulatorias entre otros resultados negativos. La evaluación oportuna y la respuesta que solucione al riesgo detectado son componentes claves para que la compañía continúe sus operaciones adecuadamente. El programa de auditoría conocido como COSO ERM, permite a través del análisis de la estructura y ejecución del control interno el riesgo que la entidad tiene de seguir operando con sus actuales políticas y controles y si estos están encaminados a cumplir con los objetivos propuestos por la administración. Este programa también es aplicable a las pequeñas y medianas empresas (pymes), de una manera más resumida, pero su finalidad es la misma. El siguiente trabajo desarrolla el programa COSO-ERM y explica la importancia de llevarlo a la práctica.
1
1. MÉTODO COSO ERM-ENTERPRISE ERM-ENTERPRISE RISK MANAGEMENT ¿Qué es un programa ERM? La Gestión de Riesgos Corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro de su apetito de riesgo y proporcionar una seguridad razonable sobre el logro de los objetivos.1 1.1 Definiciones •
•
•
•
•
Gestión de riesgos: (Es un proceso, destinado a establecer estrategias, diseñado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para que estén dentro de los límites) Eventos y riesgos: (Los eventos = hechos relevantes posibles; Si los eventos tienen impacto negativo=Riesgos, Si son positivos = Oportunidades.) Apetito al riesgo: (Es el nivel de riesgo máximo aceptable) Tolerancia al riesgo: (Es el nivel de Desviación aceptable en relación con el logro de los objetivos) Portafolio de riesgos: (Consideración amplia de las combinación de riesgos que permite una visión global)
Un programa ERM, Enterprise Risk Management, o Administración de los riesgos empresariales, requiere: •
1
Identificar todoslos riesgos estratégicamente relevantes
Enterprise Risk Management-Integrated Framework 2
•
•
Ponderar su riesgo inherente en función de su impacto y probabilidad de ocurrencia Evaluar la efectividad de controles existentes y potenciales para mitigar su impacto
•
Tomar decisiones respecto de los riesgos residuales
•
Un proceso continuo-es un medio para un fin, no un fin en sí mismo
1.2 ¿Por qué motivo es importante? •
Cualquier actividad empresarial busca un objetivo de lucro. Cuanto mayor riesgo, mayor será la rentabilidad mínima exigida por los accionistas o propietarios Dato del mercado:
El 80% de los administradores de mercado de capitales pagan más por acciones de empresas con demostración efectiva de manejo de riesgos en un promedio del 11% de más. (Asset Managers pay more for Well Governed Companies-KPMG –Reino Unido 2002) •
El resultado final de una compañía se construye por su habilidad para lograr los objetivos y evitar los riesgos.
¿Cómo se lleva adelante un programa ERM? El proceso de ERM es similar al proceso presupuestario: •
Se deben establecer y formular en forma mensurable los objetivos.
•
Se identifican los riesgos asociados con los objetivos.
•
Se establece un consenso, sobre la base de datos objetivos y convicciones de la alta gerencia.
3
2. ¿Qué es un método COSO? 2.1 Definición El sistema COSO significa COMMITTEE OF SPONSORING ORGANIZATIONS, es un método de control interno que se realiza en una empresa para detectar o prevenir algún tipo de estafa, localizar faltas, corregir operaciones, estimular deficiencia de personal mediante la vigilancia que se ejerce a través de los informes, salvaguardar los bienes, y obtener un control efectivo en todos los aspectos de la compañía. Este sistema no solo verifica la parte financiera de la empresa si no la administrativa, contiene normas que deben cumplir para que funcione a la perfección y el personal encargado debe ser profesional realizando un plan o cronograma de los aspectos a examinar. El documento COSO ERM contó con la colaboración de la firma PricewaterhouseCoopers, aspirando a ser considerado como modelo conceptual común para la Gestión de Riesgos Corporativos, el cual ha proporcionado directrices para la evaluación y mejora en la identificación, evaluación y respuesta de los riesgos; La autoridad y marco referente de COSO, fue validado por el documento de Control Interno – Marco Integrado- con la finalidad de estudiar los factores que permitieron la emisión fraudulenta de reportes financieros; los escándalos financieros en los mercados mundiales como: ENRON, Parmalat, VIVENDI, WORDCOM, Global Crossing, entre otras. El Marco de COSO ERM, se ha expandido y profundizado en relación a los componentes del Control Interno – Marco Integrado la ERM es hoy en día más amplia y el Control Interno está inmerso en el nuevo Marco, el cual, según los organizadores, es un documento ampliado y elaborado para formar una conceptualización sólida y centrada en los riesgos. El marco define la Administración de Riesgos Corporativos como: “Un proceso efectuado por el consejo de administración de una entidad, su dirección y 4
restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionarlos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la consecución de objetivos de la entidad”. El Marco define cuatro objetivos, ocho componentes esenciales y relacionados entre sí, que se aplican a toda la organización o para cualquiera de sus unidades individuales, además sugiere un lenguaje común, y provee una dirección y guías claras para la identificación evaluación y respuesta a los riesgos. Así, el Marco de ERM está orientado a proporcionar una seguridad razonable sobre la consecución de los objetivos institucionales, los cuales pueden apreciarse. El Marco considera actividades en todos los niveles de la organización: Nivel Empresarial, División o Subsidiaria, Unidades y Procesos de Negocio y Toda la Entidad. Según ERM, los cinco componentes de Los Nuevos Conceptos de Control Interno (Informe COSO), COOPERS & LYBRAND 1992, se elevan a ocho, en tanto que ya pasan a ser “componentes de la Gestión de los Riesgos Corporativos”; estos ocho componentes se interrelacionan y se derivan de la manera singular en que es dirigida cada organización.
5
3. MÉTODOLOGIA PARA IDENTIFICAR RIESGOS Identificación de los riesgos En esta primera fase de la metodología se identifican de forma sistemática las posibles causas concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe afrontar el emprendedor. Una correcta identificación de riesgos requiere un conocimiento detallado de la empresa, del mercado en el que opera, del entorno legal, social, político y cultural que le rodea. La identificación del riesgo debe ser sistemática y empezar por identificar los objetivos clave de éxito y amenazas que puedan perturbar el logro de dichos objetivos. Percepción del riesgo: La percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este contexto, gestionar el riesgo significa instalar sistemas de control que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad (la pérdida económica que supondría para el emprendedor). Es un enfoque de naturaleza defensiva, su propósito es asignar recursos para reducir la probabilidad de sufrir impactos negativos. Desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que maximicen los resultados, limitando los posibles perjuicios o costes. El enfoque es de naturaleza ofensiva. La gestión del riesgo desde la perspectiva del riesgo como incertidumbre se dirige a minimizar la desviación entre los resultados que el emprendedor desea obtener y los que realmente obtiene.
6
3.1 Fuentes para identificar riesgos Fuentes de riesgo son todos aquellos ámbitos de la empresa, internos o externos, que pueden generar amenazas de pérdidas o impedimentos para alcanzar los objetivos. Un procedimiento que facilita la identificación de los riesgos es el preguntarse, para cada una de las fuentes, si existen debilidades o amenazas en cada una de las fuentes. La identificación del riesgo debe ser sistemática y debe comenzar por definir los objetivos del emprendedor, analizar los factores que son clave en su negocio para alcanzar el éxito y revisar cuales son las debilidades del proyecto y las amenazas a las que se enfrenta.
7
3.2
Otros
procedimientos
para
identificar
riesgos:
Clasificación de los riesgos:
El objetivo de la clasificación de riesgos s mostrar los riegos identificados de una forma estructurada, por ejemplo en función de su procedencia, como muestra en el siguiente gráfico.
8
SECTOR Riesgo de que factores externos e independientes de la gestión del emprendedor puedan influir directa o indirectamente de manera significativa en el logro de sus objetivos y estrategias. Ejemplos •
•
•
Fuerte exposición a cambios regulatorios Atomización empresarial Aparición de nuevos mercados
OPERATIVOS Los riesgos operativos están relacionados con la habilidad del emprendedor para convertir la estrategia elegida en planes concretos, mediante la asignación eficaz de recursos. Ejemplos: •
Necesidad de realizar un esfuerzo publicitario 9
•
•
•
Elevado coste de personal Falta de planificación operativa y financiera Tendencia a la subcontratación Tendencia a la concentración
TECNOLOGÍA Mide cual es la exposición del emprendedor a los riesgos tecnológicos derivados de la necesidad de acometer fuertes inversiones para asegurar la viabilidad de su proyecto empresarial en un plazo determinado de tiempo o la necesidad de formar a sus empleados en el uso de la tecnología. Ejemplos: •
•
Importantes inversiones Escaso nivel de implantación
COMPETIDORES El tamaño, la capacidad financiera y operativa de los agentes de un sector determinan el grado de rivalidad del mismo y establecen las reglas de juego que cualquier nuevo agente tiene que considerar para operar en ese mercado, esto puede suponer riesgos para el emprendedor. Ejemplos: •
•
•
Aparición de nuevos competidores Intensa competencia Competencia especializada
PROVEEDORES El papel que jueguen los proveedores en el sector podría generar riesgos para el emprendedor, debido a las variaciones en el precio de las materias primas, a disponer de variedad en la oferta y durante un periodo de tiempo continuo, así como su grado de concentración que determinará la forma de pago tradicionalmente aceptada en el sector. Ejemplos: •
Exposición a cambios en el precio de los bienes 10
•
•
•
Dispersión en la oferta No determinan la calidad del servicio prestado Incremento del poder de negociación
CLIENTES: Los clientes podrían ser un foco de riesgo crucial para el emprendedor puesto que son los generadores de ingresos, el riesgo puede proceder de cambios en sus gustos y necesidades, de generar presiones a la baja en los precios o de dilatar el periodo de pago entre otros, de modo que la propuesta del valor del emprendedor ha de estar siempre orientada al cliente. Ejemplos: •
•
•
•
Incremento del poder de negociación Falta de fidelidad Cambios sociales y demográficos Estacionalidad y disminución de la demanda
FINANCIERO El riesgo financiero hace referencia a la incertidumbre asociada a la gestión efectiva y al control de las finanzas que lleve a cabo el emprendedor, así como a los efectos de factores externos como la disponibilidad de crédito, tipos de cambio, movimientos de los tipos de interés, etc. Ejemplos: •
•
•
Incapacidad financiera a largo plazo Exposición a cambios en el tipo de interés Desconocimiento de fuentes de financiación ventajosas, subvenciones, etc.
11
4. Componentes Claves de ERM
12
Componentes Claves de ERM
13
5. EL ROL DEL AUDITOR INTERNO EN ERM: Sugiere formas para que los Auditores Internos mantengan su Objetividad e Independencia requeridas por las Normas del IIA cuando provean servicios de aseguramiento y consulta. Objetividad: Actitud mental independiente de llevar a cabo el trabajo con honesta confianza en el producto de su labor y sin comprometer de manera significativa su calidad. No subordinar su juicio al de otros sobre temas de Auditoría Interna. El ERM es el proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos. 5.1 Roles Fundamentales: •
•
•
•
•
•
•
Proveer aseguramiento objetivo a la dirección y a la Junta sobre la Efectividad de la Gestión de Riesgos: Asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente. Asegurar que el Sistema de Control Interno está siendo operado efectivamente. Proveer consejo Motivar y soportar las decisiones gerenciales sobre riesgos No decidir sobre riesgos Documentar responsabilidades de Auditoría Interna en estatutos de Auditoría Interna aprobados por el Comité de Auditoria
14
5.2 Roles Fundamentales de Aseguramiento: •
•
•
•
•
Procesos de Gestión de Riesgos (Diseño y Operación) Riesgos Correctamente evaluados Evaluación de Procesos de Gestión de Riesgos Evaluación de Reporte de Riesgos Claves Revisión de Gestión de Riesgos Claves (incluye efectividad e controles y otras respuestas a éstos)
5.3 Roles Legítimos de Consultoría: •
•
•
•
•
•
•
•
Apoyar a Gerencia en su Trabajo: facilitación, identificación y evaluación de riesgos Herramientas y Técnicas usadas por Auditoría Interna para análisis de Riesgos y Controles Defender el establecimiento del ERM aportando su experiencia en Gestión de Riesgos y en la Organización Entrenamiento a la Gerencia sobre Riesgos y Controles y Respuesta a Riegos Coordinación, monitoreo y Reporte sobre Riesgos Mantenimiento y Desarrollo del Marco de ERM Desarrollo de Estrategias de Gestión de Riesgo para aprobación de la Junta Transferencia de Responsabilidades a la Gerencia
15
6. CLAVES PARA EVALUAR Y AUDITAR UN PROGRAMA ERM Control Presupuestario • Comparación cifras reales/presupuestadas/ reales • Acciones para corregir desvíos (oportunidad y resultado) • Comparación contra competidores y mercado Administración de riesgos • Comparación de riesgos identificados / efectos reales • Acciones para corregir desvíos (oportunidad y resultado) • Comparación contra competidores y Mercado. El Control Presupuestario En este tema se hace hincapié de la importancia del presupuesto como un instrumento de control. Se estudian los procedimientos y funciones del control presupuestario, identifica los elementos del proceso del presupuesto y loas distintos métodos para la realización de los mismos. Administración de Riesgos La administración de riesgos empresarial tiene que satisfacer una serie de parámetros. Debe estar incluida en el sistema de control interno de un negocio, mientras que al mismo tiempo debe respetar, reflejar y responder a los otros controles internos. La administración de riesgos empresarial pretende proteger e incrementar el valor de la acción para satisfacer el objetivo fundamental de la empresa que es la maximización de la inversión del accionista. Debe ser multifacético, tratando todos los aspectos del plan de negocios de la planeación estratégica a través de los controles de la empresa.
16
7. COSO PARA PYMES El Marco de Control Interno COSO para las más pequeñas compañías ha sido aprobado. Fue un documento muy esperado por las empresas más pequeñas en diferentes partes del mundo, ya que estas opinaban que los costos relacionados con el control interno eran directamente proporcionales a la cantidad de requerimientos de COSO y a la complejidad de su implementación. Recién el jueves 11 de julio de 2006 fue puesto en vigencia. Es una versión reducida del marco COSO original emitido en 1992, utilizando menos principios, pero adicionando un sistema de codificación especial para facilitar el cumplimiento de la guía. El fuerte Comité de expertos de las principales instituciones de auditoría interna, contabilidad, fraude y cumplimiento regulatorio que han estado involucrados en su adaptación opinan que "COSO Small Co." es considerablemente más pequeño y más sencillo de interpretar que el marco COSO original. El documento final incluye 20 principios originales incluidos en el borrador, mientras el número de atributos que contienen los principios fue cortado, llevándolo de 113 a 75. El documento ha sido dividido en tres capítulos para que sea más sencillo de comprender, implementar y auditar. Estos capítulos son: •
•
Resumen: Un resumen ejecutivo, proporcionando una visión de alto nivel para la Dirección y la alta gerencia Principios y Ejemplos: Una descripción del control interno sobre la divulgación del reporte financiero en las empresas más pequeñas, principios fundamentales extraídos del marco COSO original con atributos relacionados y ejemplos de cómo una compañía pequeña podría aplicar los principios manteniendo una adecuada relación costo-beneficio. 17
•
Herramientas: Un compendio de herramientas para ayudar a la gerencia a evaluar el control interno. Los Principios COSO para "las más pequeñas".
Principios básicos del informe para alcanzar un efectivo control interno sobre el reporte financiero, el documento indica básicamente que las claves son: Ambiente de Control •
•
•
•
•
•
•
Integridad y Valores Éticos: la sana integridad y los valores éticos, particularmente en la alta gerencia, han sido desarrollados, comprendidos y adoptados, fijando el estándar de conducta para la divulgación financiera. Comité de Dirección: la Junta de Directores entiende y ejercita la responsabilidad por los errores relacionados con el reporte financiero y el control interno. Filosofía de Dirección y Estilo de Gestión. La filosofía del management y el estilo de apoya el alcance de un control interno efectivo sobre el reporte financiero. Estructura Organizativa: la estructura organizativa de la empresa soporta el alcance de un eficaz control interno sobre la información financiera. Competencias para el Adecuado Reporte Financiero: la compañía retiene a los individuos competentes en el reporte financiero y la detección de errores relacionados con dichos reportes. Autoridad y Responsabilidad: el Management y empleados son asignados de acuerdo a adecuados niveles de autoridad y responsabilidad para facilitar un efectivo control interno sobre el reporte financiero. Recursos Humanos: políticas y prácticas de RRHH son diseñadas e implementadas para facilitar un efectivo control interno sobre el reporte financiero.
18
•
•
•
•
Evaluación de Riesgos Objetivos del Reporte Financiero: el Management especifica los objetivos sobre el reporte financiero con suficiente claridad y criterio para permitir la identificación de riesgos sobre la divulgación del reporte financiero. Riesgos del Reporte Financiero. La compañía identifica y analiza los riesgos relacionados con el alcance de los objetivos de divulgación del reporte financiero como base para determinar cómo los riesgos deberían ser manejados. Riesgos de Fraude. El riesgo potencial para la declaración errónea material relacionada con la producción del fraude se considera explícitamente en la identificación de riesgos relacionados con los objetivos de divulgación financiera.
Actividades de Control •
•
•
Integración con la Evaluación de Riesgos. Son tomadas acciones para direccionarlas a los riesgos de alcanzar los objetivos del reporte financiero. Selección y Desarrollo de las Actividades de Control. Las actividades de control son seleccionadas y desarrolladas considerando sus costos y su potencial efectividad para mitigar riesgos de alcanzar los objetivos del adecuado reporte financiero. Políticas y Procedimientos. Políticas relacionadas con la divulgación de información confiable sobre el reporte financiero son establecidas y comunicadas a través de la compañía, con sus correspondientes procedimientos, resultando en que dichas políticas y procedimientos sean llevadas a cabo.
19
•
Tecnología de la Información. Los controles de TI, donde son aplicables, son diseñados e implementados para dar soporte al alcance de los objetivos del reporte financiero.
Información y Comunicación •
•
•
•
Reporte de Información Financiera. La información pertinente es identificada, capturada, utilizada en todos los niveles de la compañía, y distribuida en tiempo y forma tal que contribuya al alcance de los objetivos sobre el reporte financiero. Información sobre el Control Interno. La información utilizada para ejecutar otro componente del control interno es identificada, capturada, y distribuida en tiempo y forma tal que permita que el personal lleve a cabo sus responsabilidades frente al control interno. Comunicación Interna. Las comunicaciones permiten y facilitan la comprensión y ejecución de los objetivos de control, de los procesos y de las responsabilidades individuales frente al control interno, en todos los niveles de la organización. Comunicación Externa. Los temas que podrían afectar el alcance de los objetivos de la información financiera son comunicados a las terceras partes interesadas.
Monitoreo •
•
Evaluaciones Continuas y Puntuales. Evaluaciones permanentes y separadas permiten al management determinar si el control interno está presente y funciona en forma adecuada en el tiempo. Reporte de Deficiencias. Las deficiencias de control interno son identificadas y comunicadas de manera oportuna a las partes responsables de tomar acciones correctivas, a la gerencia y al Directorio.
20
Desearíamos mencionar uno de los principios básicos del Control Interno: "un control no debería tener un costo más elevado que el beneficio que representa su utilización". Por esta razón entendemos que esta guía va a constituir un aspecto fundamental en la búsqueda de las mejores prácticas que las Pymes necesitan para transitar en esta realidad cada vez más competitiva, y donde el principal costo relacionado con el control es no controlar. DETALLE DEL INFORME La finalidad del marco COSO es establecer una definición común del control interno que responda a las necesidades de todas las empresas y otras entidades y definir un modelo o marco de referencia sobre la base del cual las empresas y otras entidades, sin importar su tamaño y naturaleza, puedan evaluar su sistema de control interno. El informe COSO define "control interno" como un proceso efectuado por el Consejo de Administración, la alta dirección y en "cascada" por, el resto del personal de una organización , diseñado para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: •
•
•
Eficacia y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento de las leyes y normas que sean aplicables.
Debemos considerar que el cumplimiento que exige que las organizaciones evalúen la efectividad de los controles internos y los procedimientos para la elaboración de sus reportes financieros en dos importantes niveles que son el control interno a nivel Directivo Control interno a nivel Procedimientos y proceso, transacción y aplicación. Un lugar lógico para comenzar una evaluación general del control interno es la cúspide -el control interno a nivel de empresa o directivo. 21
Esta etapa incluye la revisión de aquellos elementos de los cinco componentes del control interno que tienen un efecto dominante sobre la organización. Estos componentes o "pilares" del control interno, tal como los detalla COSO son: El entorno o ambiente de control es lo que marca la forma de comportamiento de una organización, que influye en la conciencia de control de su personal. Es el fundamento de los demás componentes del control interno, y provee disciplina, estructura e integridad. COSO dice en otras palabras que las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organización un sentido de integridad y concientización sobre el control. Por eso expresa también que algunos indicios de un buen Ambiente de Control pueden ser, entre otros, políticas y procedimientos adecuados y un código de conducta escrito que haga incapié en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad". La evaluación del riesgo es la identificación y el análisis de los riesgos relevantes que corre la empresa para el logro de sus objetivos, conformando la base para determinar cómo se deben administrar los riesgos. Si bien ya está aprobado el "COSO II" o "COSO ERM" (Enterprise Risk Management o Sistema de Gestión del Riesgo), el enfoque COSO que estamos describiendo se refiere a que las organizaciones deben definir sus objetivos, comprender qué podría suceder que impida alcanzar los mismos en forma razonable (riesgos) y qué decisiones empresarias deben tomarse para mantener estos riesgos de acuerdo a los requisitos de los accionistas. Los sistemas de información y comunicación soportan la base para identificar, capturar e intercambiar información en una forma y período de tiempo que permita al personal cumplir con sus responsabilidades. Los sistemas de 22
información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Estos sistemas de información deben ser funcionales para el suministro de información que permita dirigir y controlar el negocio en forma adecuada. Asimismo deben permitir manejar no solo datos internos, sino los generados externamente. Debe existir una comunicación eficaz. Debe fluir en todas las direcciones a través de todos los ámbitos de la organización (de arriba hacia abajo, a la inversa y transversalmente). La dirección debe comunicar a sus empleados claramente que las responsabilidades de control han de tomarse en serio. Cada empleado debe conocer qué papel juega dentro la organización y dentro del sistema de control interno y cómo las actividades individuales están relacionadas con el trabajo de los demás. Deben disponer de medios para comunicar la información significativa a los niveles superiores. Debe existir un sistema de comunicación eficaz con terceros (clientes, proveedores, organismos de control y accionistas). Las Actividades de Control son las políticas y los procedimientos que deben seguirse para tener certeza que las instrucciones de la gerencia con relación a sus riesgos y controles. Las Actividades de Control se distribuyen a lo largo y a lo ancho de la organización, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas tales como: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos, segregación de funciones, etc. Monitoreo o Supervisión es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. Se realiza a través de a) supervisión continuada (desarrollada por las jefaturas, gerencias, dirección como recurso habitual de su responsabilidad frente a sus funciones y al control interno), y b) evaluaciones periódicas puntuales (principalmente mediante la actuación de la auditoría interna, pero también de la externa y otras revisiones 23
dirigidas). Las deficiencias o debilidades de control interno detectadas deberán ser notificadas a niveles superiores, y la alta dirección deberá estar informada de los hallazgos significativos. Trabajando con un marco como el descripto, se logra unificar en primera medida el concepto de Control Interno e inmediatamente los objetivos del control interno. Y es que resulta necesario comprender que Control Interno no constituye un objetivo en sí mismo, sino que es un medio para alcanzar los objetivos organizacionales. Por dicha razón diremos de aquí en más que los objetivos de un adecuado control interno según COSO son: Eficiencia y Eficacia en las Operaciones: se entiende por EFICACIA la capacidad de alcanzar las metas y/o resultados propuestos. En tanto EFICIENCIA debe ser interpretado como la capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo; se refiere básicamente a los objetivos empresariales de rendimiento y rentabilidad y salvaguarda de los recursos. Confiabilidad en la Información generada por la organización. El enfoque pide la elaboración y publicación de Estados Contables confiables. Además, se refiere a estados contables intermedios (trimestrales) y toda otra información que deba ser publicada según los requerimientos de la SEC. Abarca también la información de gestión de uso interno de interés para la Dirección y terceros. Cumplimiento de la ley, normativa y regulaciones aplicables a la organización. COSO instruye su cumplimiento ("compliance") a fin de evitar efectos perjudiciales para la reputación de la organización, contingencias, otros eventos de pérdidas y demás consecuencias negativas. •
•
•
24
CONCLUSIONES Un programa ERM debe contribuir a: •
Formular y comunicar mejor los objetivos.
•
Identificar y ponderar mejor los riesgos.
•
Optimizar el menú de controles y acciones para mitigar riesgos
•
Alinear procesos con estrategia.
•
Optimizar la estrategia y obtener mejores resultados económicos.
25
BIBLIOGRAFIA Libro y procedimientos de Auditoria I Autor Licenciado Leonel Perdomo Paginas consultadas 6 a la 15. Diccionario Enciclopédico Océano Edición 1998 Enlaces electrónicos de consulta www.buenastareas.com www.biblioteca.usac.edu.gt
26