curso “marco integrado de control interno coso 2013 - cuarta clase” - dr. miguel aguilar...
TRANSCRIPT
10
LA ORGANIZACIÓN DEFINE
Y DESARROLLA
ACTIVIDADES DE CONTROL
QUE CONTRIBUYE A LA
MITIGACIÓN DE LOS
RIESGOS HASTA NIVELES
ACEPTABLES PARA LA
CONSECUCIÓN DE LOS
OBJETIVOS.
48. SE INTEGRA CON LA EVALUACIÓN DE RIESGOS:
LAS ACTIVIDADES DE CONTROL CONTRIBUYEN A GARANTIZAR QUE LAS
RESPUESTAS DADAS PARA ABORDAR Y MITIGAR RIESGOS ESPECÍFICOS SE
LLEVAN A CABO DE MANERA EFICAZ.
49. TIENE EN CUENTA FACTORES ESPECÍFICOS DE LA ORGANIZACIÓN EN
CUESTIÓN:
LA DIRECCIÓN TENDRÁ EN CUENTA CÓMO AFECTAN A LA SELECCIÓN Y AL
DESARROLLO DE LAS ACTIVIDADES DE CONTROL FACTORES TALES COMO EL
ENTORNO, LA COMPLEJIDAD, LA NATURALEZA Y EL ALCANCE DE SUS
OPERACIONES ASÍ COMO LAS CARACTERÍSTICAS ESPECÍFICAS DE SU
ORGANIZACIÓN.
50. DETERMINA LOS PROCESOS DEL NEGOCIO RELEVANTES:
LA DIRECCIÓN DETERMINA QUÉ PROCESOS DE NEGOCIO RELEVANTES
REQUIEREN LA IMPLEMENTACIÓN DE ACTIVIDADES DE CONTROL.
51. EVALÚA DISTINTOS TIPOS DE ACTIVIDADES DE CONTROL:
ENTRE LAS ACTIVIDADES DE CONTROL SE INCLUYEN UNA AMPLIA VARIEDAD
DE CONTROLES, ENTRE LOS CUALES SE PUEDE APLICAR UN EQUILIBRIO DE
ENFOQUES Y METODOLOGÍAS PARA MITIGAR LOS RIESGOS, TENIENDO EN
CUENTA TANTO CONTROLES MANUALES COMO AUTOMATIZADOS Y
CONTROLES PREVENTIVOS Y DE DETECCIÓN.
52. TIENE EN CUENTA A QUÉ NIVEL SE APLICAN LAS ACTIVIDADES:
LA DIRECCIÓN TIENE EN CUENTA LAS ACTIVIDADES DE CONTROL A LOS
DISTINTOS NIVELES DE LA ORGANIZACIÓN.
53. ABORDA LA SEGREGACIÓN DE FUNCIONES:
LA DIRECCIÓN DISTRIBUYE AQUELLAS RESPONSABILIDADES QUE SEAN
INCOMPATIBLES Y EN CASO DE QUE NO SEA PRÁCTICO LLEVAR A CABO UNA
SEGREGACIÓN DE FUNCIONES, LA DIRECCIÓN SELECCIONA Y DESARROLLA
ACTIVIDADES DE CONTROL ALTERNATIVAS.
LAS ACTIVIDADES DE CONTROL SOPORTAN TODOS LOS COMPONENTES DE CONTROL
INTERNO, PERO SE ENCUENTRAN ESPECIALMENTE ALINEADAS CON EL
COMPONENTE DE EVALUACIÓN DE RIESGOS.
JUNTO CON LA EVALUACIÓN DE RIESGOS, LA DIRECCIÓN IDENTIFICARÁ Y PONDRÁ
EN MARCHA LAS ACCIONES NECESARIAS PARA LLEVAR A CABO RESPUESTAS ANTE
RIESGOS ESPECÍFICOS.
POR LO GENERAL, LAS ACTIVIDADES DE CONTROL NO SON NECESARIAS CUANDO
UNA ORGANIZACIÓN OPTA POR ACEPTAR O BIEN EVITAR UN RIESGO ESPECÍFICO.
EMPERO, PUEDE QUE EXISTAN CASOS EN LOS QUE UNA ORGANIZACIÓN DECIDA
EVITAR UN RIESGO Y OPTE POR DESARROLLAR ACTIVIDADES DE CONTROL CON EL
FIN DE EVITAR DICHO RIESGO.
LAS MEDIDAS PARA REDUCIR O COMPARTIR UN RIESGO SERVIRÁN COMO PUNTO DE
ATENCIÓN PARA SELECCIONAR Y DESARROLLAR ACTIVIDADES DE CONTROL.
LA NATURALEZA Y EL GRADO DE DICHA RESPUESTA ASÍ COMO LAS ACTIVIDADES DE
CONTROL RELACIONADAS DEPENDERÁN, AL MENOS EN PARTE, DEL NIVEL DESEADO
DE MITIGACIÓN DEL RIESGO ACEPTABLE PARA LA DIRECCIÓN.
LAS ACTIVIDADES DE CONTROL SON AQUELLAS ACCIONES QUE CONTRIBUYEN A
GARANTIZAR QUE LAS RESPUESTAS DADAS A LOS RIESGOS EVALUADOS, ASÍ COMO
OTRAS ACCIONES DE LA DIRECCIÓN, COMO PUEDE SER EL ESTABLECIMIENTO DE
NORMAS DE CONDUCTA EN EL ENTORNO DE CONTROL, SE LLEVAN A CABO DE
FORMA ADECUADA Y EN EL MOMENTO OPORTUNO.
1. LAS RESPUESTAS DEBEN SER EVALUADAS EN FUNCIÓN DE ALCANZAR EL RIESGO RESIDUAL
ALINEADO CON LOS NIVELES DE TOLERANCIA AL RIESGO.
2. RECONOCER LA EXISTENCIA DEL RIESGO.
EVITAR
ACEPTAR
REDUCIR
EVALUACIÓN
Y SELECCIÓN
DE
RESPUESTAS
EVITAR: MITIGAR EL RIESGO
REDUCIR: ESTABLECER UN CONTROL
COMPARTIR EL RIESGO.
1. EVITARLO
TOMAR ACCIONES A FIN DE DISCONTINUAR LAS
ACTIVIDADES QUE GENERAN RIESGO.
EJEMPLO:
UN DISTRIBUIDOR AUTORIZADO DE PRONACA,
VENDE UN PRODUCTO EN MALAS CONDICIONES,
CONVIRTIÉNDOLO EN UN PRODUCTO
ALIMENTICIO ALTAMENTE RIESGOSO PARA EL
CONSUMO.
RIESGO:
QUE LOS CLIENTES NO COMPREN MÁS
PRODUCTOS PRONACA.
RESPUESTA:
SACAR DEL MERCADO AQUELLOS PRODUCTOS
QUE DAÑADOS O EN MALAS CONDICIONES, A FIN
DE EVITAR QUE LOS CLIENTES PIERDAN SU
FIDELIDAD CON LA MARCA Y EVITANDO ADEMÁS
POSIBLES IMPORTANTES DISMINUCIONES EN
VOLÚMENES DE VENTA, EN INGRESOS
OBTENIDOS Y ASÍ LOGRAR SOSTENER LA IMAGEN
Y CALIDAD DE LA ORGANIZACIÓN
2. REDUCIRLO
TOMAR ACCIONES PARA REDUCIR EL IMPACTO, LA PROBABILIDAD DE OCURRENCIA DEL RIESGO O
AMBOS.MITIGAR EL RIESGO IMPLICA REDUCIR A UN UMBRAL ACEPTABLE LA PROBABILIDAD Y/O EL IMPACTO
DE UNEVENTO ADVERSO. ADOPTAR ACCIONES TEMPRANAS PARA REDUCIR LA PROBABILIDAD DE OCURRENCIA
DE UNRIESGO Y/O SU IMPACTO SOBRE LA ORGANIZACIÓN, A MENUDO ES MÁS EFECTIVO QUE TRATAR DE
REPARAR ELDAÑO DESPUÉS DE OCURRIDO EL RIESGO.
EJEMPLOS DE ACCIONES TENDIENTES A MITIGAR UN RIESGO SON ADOPTAR PROCESOS MENOS
COMPLEJOS,EFECTUAR MÁS PRUEBAS O SELECCIONAR UN PROVEEDOR MÁS ESTABLE. POR EJEMPLO, LA
MITIGACIÓN PUEDEREQUERIR LA CREACIÓN DE UN PROTOTIPO PARA REDUCIR EL RIESGO DE PASAR DE UN
MODELO A ESCALA DE UNPROCESO O PRODUCTO A UNO DE TAMAÑO REAL.
CUANDO NO ES POSIBLE REDUCIR LA PROBABILIDAD, UNA RESPUESTA DE MITIGACIÓN PUEDE ABORDAR EL
IMPACTO DEL RIESGO, DIRIGIÉNDOSE A LOS VÍNCULOS QUE DETERMINAN SU SEVERIDAD. POR EJEMPLO,
DISEÑAR REDUNDANCIA EN UN SISTEMA PUEDE PERMITIR REDUCIR EL IMPACTO CAUSADO POR UN FALLO DEL
COMPONENTE ORIGINAL.
EJEMPLO:
DISTRIBUIDOR AUTORIZADO DE PRONACA, REALIZA VENTAS A CRÉDITO Y DENTRO DE SU CARTERA POSEE
CLIENTES QUE ADQUIEREN CANTIDADES DE PRODUCTOS CONSIDERABLES.
RIESGO:
QUE LOS CLIENTES NO CANCELEN LA DEUDA.
RESPUESTA:
ANALIZAR QUE CLIENTES MERECEN CRÉDITO Y ESTABLECER GARANTÍAS DE QUE LOS MISMOS CANCELEN LA
DEUDA A TRAVÉS DE REFERENCIAS PERSONALES Y/O DOCUMENTOS FIRMADOS SEGÚN EL CASO.
3. COMPARTIRLO
TOMAR ACCIONES PARA REDUCIR EL IMPACTO O LA PROBABILIDAD DE OCURRENCIA AL TRANSFERIR O
COMPARTIR UNA PORCIÓN EL RIESGO.
TRANSFERIR EL RIESGO REQUIERE TRASLADAR A UN TERCERO TODO O PARTE DEL IMPACTO NEGATIVO DE
UNA AMENAZA, JUNTO CON LA PROPIEDAD DE LA RESPUESTA. LA TRANSFERENCIA DE UN RIESGO
SIMPLEMENTE CONFIERE A UNA TERCERA PERSONA LA RESPONSABILIDAD DE SU GESTIÓN; NO LO ELIMINA.
LA TRANSFERENCIA DELA RESPONSABILIDAD DE UN RIESGO ES MÁS EFECTIVA CUANDO SE TRATA DE LA
EXPOSICIÓN A RIESGOS FINANCIEROS. TRANSFERIR EL RIESGO CASI SIEMPRE IMPLICA EL PAGO DE UNA
PRIMA DE RIESGO A LA PARTE QUE ASUME EL RIESGO. LAS HERRAMIENTAS DE TRANSFERENCIA PUEDEN
SER BASTANTE DIVERSAS E INCLUYEN, ENTRE OTRAS, EL USO DE SEGUROS, GARANTÍAS DE CUMPLIMIENTO,
FIANZAS, CERTIFICADOS DE GARANTÍA, ETC.
PUEDEN EMPLEARSE CONTRATOS PARA TRANSFERIR A UN TERCERO LA RESPONSABILIDAD DE RIESGOS
ESPECÍFICOS.
POR EJEMPLO, CUANDO UN COMPRADOR DISPONE DE CAPACIDADES QUE EL VENDEDOR NO POSEE, PUEDE
SER PRUDENTE TRANSFERIR CONTRACTUALMENTE AL COMPRADOR PARTE DEL TRABAJO JUNTO CON SUS
RIESGOS CORRESPONDIENTES. EN MUCHOS CASOS, EL USO DE UN CONTRATO DE MARGEN SOBRE EL COSTO
PUEDE TRANSFERIR EL COSTO DEL RIESGO AL COMPRADOR, MIENTRAS QUE UN CONTRATO DE PRECIO FIJO
PUEDE TRANSFERIR EL RIESGO AL VENDEDOR.
EJEMPLO:
DISTRIBUIDOR AUTORIZADO DE PRONACA, EL PERSONAL (VENDEDORES Y RUTEROS) REALIZAN ENTREGAS Y
COBROS EXTERNAMENTE, VALORIZADOS EN SUMAS CONSIDERABLES DE DINERO PARA LA EMPRESA.
RIESGO:
QUE OCURRAN ROBOS Y PERDER EL DINERO.
RESPUESTA:
TIENEN CONTRATADO PÓLIZAS DE SEGUROS CONTRA ROBOS Y/O ASALTOS
4. ACEPTARLO
EL RIESGO SE CONSIDERA UNA FUENTE DE
VENTAJAS COMPETITIVAS QUE DEBE SER
GESTIONADA POR EL EMPRENDEDOR.
SIN ACEPTAR RIESGOS, NO HAY
OPORTUNIDADES.
EL RIESGO SE HALLA INDEFECTIBLEMENTE
UNIDO AL CONCEPTO DE OPORTUNIDAD.
LOS OBJETIVOS EMPRESARIALES SE
ENFOCAN A BUSCAR Y EXPLOTAR
OPORTUNIDADES QUE APORTEN VENTAJAS,
DIFERENCIA Y VALOR.
“QUIÉN NO ARRIESGA, NO GANA”.
QUE LA EMPRESA ASUMA RIESGOS IMPLICA:
a. POR UNA LADO, UNA OPORTUNIDAD, ES
DECIR, LA OBTENCIÓN DE VALOR O LA
PRESERVACIÓN DE VALORES EXISTENTES.
b. DE OTRO LADO, SIGNIFICA UNA POSIBLE
PÉRDIDA EN ALGUNA VARIABLE CLAVE DE
LA EMPRESA.
POR EJEMPLO, SUPONGAMOS QUE UNA
ORGANIZACIÓN ESTABLECE COMO OBJETIVO
OPERATIVO "CUMPLIR O SUPERAR LOS
OBJETIVOS DE VENTAS DURANTE EL
SIGUIENTE EJERCICIO CONTABLE" Y LA
DIRECCIÓN IDENTIFICA EL RIESGO DE QUE EL
PERSONAL DE LA ORGANIZACIÓN TENGA
CONOCIMIENTOS INSUFICIENTES SOBRE LAS
NECESIDADES ACTUALES Y POTENCIALES DE
LOS CLIENTES.
LA RESPUESTA DE DIRECCIÓN PARA ABORDAR
ÉSTE RIESGO IDENTIFICADO INCLUIRÁ EL
DESARROLLO DE ARGUMENTOS DE COMPRA
CONVINCENTES PARA LOS CLIENTES
EXISTENTES Y LA REALIZACIÓN DE ESTUDIOS
DE MERCADO PARA QUE LA ORGANIZACIÓN
INCREMENTE SU COMPRENSIÓN SOBRE CÓMO
ATRAER A POTENCIALES CLIENTES.
LAS ACTIVIDADES DE CONTROL PODRÍAN
INCLUIR EL SEGUIMIENTO DEL DESARROLLO
DE ESTOS ARGUMENTOS DE COMPRA CON
RESPECTO A UN CALENDARIO ESTABLECIDO Y
LA ADOPCIÓN DE MEDIDAS PARA GARANTIZAR
LA CALIDAD DE LOS DATOS DE MARKETING
PRESENTADOS.
PROCESOS DE NEGOCIO RELEVANTES
A LA HORA DE DETERMINAR QUÉ MEDIDAS A ADOPTAR PARA MITIGAR UN RIESGO,
LA DIRECCIÓN DEBERÁ TENER EN CUENTA TODOS LOS ASPECTOS DE LOS
COMPONENTES DEL CONTROL INTERNO DE LA ORGANIZACIÓN Y LOS PROCESOS DE
NEGOCIO RELEVANTES, LAS TECNOLOGÍAS DE INFORMACIÓN Y LOS
EMPLAZAMIENTOS EN LOS QUE SE NECESITAN ACTIVIDADES DE CONTROL.
ESTO PUEDE EXIGIR QUE SE TENGAN EN CUENTA ACTIVIDADES DE CONTROL MÁS
ALLÁ DE LA UNIDAD OPERATIVA, INCLUIDOS POR EJEMPLO LOS CENTROS DE DATOS
O SERVICIOS COMPARTIDOS Y PROCESOS O FUNCIONES LLEVADAS A CABO POR
PROVEEDORES DE SERVICIOS EXTERNALIZADOS.
POR EJEMPLO, PUEDE QUE SEA NECESARIO QUE LAS ORGANIZACIONES
ESTABLEZCAN ACTIVIDADES DE CONTROL PARA ABORDAR LA INTEGRIDAD DE LA
INFORMACIÓN REMITIDA Y RECIBIDA DE LOS PROVEEDORES DE SERVICIOS
EXTERNALIZADOS.
LA DIRECCIÓN DEBERÁ TENER EN CUENTA:
DADO QUE CADA ORGANIZACIÓN TIENE UN
CONJUNTO ESPECÍFICO DE OBJETIVOS Y DE
METODOLOGÍAS DE IMPLEMENTACIÓN,
EXISTIRÁN DIFERENCIAS EN LOS OBJETIVOS,
RIESGOS, RESPUESTAS ANTE DICHOS RIESGOS Y
ACTIVIDADES DE CONTROL RELACIONADAS.
INCLUSO EN EL CASO DE QUE DOS
ORGANIZACIONES CUENTEN CON ESTRUCTURAS
Y OBJETIVOS IDÉNTICOS, SUS ACTIVIDADES DE
CONTROL PODRÍAN SER DIFERENTES.
CADA ORGANIZACIÓN ESTÁ GESTIONADA POR
INDIVIDUOS DIFERENTES, QUE TIENEN
HABILIDADES DISTINTAS, Y UTILIZAN SU
CRITERIO PROFESIONAL DE FORMA ESPECÍFICA A
LA HORA DE LLEVAR A CABO EL CONTROL
INTERNO.
DE IGUAL MANERA, LOS CONTROLES REFLEJAN
EL ENTORNO Y EL SECTOR EN EL QUE OPERA
UNA ORGANIZACIÓN, ASÍ COMO LA COMPLEJIDAD
DE SU ORGANIZACIÓN, SU TRAYECTORIA
HISTÓRICA, Y SU CULTURA, NATURALEZA Y
ALCANCE DE SUS OPERACIONES.
LOS FACTORES ESPECÍFICOS DE CADA ORGANIZACIÓN PUEDEN AFECTAR A LAS
ACTIVIDADES DE CONTROL NECESARIAS PARA RESPALDAR EL SISTEMA DE CONTROL
INTERNO. POR EJEMPLO:
EL ENTORNO Y LA COMPLEJIDAD DE UNA ORGANIZACIÓN, ASÍ COMO LA
NATURALEZA Y EL ALCANCE DE SUS OPERACIONES, TANTO FÍSICA COMO
LÓGICAMENTE, AFECTAN A SUS ACTIVIDADES DE CONTROL.
LAS ORGANIZACIONES QUE ESTÁN ALTAMENTE REGULADAS SUELEN TENER POR LO
GENERAL UNAS ACTIVIDADES DE CONTROL Y UNAS RESPUESTAS ANTE LOS RIESGOS
MÁS COMPLEJAS QUE LAS ORGANIZACIONES QUE DISPONEN DE UNA MENOR
REGULACIÓN.
EL ALCANCE Y LA NATURALEZA DE LAS RESPUESTAS DADAS A LOS RIESGOS Y DE LAS
ACTIVIDADES DE CONTROL EN EL CASO DE LAS ORGANIZACIONES MULTINACIONALES
CON UNA AMPLIA GAMA DE OPERACIONES ABORDAN GENERALMENTE UNA
ESTRUCTURA DE CONTROL INTERNO MÁS COMPLEJA QUE EN EL CASO DE LAS
ORGANIZACIONES NACIONALES CON ACTIVIDADES MENOS VARIADAS.
UNA ORGANIZACIÓN QUE DISPONGA DE UN SISTEMA ERP (PLANIFICACIÓN DE
RECURSOS CORPORATIVOS) SOFISTICADO TENDRÁ UNAS ACTIVIDADES DE
CONTROL DIFERENTES A LAS DE UNA ORGANIZACIÓN QUE UTILICE EL SISTEMA
CONTABLE PROPORCIONADO POR UN SOFTWARE COMERCIAL.
DE IGUAL MANERA, UNA ORGANIZACIÓN CON UNAS OPERACIONES
DESCENTRALIZADAS Y UN MAYOR ÉNFASIS EN LA INNOVACIÓN Y AUTONOMÍA
LOCALES PRESENTARÁ UNAS CIRCUNSTANCIAS DE CONTROL DIFERENTES A LAS
QUE PUEDA PRESENTAR UNA ORGANIZACIÓN CUYAS OPERACIONES SEAN
CONSTANTES Y ALTAMENTE CENTRALIZADAS.
1
2
5
4
3
LOS PROCESOS DE NEGOCIO SE ESTABLECEN A TODOS LOS NIVELES DE LA ORGANIZACIÓN PARA
PERMITIR QUE LA ORGANIZACIÓN PUEDA LOGRAR SUS OBJETIVOS. ESTOS PROCESOS DE
NEGOCIO PUEDEN SER COMUNES A TODAS LAS ORGANIZACIONES (COMO ES EL CASO DEL
PROCESAMIENTO DE COMPRAS, CUENTAS A PAGAR O VENTAS) O BIEN PODRÁN SER EXCLUSIVAS
DE UN SECTOR EN PARTICULAR (COMO PUEDAN SER EL PROCESAMIENTO DE SINIESTROS DE UNA
ORGANIZACIÓN ASEGURADORA, LOS SERVICIOS FIDUCIARIOS EN UNA ORGANIZACIÓN
FINANCIERA O LAS OPERACIONES DE PERFORACIÓN DE UNA COMPAÑÍA PETROLERA).
CADA UNO DE ESTOS PROCESOS TRANSFORMA UNOS INSUMOS EN UNOS PRODUCTOS MEDIANTE
UNA SERIE DE TRANSACCIONES O ACTIVIDADES.
LAS ACTIVIDADES DE CONTROL QUE RESPALDAN DIRECTAMENTE LAS ACTUACIONES PARA
MITIGAR LOS RIESGOS DEL PROCESAMIENTO DE TRANSACCIONES EN LOS PROCESOS DE NEGOCIO
DE UNA ORGANIZACIÓN A MENUDO SE DENOMINAN "CONTROLES DE APLICACIONES" O
"CONTROLES DE TRANSACCIONES".
LOS CONTROLES DE TRANSACCIONES SON LAS ACTIVIDADES DE CONTROL MÁS FUNDAMENTALES
DE UNA ORGANIZACIÓN YA QUE ABORDAN DIRECTAMENTE LAS RESPUESTAS DADAS ANTE
DETERMINADOS RIESGOS EN LOS PROCESOS DE NEGOCIO ESTABLECIDOS PARA CUMPLIR LOS
OBJETIVOS DE LA DIRECCIÓN.
ES PROBABLE QUE UN PROCESO DE NEGOCIO ABARQUE MÚLTIPLES OBJETIVOS Y SUB
OBJETIVOS, CADA UNO DE LOS CUALES TENDRÁ SU PROPIO CONJUNTO DE RIESGOS Y
RESPUESTAS ANTE DICHOS RIESGOS. UNA FORMA HABITUAL DE CONSOLIDAR ESTOS RIESGOS DE
PROCESOS DE NEGOCIO EN UN MODELO MÁS GESTIONABLE CONSISTE EN AGRUPARLOS
CONFORME A LOS OBJETIVOS DEL PROCESAMIENTO DE LA INFORMACIÓN DE LA INTEGRIDAD,
PRECISIÓN Y VALIDEZ.
LOS CONTROLES DE TRANSACCIONES SE SELECCIONAN Y SE DESARROLLAN EN AQUELLOS
ÁMBITOS DONDE PUEDAN ENCONTRARSE LOS PROCESOS DE NEGOCIO, DESDE EL PROCESO DE
CONSOLIDACIÓN FINANCIERA DE LA ORGANIZACIÓN A NIVEL DE ORGANIZACIÓN HASTA EL
PROCESO DE ATENCIÓN AL CLIENTE EN UNA UNIDAD OPERATIVA ESPECÍFICA.
TAMBIÉN PUEDEN IMPLEMENTARSE
CONTROLES A TRAVÉS DE LAS
TRANSACCIONES, POR EJEMPLO
SOLICITANDO UNA CLAVE AL
REQUERIR EL PROCESAMIENTO DE
UNA TRANSACCIÓN DETERMINADA.
A CONTINUACIÓN INCLUIMOS LAS DEFINICIONES DE OBJETIVOS DE PROCESAMIENTO
DE LA INFORMACIÓN QUE SE UTILIZAN EN EL PRESENTE MARCO.
EL RIESGO DE QUE UNA TRANSACCIÓN SE PROCESE EN UN PLAZO DIFERENTE AL CORRECTO
PODRÁ VALORARSE COMO UN RIESGO SEPARADO O BIEN INCLUIRSE COMO PARTE DEL OBJETIVO
DE PROCESA MIENTO DE LA INFORMACIÓN DE LA INTEGRIDAD O PRECISIÓN. LOS SISTEMAS DE
ACCESO RESTRINGIDO SON UN ASPECTO IMPORTANTE PARA LA MAYORÍA DE PROCESOS DE
NEGOCIO Y A MENUDO SE INCLUYEN COMO UN OBJETIVO DE PROCESAMIENTO DE LA
INFORMACIÓN PORQUE, SI NO SE RESTRINGIERA EL ACCESO DE FORMA OPORTUNA A LAS
TRANSACCIONES EN UN PROCESO DE NEGOCIO, LAS ACTIVIDADES DE CONTROL EN DICHO
PROCESO DE NEGOCIO PODRÍAN SER ANULADAS Y LA SEGREGACIÓN DE FUNCIONES PODRÍA
FALLAR.
EL ACCESO RESTRINGIDO ES ESPECIALMENTE IMPORTANTE CUANDO LA TECNOLOGÍA ES UNA
PARTE INTEGRAL DE LOS PROCESOS O ACTIVIDADES DE UNA ORGANIZACIÓN. POR EJEMPLO,
MUCHAS ORGANIZACIONES UTILIZAN APLICACIONES ERP, LA CONFIGURACIÓN DE LA SEGURIDAD
EN ESTAS APLICACIONES PARA ABORDAR EL ACCESO RESTRINGIDO PUEDE RESULTAR MUY
COMPLEJA Y REQUIERE DE UNOS CONOCIMIENTOS TÉCNICOS AVANZADOS Y UN ENFOQUE
ESTRUCTURADO. LAS CONSIDERACIONES DEL ACCESO RESTRINGIDO SE ANALIZAN CON MAYOR
DETENIMIENTO EN EL APARTADO RELATIVO A PROCESOS DE GESTIÓN DE LA SEGURIDAD DEL
PRINCIPIO 11.
SI BIEN LOS OBJETIVOS DE PROCESAMIENTO DE INFORMACIÓN SE ASOCIAN MÁS A MENUDO CON
LAS TRANSACCIONES Y LOS PROCESOS FINANCIEROS, EL CONCEPTO SE PUEDE APLICAR A
CUALQUIER ACTIVIDAD DE UNA ORGANIZACIÓN. POR EJEMPLO, UN FABRICANTE DE GOLOSINAS
HARÁ TODO LO POSIBLE POR CONTAR CON ACTIVIDADES DE CONTROL QUE CONTRIBUYAN A
GARANTIZAR QUE TODOS LOS INGRE DIENTES DE SUS PRODUCTOS SE INCLUYEN EN EL PROCESO
DE ELABORACIÓN DE LOS MISMOS (INTEGRIDAD), DE ACUERDO CON LAS CANTIDADES ADECUADAS
(PRECISIÓN) Y A PARTIR DE LOS PROVEEDORES AUTORIZADOS CUYOS PRODUCTOS HAYAN
APROBADO LAS PERTINENTES PRUEBAS DE CALIDAD (VALIDEZ).
OTRO CLARO EJEMPLO DE LO ANTERIOR, ES QUE LOS OBJETIVOS DE
PROCESAMIENTO DE LA INFORMACIÓN Y LAS ACTIVIDADES DE CONTROL
RELACIONADAS TAMBIÉN SON APLICABLES A LOS PROCESOS DE TOMA DE DECISIÓN
ADOPTADOS POR LA DIRECCIÓN CON RESPECTO A LAS ESTIMACIONES Y JUICIOS DE
VALOR CRÍTICOS ADOPTADOS CONFORME A SU CRITERIO PROFESIONAL.
EN ESTA SITUACIÓN, LA DIRECCIÓN DEBERÁ TENER EN CUENTA LA INTEGRIDAD DE
LA IDENTIFICACIÓN DE LOS FACTORES SIGNIFICATIVOS QUE AFECTEN A LAS
ESTIMACIONES CON RESPECTO A LAS CUALES LA ORGANIZACIÓN DEBE
DESARROLLAR Y RESPALDAR LAS HIPÓTESIS ADOPTADAS. DE IGUAL MANERA, LA
DIRECCIÓN DEBERÁ TENER EN CUENTA LA VALIDEZ Y RAZONABILIDAD DE DICHAS
HIPÓTESIS Y LA PRECISIÓN DE SUS MODELOS DE ESTIMACIÓN.
ESTO NO QUIERE DECIR QUE SI LA DIRECCIÓN TIENE EN CUENTA LOS OBJETIVOS DE
PROCESAMIENTO DE LA INFORMACIÓN, LA ORGANIZACIÓN NUNCA ADOPTARÁ
ESTIMACIONES O JUICIOS DE VALOR ERRÓNEOS; LAS ESTIMACIONES Y LOS JUICIOS
DE VALOR ADOPTADOS CONFORME AL CRITERIO PROFESIONAL ESTARÁN SIEMPRE
SUJETOS AL ERROR HUMANO.
SIN EMBARGO, CUANDO SE DISPONGA DE UNAS ACTIVIDADES DE CONTROL
APROPIADAS, Y LA INFORMACIÓN QUE UTILICE LA DIRECCIÓN SEA, BAJO SU
CRITERIO PROFESIONAL, ÍNTEGRA, PRECISA Y VÁLIDA, ENTONCES LA
PROBABILIDAD DE TOMAR MEJORES DECISIONES SERÁ MAYOR.
SE PUEDEN SELECCIONAR Y DESARROLLAR UNA AMPLIA GAMA DE ACTIVIDADES
DE CONTROL DE TRANSACCIONES, ENTRE LAS CUALES SE INCLUYEN LAS
SIGUIENTES:
1. AUTORIZACIONES Y APROBACIONES:
UNA AUTORIZACIÓN CONFIRMA QUE UNA TRANSACCIÓN ES VÁLIDA (ES DECIR,
REPRESENTA UN EVENTO ECONÓMICO REAL O QUE SE ENCUENTRA DENTRO
DE LA POLÍTICA DE UNA ORGANIZACIÓN). UNA AUTORIZACIÓN NORMALMENTE
SE EXPRESA MEDIANTE UN PERMISO PROPORCIONADO POR UN NIVEL
SUPERIOR DE LA DIRECCIÓN O A TRAVÉS DE LA VERIFICACIÓN Y
DETERMINACIÓN DE QUE LA TRANSACCIÓN ES VÁLIDA.
POR EJEMPLO, UN SUPERVISOR AUTORIZARÁ UN INFORME DE GASTOS UNA
VEZ QUE HAYA REVISADO QUE LOS GASTOS PARECEN RAZONABLES Y SE
ENCUENTRAN DENTRO DE LOS LÍMITES DE LA POLÍTICA ESTABLECIDA. UN
EJEMPLO DE UNA AUTORIZACIÓN AUTOMATIZADA SE PRODUCE CUANDO EL
COSTE UNITARIO DE UNA FACTURA SE COMPARA AUTOMÁTICAMENTE CON EL
COSTE UNITARIO DE LA ORDEN DE COMPRA RELACIONADA DE ACUERDO CON
UN NIVEL DE TOLERANCIA PREESTABLECIDO. LAS FACTURAS QUE SE SITÚAN
DENTRO DEL NIVEL DE TOLERANCIA SON AUTORIZADAS AUTOMÁTICAMENTE
PARA ACCEDER A SU PAGO.
AQUELLAS FACTURAS QUE SE ENCUENTREN FUERA DEL NIVEL DE TOLERANCIA SERÁN
MARCADAS DE MANERA ESPECÍFICA PARA QUE SE PROCEDA A REALIZAR UNA INVESTIGACIÓN
ADICIONAL.
VERIFICACIONES:
LAS VERIFICACIONES COMPARAN DOS O MÁS ELEMENTOS ENTRE SÍ O BIEN COMPARAN UN ELEMENTO
CON UNA POLÍTICA, Y LLEVAN A CABO UN SEGUIMIENTO CUANDO LOS DOS ELEMENTOS EN CUESTIÓN
NO COINCIDEN O EL ELEMENTO NO ES COHERENTE CON LA POLÍTICA. ENTRE LOS EJEMPLOS DE ESTE
TIPO DE VERIFICACIÓN SE PUEDEN INCLUIR LOS ANÁLISIS DE IDONEIDAD Y LAS COMPROBACIONES
AUTOMATIZADAS. LAS VERIFICACIONES NORMALMENTE ABORDAN LA INTEGRIDAD, PRECISIÓN O
VALIDEZ DEL PROCESAMIENTO DE LAS TRANSACCIONES.
CONTROLES FÍSICOS:
LOS EQUIPOS, EXISTENCIAS, VALORES, EFECTIVO Y OTROS BIENES O ACTIVOS SE GARANTIZAN DE
MANERA FÍSICA (POR EJEMPLO, EN DEPÓSITOS DE ALMACENAMIENTO PROTEGIDOS BAJO LLAVE O
CON VIGILANCIA EN LOS QUE EL ACCESO FÍSICO ESTÁ RESTRINGIDO A PERSONAL AUTORIZADO) Y SE
CONTABILIZAN PERIÓDICAMENTE Y SE COMPARAN CON LOS IMPORTES REFLEJADOS EN LOS
REGISTROS Y DOCUMENTO DE CONTROL.
CONTROLES SOBRE DATOS VIGENTES:
LOS DATOS VIGENTES, COMO PUEDA SER POR EJEMPLO EL ARCHIVO MAESTRO DE PRECIOS DE UNA
ORGANIZACIÓN, SE UTILIZAN A MENUDO PARA RESPALDAR EL PROCESAMIENTO DE TRANSACCIONES
DENTRO DE UN PROCESO DE NEGOCIO. LA ORGANIZACIÓN DISPONE DE UNA SERIE DE ACTIVIDADES DE
CONTROL SOBRE LOS PROCESOS PARA INCLUIR LA INFORMACIÓN CORRESPONDIENTE, ACTUALIZAR
DICHA INFORMACIÓN Y MANTENER LA PRECISIÓN, INTEGRIDAD Y VALIDEZ DE LA MISMA.
RECONCILIACIONES:
LAS RECONCILIACIONES COMPARAN DOS O MÁS ELEMENTOS DE DATOS Y, EN CASO DE QUE SE
IDENTIFIQUEN DIFERENCIAS, SE ADOPTARÁN MEDIDAS PARA ACORDAR LOS DATOS DEFINITIVOS. POR
EJEMPLO, SE LLEVARÁ A CABO UNA CONCILIACIÓN DIARIA SOBRE LOS FLUJOS DE EFECTIVO DIARIOS
CON RESPECTO A LAS POSICIONES NETAS NOTIFICADAS POR LA CASA MATRIZ PARA SU
TRANSFERENCIA E INVERSIÓN DIARIA. LAS CONCILIACIONES NORMALMENTE ABORDAN LA
INTEGRIDAD, PRECISIÓN Y/O VALIDEZ DEL PROCESAMIENTO DE LAS TRANSACCIONES.
1
2
3
4
5
CONTROLES DE SUPERVISIÓN:
LOS CONTROLES DE SUPERVISIÓN EVALÚAN SI SE HAN LLEVADO A CABO OTRAS ACTIVIDADES DE
CONTROL DE TRANSACCIONES (ESTO ES, VERIFICACIONES ESPECÍFICAS, CONCILIACIONES,
AUTORIZACIONES Y APROBACIONES, CONTROL SOBRE DATOS VIGENTES Y ACTIVIDADES DE CONTROL
FÍSICO) DE FORMA ÍNTEGRA, PRECISA Y DE ACUERDO CON LOS PROCEDIMIENTOS Y POLÍTICAS. LA
DIRECCIÓN NORMALMENTE UTILIZA SU CRITERIO PROFESIONAL PARA SELECCIONAR Y DESARROLLAR
CONTROLES DE SUPERVISIÓN SOBRE LAS TRANSACCIONES DE MAYOR RIESGO.
POR EJEMPLO, UN SUPERVISOR PODRÁ REVISAR SI UNO DE LOS INTEGRANTES DEL EQUIPO DE
CONTABILIDAD HA EFECTUADO UNA CONCILIACIÓN DE ACUERDO CON LA POLÍTICA ESTABLECIDA.
ESTE TIPO DE REVISIÓN PUEDE SER UNA REVISIÓN DE ALTO NIVEL (POR EJEMPLO, COMPROBAR SI SE
HA COMPLETADO EL FORMATO DE CONCILIACIÓN CORRESPONDIENTE) O BIEN UNA REVISIÓN MUCHO
MÁS DETALLADA (POR EJEMPLO, COMPROBAR SI SE HA REALIZADO UN SEGUIMIENTO DE
DETERMINADAS PARTIDAS DE CONCILIACIÓN Y SI SE HAN CORREGIDO Y EXPLICADO DE FORMA
OPORTUNA EN SU CASO).
LAS ACTIVIDADES DE CONTROL PUEDEN SER PREVENTIVAS O DE DETECCIÓN, Y LAS
ORGANIZACIONES NORMALMENTE SELECCIONAN UNA COMBINACIÓN DE AMBOS
TIPOS. LA PRINCIPAL DIFERENCIA ES EL MOMENTO EN EL QUE SE PRODUCE LA
ACTIVIDAD DE CONTROL.
UN CONTROL PREVENTIVO:
ESTÁ DISEÑADO PARA EVITAR UN EVENTO O RESULTADO NO PREVISTO EN EL
MOMENTO EN EL QUE SE PRODUCE POR PRIMERA VEZ, POR EJEMPLO: CUANDO SE
REGISTRE INICIALMENTE UNA TRANSACCIÓN FINANCIERA O CUANDO SE INICIE UN
PROCESO DE FABRICACIÓN.
UN CONTROL DE DETECCIÓN:
ESTÁ DISEÑADO PARA IDENTIFICAR UN EVENTO O RESULTADO NO PREVISTO DESPUÉS
DE QUE SE HAYA PRODUCIDO EL PROCESAMIENTO INICIAL PERO ANTES DE QUE SE
HAYA MATERIALIZADO EL OBJETIVO ÚLTIMO DEL MISMO, POR EJEMPLO: AL EMITIR
INFORMES FINANCIEROS O COMPLETAR UN PROCESO DE FABRICACIÓN.
EN AMBOS CASOS, LA PARTE FUNDAMENTAL DE LA ACTIVIDAD DE CONTROL ES LA
ACCIÓN LLEVADA A CABO PARA CORREGIR O EVITAR UN EVENTO O RESULTADO NO
PREVISTO.
A LA HORA DE SELECCIONAR Y DESARROLLAR ACTIVIDADES DE CONTROL, LA
ORGANIZACIÓN TOMARÁ EN CUENTA LA PRECISIÓN DE LA ACTIVIDAD DE CONTROL.
ESTO ES, LO EXACTA QUE SERÁ A LA HORA DE EVITAR O DETECTAR UN EVENTO O
RESULTADO NO PREVISTO.
POR EJEMPLO, SUPONGAMOS QUE EL RESPONSABLE DE COMPRAS DE UNA
ORGANIZACIÓN REVISA TODAS LAS COMPRAS QUE SUPEREN EL IMPORTE DE 1
MILLÓN DE DÓLARES. ESTA ACTIVIDAD DE CONTROL PODRÁ MITIGAR EL RIESGO DE
QUE SE PRODUZCAN ERRORES SUPERIORES A 1 MILLÓN DE DÓLARES,
CONTRIBUYENDO ASÍ A PONER UN LÍMITE A LA EXPOSICIÓN DE LA ORGANIZACIÓN,
PERO NO CUBRIRÁ TODAS LAS TRANSACCIONES REALIZADAS.
POR EL CONTRARIO, UNA COMPROBACIÓN AUTOMATIZADA QUE COMPARE LOS
PRECIOS DE TODOS LOS PEDIDOS DE COMPRA CON EL ARCHIVO MAESTRO DE PRECIOS
Y QUE GENERE UN INFORME DE DIVERGENCIAS QUE SEA REVISADO POR EL
SUPERVISOR DE COMPRAS ABORDARÁ LA PRECISIÓN DE TODAS LAS TRANSACCIONES.
LA PRECISIÓN DE LAS ACTIVIDADES DE CONTROL ESTÁ ESTRECHAMENTE
RELACIONADA CON LA TOLERANCIA AL RIESGO DE LA ORGANIZACIÓN CON RESPECTO
A UN OBJETIVO EN PARTICULAR; ESTO ES: CUANTO MÁS REDUCIDA SEA LA
TOLERANCIA AL RIESGO, MÁS PRECISAS DEBERÁN SER LAS MEDIDAS ADOPTADAS
PARA MITIGAR EL RIESGO Y LAS ACTIVIDADES DE CONTROL RELACIONADAS.
A LA HORA DE SELECCIONAR Y DESARROLLAR ACTIVIDADES DE CONTROL, ES
IMPORTANTE COMPRENDER QUÉ ES LO QUE UN CONTROL EN PARTICULAR ESTÁ
TRATANDO DE CUMPLIR (ESTO ES, LA RESPUESTA ESPECÍFICA A UN RIESGO QUE EL
CONTROL ESTÁ ABORDANDO) Y SI SE HA DESARROLLADO O IMPLANTADO CONFORME
A SU DISEÑO PARA MITIGAR DICHO RIESGO.
POR EJEMPLO, UNA ORGANIZACIÓN CUENTA CON
UN SISTEMA EN EL QUE LAS ÓRDENES DE VENTAS
SE CANALIZAN A TRAVÉS DE UNA COMPROBACIÓN
AUTOMATIZADA O MANUAL QUE CONCUERDA LA
DIRECCIÓN DE FACTURACIÓN Y EL CÓDIGO
POSTAL DEL CLIENTE CON LA INFORMACIÓN
DISPONIBLE EN EL ARCHIVO DE DATOS VIGENTES
DE LOS CLIENTES.
SI ESTA COMPARACIÓN NO CONCUERDA, SE
DEBEN ADOPTAR MEDIDAS CORRECTIVAS.
ESTA ACTIVIDAD DE CONTROL CONTRIBUYE A
LOGRAR EL OBJETIVO DE EXACTITUD EN EL
PROCESAMIENTO DE LA INFORMACIÓN.
SIN EMBARGO, NO AYUDA A LOGRAR EL OBJETIVO
DE PROCESAMIENTO DE INFORMACIÓN DE LA
INTEGRIDAD; ESTO ES, SI TODAS LAS ÓRDENES DE
VENTAS AUTORIZADAS ESTÁN SIENDO
PROCESADAS.
PARA ABORDAR EL ELEMENTO DE LA INTEGRIDAD,
SERÍA NECESARIO LLEVAR A CABO OTRA
ACTIVIDAD DE CONTROL, COMO PUEDA SER LAS
ÓRDENES DE VENTAS AUTORIZADAS CON UNA
SECUENCIA NUMÉRICA Y SU POSTERIOR
COMPROBACIÓN PARA VER SI TODAS ELLAS HAN
SIDO PROCESADAS.
LAS ACTIVIDADES DE CONTROL Y LA TECNOLOGÍA ESTÁN RELACIONADAS ENTRE SÍ DE DOS
MANERAS:
1. LA TECNOLOGÍA RESPALDA LOS PROCESOS DE NEGOCIO:
CUANDO LA TECNOLOGÍA SE INCORPORA A LOS PROCESOS DE NEGOCIO DE LA ORGANIZACIÓN,
POR EJEMPLO A TRAVÉS DE LA AUTO MATIZACIÓN ROBÓTICA EN UNA PLANTA DE
PRODUCCIÓN, ES NECESARIO CONTAR CON ACTIVIDADES DE CONTROL PARA MITIGAR EL
RIESGO Y QUE LA PROPIA TECNOLOGÍA SIGA OPERANDO DE MANERA ADECUADA PARA
RESPALDAR LA CONSECUCIÓN DE LOS OBJETIVOS DE LA ORGANIZACIÓN.
2. TECNOLOGÍA UTILIZADA PARA AUTOMATIZAR LAS ACTIVIDADES DE CONTROL:
MUCHAS ACTIVIDADES DE CONTROL DE UNA ORGANIZACIÓN ESTÁN AUTOMATIZADAS EN
PARTE O EN SU TOTALIDAD MEDIANTE EL USO DE TECNOLOGÍAS. ESTOS PROCEDIMIENTOS SE
CONOCEN COMO ACTIVIDADES DE CONTROL AUTOMATIZADAS O CONTROLES AUTOMATIZADOS
EN EL PRESENTE MARCO.
LOS CONTROLES AUTOMATIZADOS INCLUYEN CONTROLES DE TRANSACCIONES AUTOMATIZADOS
RELACIONADOS CON PROCESOS FINANCIEROS, COMO PUEDA SER EL CASO DE LA COMPROBACIÓN
A TRES BANDAS LLEVADA A CABO DENTRO DE UN SISTEMA ERP QUE RESPALDE LOS SUBPROCESOS
DE COMPRAS Y DE CUENTAS A PAGAR, O LOS CONTROLES AUTOMATIZADOS EN LOS PROCESOS
OPERATIVOS O DE CUMPLIMIENTO, TALES COMO LAS COMPROBACIONES DEL FUNCIONAMIENTO
ADECUADO DE UNA PLANTA DE GENERACIÓN ELÉCTRICA.
"TECNOLOGÍA" ES UN TÉRMINO MUY AMPLIO. EN EL PRESENTE MARCO, SU USO ES APLICABLE A
LA TECNOLOGÍA INFORMATIZADA, LO CUAL INCLUYE AQUELLAS APLICACIONES DE SOFTWARE QUE
FUNCIONEN EN UN EQUIPO INFORMÁTICO, EN SISTEMAS DE CONTROL DE PRODUCCIÓN, ETC.
EN OCASIONES, LA ACTIVIDAD DE CON TROL PUEDE QUE ESTÉ TOTALMENTE AUTOMATIZADA,
COMO POR EJEMPLO CUANDO UN SISTEMA DETECTE UN ERROR EN LA TRANSMISIÓN DE DATOS,
RECHAZANDO DICHA TRANSMISIÓN Y SOLICITANDO AUTOMÁTICAMENTE QUE SE EFECTÚE UNA
NUEVA TRANSMISIÓN.
EN OTRAS OCASIONES, PUEDE QUE EXISTA UNA COMBINACIÓN DE PROCEDIMIENTOS
AUTOMATIZADOS Y MANUALES. POR EJEMPLO, QUE EL SISTEMA DETECTE AUTOMÁTICAMENTE UN
ERROR DE TRANSMISIÓN, PERO QUE ALGUIEN TENGA QUE REPETIR MANUALMENTE DICHA
TRANSMISIÓN.
EN OTROS CASOS, EL CONTROL MANUAL DEPENDERÁ DE LA INFORMACIÓN EXTRAÍDA DE UN
SISTEMA, COMO PUEDAN SER INFORMES GENERADOS AUTOMÁTICAMENTE QUE RESPALDEN LOS
ANÁLISIS DE DATOS PRESUPUESTADOS FRENTE A DATOS REALES.
LA MAYOR PARTE DE LOS PROCESOS DE NEGOCIO CUENTAN CON UNA COMBINACIÓN DE
CONTROLES MANUALES Y CONTROLES AUTOMATIZADOS, DEPENDIENDO DE LA DISPONIBILIDAD DE
TECNOLOGÍAS EN LA ORGANIZACIÓN.
LOS CONTROLES AUTOMATIZADOS SUELEN SER MÁS CONFIABLES, SIEMPRE Y CUANDO SE
IMPLEMENTEN Y FUNCIONEN ADECUADAMENTE LOS CONTROLES GENERALES RELATIVOS A DICHAS
TECNOLOGÍAS (TAL Y COMO SE ANALIZA MÁS ADELANTE EN ESTE CAPÍTULO), DADO QUE SON
MENOS SUSCEPTIBLES A ERRORES HUMANOS O DE CRITERIO PROFESIONAL, Y TAMBIÉN PORQUE
SUELEN SER MÁS EFICIENTES.
FACTURA ELECTRÓNICA
ADEMÁS DE LOS CONTROLES QUE FUNCIONAN AL NIVEL DE PROCESAMIENTO DE TRANSACCIONES,
LA ORGANIZACIÓN DEBE SELECCIONAR Y DESARROLLAR UNA COMBINACIÓN DE ACTIVIDADES DE
CONTROL QUE OPEREN DE MANERA MÁS GENERALIZADA Y QUE NORMALMENTE SE PRODUCIRÁN A
UN NIVEL SUPERIOR EN LA ORGANIZACIÓN. ESTAS ACTIVIDADES DE CONTROL MÁS AMPLIAS
NORMALMENTE SON REVISIONES ANALÍTICAS O ANÁLISIS DE DESEMPEÑO EMPRESARIAL QUE
CONLLEVAN LA REALIZACIÓN DE COMPARACIONES DE DISTINTOS CONJUNTOS DE DATOS
FINANCIEROS U OPERATIVOS.
LAS RELACIONES SERÁN ANALIZADAS E INVESTIGADAS Y SE ADOPTARÁN UNA SERIE DE MEDIDAS
CORRECTIVAS CUANDO ÉSTAS NO ESTÉN EN LÍNEA CON LAS POLÍTICAS O LAS EXPECTATIVAS
ESTABLECIDAS.
LOS CONTROLES DE TRANSACCIONES Y LAS REVISIONES DEL DESEMPEÑO EMPRESARIAL A
DISTINTOS NIVELES FUNCIONAN JUNTAS PARA PROPORCIONAR UN ENFOQUE GRADUAL PARA
ABORDAR LOS RIESGOS DE LA ORGANIZACIÓN Y CONSTITUYEN UNA PIEZA FUNDAMENTAL DE LA
COMBINACIÓN DE CONTROLES EXISTENTES DENTRO DE LA ORGANIZACIÓN.
POR EJEMPLO, UNA UNIDAD OPERATIVA PUEDE CONTAR CON UNA SERIE DE REVISIONES DE
DESEMPEÑO EMPRESARIAL SOBRE EL PROCESO DE COMPRAS QUE INCLUIRÁ UN ANÁLISIS DE LA
VARIACIÓN DE LOS PRECIOS DE COMPRA, EL PORCENTAJE DE PEDIDOS QUE SEAN PEDIDOS DE
COMPRAS ACELERA DAS Y EL PORCENTAJE DE DEVOLUCIONES CON RESPECTO AL TOTAL DE
PEDIDOS DE COMPRA EFECTUADOS. AL ANALIZAR CUALESQUIERA RESULTADOS NO PREVISTOS O
TENDENCIAS INUSUALES, LA DIRECCIÓN PODRÁ DETECTAR AQUELLAS CIRCUNSTANCIAS EN LAS
QUE LOS OBJETIVOS DEL ÁREA DE COMPRAS PUEDE QUE NO SE HAYAN CUMPLIDO.
OTRO TIPO DE REVISIÓN DEL DESEMPEÑO EMPRESARIAL SE PRODUCE CUANDO LA ALTA
DIRECCIÓN LLEVA A CABO REVISIONES DEL DESEMPEÑO REAL CONSEGUIDO FRENTE AL
DESEMPEÑO PRESUPUESTADO, FRENTE A LAS PREVISIONES, A LOS PERÍODOS ANTERIORES Y A
LOS RESULTADOS CONSEGUIDOS POR SUS COMPETIDORES.
LAS PRINCIPALES INICIATIVAS SON ANALIZADAS TALES COMO LOS PROGRAMAS DE MARKETING,
LAS MEJORAS APLICADAS A LOS PROCESOS DE PRODUCCIÓN Y LOS PROGRAMAS DE REDUCCIÓN O
CONTENCIÓN DE COSTES PARA MEDIR HASTA QUÉ PUNTO SE HAN LOGRADO DICHOS OBJETIVOS.
LA DIRECCIÓN REVISARÁ EL ESTATUS DEL NUEVO DESARROLLO DE PRODUCTOS, DE LAS
OPORTUNIDADES DE FORMALIZACIÓN DE NEGOCIOS CONJUNTOS O LAS NECESIDADES DE
FINANCIACIÓN. LAS ACTUACIONES Y MEDIDAS LLEVADAS A CABO POR LA DIRECCIÓN PARA
ANALIZAR Y SUPERVISAR ÉSTE TIPO DE INFORMACIÓN SERÁN ACTIVIDADES DE CONTROL.
EL ALCANCE DE UNA REVISIÓN DEL DESEMPEÑO EMPRESARIAL (ESTO ES, CUÁNTOS RIESGOS
DETALLA DOS CUBRE) SUELE SER MAYOR QUE EN EL CASO DE UN CONTROL DE TRANSACCIONES.
DE IGUAL MANERA, EL ALCANCE DE LA REVISIÓN A TODOS LOS NIVELES DE LA ORGANIZACIÓN
TENDERÁ A SER MAYOR DADO QUE UNA REVISIÓN DEL DESEMPEÑO EMPRESARIAL SE SUELE
EFECTUAR A NIVELES SUPERIORES DE LA ORGANIZACIÓN QUE UN CONTROL DE TRANSACCIONES.
SIN EMBARGO, PARA RESPONDER DE MANERA EFICAZ A UNA SERIE DE RIESGOS, LA REVISIÓN
DEBERÁ SER LO SUFICIENTEMENTE PRECISA PARA DETECTAR TODOS LOS ERRORES QUE SUPEREN
LA TOLERANCIA AL RIESGO ESTABLECIDA.
UN CONTROL DE TRANSACCIONES PUEDE ABORDAR UN ÚNICO RIESGO ESPECÍFICO, MIENTRAS
QUE LA REVISIÓN DEL DESEMPEÑO EMPRESARIAL DE UNA UNIDAD OPERATIVA NORMALMENTE
ABORDARÁ UNA SERIE DE RIESGOS.
POR EJEMPLO, LA REVISIÓN DEL DESEMPEÑO EMPRESARIAL SOBRE LOS PEDIDOS DE COMPRAS
ACELERADAS ABARCARÁ VARIOS RIESGOS DEL PROCESO DE COMPRAS PERO PUEDE QUE NO
ABORDE LOS RIESGOS RELATIVOS A LA PRECISIÓN E INTEGRIDAD DE LAS TRANSACCIONES
ESPECÍFICAS DE SU PROCESAMIENTO.
MUCHAS REVISIONES DEL DESEMPEÑO EMPRESARIAL SON DE DETECCIÓN POR SU PROPIA
NATURALEZA DADO QUE NORMALMENTE SE PRODUCIRÁN UNA VEZ QUE LAS TRANSACCIONES SE
HAYAN EFECTUADO Y HAYAN SIDO PROCESADAS. POR TANTO, SI BIEN ES CIERTO QUE LOS
CONTROLES A NIVEL SUPERIOR SON IMPORTANTES EN LA COMBINACIÓN DE ACTIVIDADES DE
CONTROL LLEVADAS A CABO, RESULTA DIFÍCIL ABORDAR DE FORMA ÍNTEGRA Y EFICIENTE LOS
RIESGOS DE LOS PROCESOS DE NEGOCIO SIN LLEVAR A CABO CONTROLES DE TRANSACCIONES.
LOS CONTROLES FORMALES
TAMBIÉN LLAMADOS CONTROLES DUROS, SON LAS
HERRAMIENTAS DE CONTROL DOCUMENTADAS Y TANGIBLES
USADAS POR UNA ENTIDAD, TALES COMO POLÍTICAS,
PROCEDIMIENTOS, VERIFICACIONES Y SEGREGACIÓN DE
FUNCIONES.
PARA LA EVALUACIÓN DE LOS CONTROLES INFORMALES SE
REQUIERE UNIR ESFUERZOS QUE INVOLUCREN AL ÓRGANO
DE CONTROL INSTITUCIONAL, AUDITORÍA INTERNA O QUIEN
HAGA SUS VECES, TRABAJANDO CONJUNTAMENTE CON LOS
SERVIDORES.
ASÍ MISMO, SE NECESITA LA COOPERACIÓN DE ELLOS PARA
EVALUAR QUÉ TAN BIEN ENTIENDEN SUS TAREAS Y QUÉ TAN
EFECTIVA ES LA COMPRENSIÓN DE LOS CONCEPTOS ESTOS
SON CONTROLES IMPORTANTES Y NO SON FÁCILES DE
PROBAR CON TÉCNICAS TRADICIONALES DE EVALUACIÓN.
LOS CONTROLES INFORMALES
TAMBIÉN LLAMADOS CONTROLES SUAVES, SON MÁS
DIFÍCILES DE EVALUAR, PORQUE ELLOS ABORDAN ASPECTOS
INTANGIBLES DOCUMENTADOS Y/O NO DOCUMENTADOS,
TALES COMO LA COMPETENCIA, VALORES, LIDERAZGO,
ESTILO DE DIRECCIÓN. SIN EMBARGO, TIENEN UN IMPACTO
SOBRE LA EFECTIVIDAD DE LA ESTRUCTURA DEL CONTROL
INTERNO.
LA AUTOVALORACIÓN DEL CONTROL ES UNA HERRAMIENTA QUE FACILITA LA EVALUACIÓN DE LOS
CONTROLES INFORMALES O SUAVES DEBIDO A QUE FOMENTA LA PARTICIPACIÓN DE LOS
SERVIDORES A TRAVÉS DE PREGUNTAS SOBRE TEMAS TALES COMO EL AMBIENTE DE CONTROL, EL
CUAL ES LA BASE EN LA QUE LOS DEMÁS CONTROLES SE FUNDAMENTAN.
LOS CONTROLES INFORMALES O SUAVES SON EVALUADOS A TRAVÉS DEL PROCESO DE
AUTOVALORACIÓN EMPLEANDO LAS SIGUIENTES HERRAMIENTAS:
A LA HORA DE SELECCIONAR Y DESARROLLAR ACTIVIDADES DE CONTROL, LA DIRECCIÓN DEBERÁ
TENER EN CUENTA SI LAS RESPONSABILIDADES HAN SIDO SEGREGADAS, ASIGNADAS O
DISTRIBUIDAS ENTRE DIFERENTES INDIVIDUOS PARA REDUCIR ASÍ EL RIESGO DE ERROR O DE
ACTUACIONES IRREGULARES O FRAUDULENTAS. ESTE TIPO DE CONSIDERACIÓN DEBERÁ INCLUIR
EL ENTORNO LEGAL, LOS REQUISITOS REGULATORIOS Y LAS EXPECTATIVAS DE LAS PARTES
INTERESADAS.
LA SEGREGACIÓN DE FUNCIONES NORMALMENTE CONLLEVA LA ASIGNACIÓN Y DIVISIÓN DE LAS
RESPONSABILIDADES DE REGISTRAR, AUTORIZAR Y APROBAR TRANSACCIONES ASÍ COMO DE
ADMINISTRAR LOS BIENES O ACTIVOS CORRESPONDIENTES.
POR EJEMPLO, UN DIRECTIVO QUE AUTORICE LAS VENTAS A CRÉDITO NO DEBE SER RESPONSABLE
DEL MANTENIMIENTO DE LOS REGISTROS DE LAS CUENTAS A COBRAR NI DE LA ADMINISTRACIÓN
DE LOS COBROS EN EFECTIVO. SI UNA PERSONA ESTÁ FACULTADA PARA LLEVAR A CABO TODAS
ESTAS ACTIVIDADES, DICHO INDIVIDUO PODRÍA, POR EJEMPLO, CREAR VENTAS FICTICIAS QUE
PODRÍAN NO SER DETECTADAS.
DE IGUAL MANERA, EL PERSONAL DE VENTAS NO DEBERÍA TENER AUTORIZACIÓN PARA MODIFICAR
LOS ARCHIVOS DE PRECIOS DE LOS PRODUCTOS O LOS PORCENTAJES DE COMISIÓN.
UNA ACTIVIDAD CONTROL EN ÉSTE ÁMBITO PODRÍA INCLUIR LA REVISIÓN DE LAS SOLICITUDES DE
ACCESO AL SISTEMA PARA DETERMINAR SI SE HA MANTENIDO ESTA SEGREGACIÓN DE FUNCIONES.
POR EJEMPLO, UNA SOLICITUD POR PARTE DE UN MIEMBRO DEL PERSONAL DE VENTAS
PARA ACCEDER AL SISTEMA QUE LE PERMITA MODIFICAR LOS ARCHIVOS DE PRECIOS DE
LOS PRODUCTOS O LOS PORCENTAJES DE COMISIÓN SIEMPRE DEBE SER RECHAZADA.
LA SEGREGACIÓN DE FUNCIONES PUEDE ABORDAR IMPORTANTES RIESGOS RELACIONADOS
CON LA ELUSIÓN DE CONTROLES POR PARTE DE LA DIRECCIÓN. ESTE TIPO DE ELUSIÓN DE
CONTROLES PUEDE HACER POSIBLE QUE LA DIRECCIÓN EVITE LOS CONTROLES
EXISTENTES Y A MENUDO SE UTILIZA ÉSTE MÉTODO COMO MECANISMO PARA COMETER
ACTOS FRAUDULENTOS. LA SEGREGACIÓN DE FUNCIONES ES FUNDAMENTAL PARA
MITIGAR LOS RIESGOS DE FRAUDE PORQUE REDUCE, PERO EN NINGÚN CASO PUEDE
EVITAR AL CIEN POR CIEN, LA POSIBILIDAD DE QUE UN INDIVIDUO ACTÚE DE MANERA
UNILATERAL. SIN EMBARGO, SIEMPRE EXISTIRÁ EL RIESGO DE QUE LA DIRECCIÓN PUEDA
ANULAR LAS ACTIVIDADES DE CONTROL.
CUANDO LAS RESPONSABILIDADES SOBRE LOS PRINCIPALES PROCESOS SE DISTRIBUYEN Y
SE ASIGNAN ENTRE AL MENOS DOS EMPLEADOS DE LA ORGANIZACIÓN, SERÁ NECESARIO
QUE EXISTA CONNIVENCIA ENTRE ELLOS PARA PODER LLEVAR A CABO ACTIVIDADES
FRAUDULENTAS. DE IGUAL MANERA, LA SEGREGACIÓN DE FUNCIONES REDUCE LOS
ERRORES DADO QUE OBLIGA A QUE HAYA MÁS DE UNA PERSONA A CARGO DE REALIZAR O
REVISAR LAS TRANSACCIONES DE UN PROCESO, INCREMENTANDO ASÍ LA PROBABILIDAD
DE IDENTIFICAR UN ERROR.
NO OBSTANTE, EN OCASIONES, LA SEGREGACIÓN DE FUNCIONES PUEDE NO RESULTAR
PRÁCTICA, EFICIENTE EN COSTOS, O FACTIBLE. POR EJEMPLO, EN EL CASO DE LAS
ORGANIZACIONES DE MENOR TAMAÑO, PUEDE QUE NO SE DISPONGA DE LOS RECURSOS
NECESARIOS PARA LOGRAR UNA SEGREGACIÓN IDEAL DE LAS RESPONSABILIDADES, O QUE
EL COSTO DE CONTRATAR A UN NÚMERO ADICIONAL DE PROFESIONALES RESULTE
PROHIBIDO.
LA SEGREGACIÓN DE FUNCIONES ESTÁ ORIENTADA A EVITAR QUE UNA MISMA
PERSONA TENGA ACCESOS A DOS O MÁS RESPONSABILIDADES DENTRO DEL SISTEMA,
DE TAL FORMA QUE PUEDA REALIZAR ACCIONES O TRANSACCIONES QUE LLEVEN A LA
CONSUMACIÓN DE UN FRAUDE.
AUNQUE EL PRINCIPAL MOTIVO QUE LLEVA A IMPLEMENTAR UN ADECUADO ESQUEMA
DE SEGREGACIÓN DE FUNCIONES ES EL CUMPLIMIENTO CON REGULACIONES, LAS
ORGANIZACIONES DEBEN APROVECHAR ESTE TEMA PARA MEJORAR SU CONTROL
INTERNO Y MINIMIZAR ASÍ LOS RIESGOS DE FRAUDE.
EN ESTAS SITUACIONES, LA DIRECCIÓN DEBERÁ ESTABLECER ACTIVIDADES DE
CONTROL ALTERNATIVAS.
EN EL EJEMPLO ANTERIOR, SI UN MIEMBRO DEL PERSONAL DE VENTAS PUEDE
MODIFICAR LOS ARCHIVOS DE PRECIOS DE LOS PRODUCTOS, SE PODRÍA
IMPLEMENTAR UNA ACTIVIDAD DE CONTROL DE DETECCIÓN DE MANERA QUE EXISTA
ALGÚN MIEMBRO DEL PERSONAL NO RELACIONADO CON EL DEPARTAMENTO DE
VENTAS QUE REVISE PERIÓDICAMENTE SI EL CITADO MIEMBRO DEL PERSONAL DE
VENTAS HA MODIFICADO LOS PRECIOS Y EN QUÉ CIRCUNSTANCIAS SE HA
EFECTUADO DICHA MODIFICACIÓN.
11
LA ORGANIZACIÓN DEFINE Y
DESARROLLA ACTIVIDADES DE
CONTROL A NIVEL DE ORGANIZACIÓN
SOBRE LA TECNOLOGÍA PARA
APOYAR LA CONSECUCIÓN DE LOS
OBJETIVOS.
54. ESTABLECE LA DEPENDENCIA EXISTENTE ENTRE EL USO DE
TECNOLOGÍA EN LOS PROCESOS DE NEGOCIO Y LOS CONTROLES
GENERALES SOBRE LA TECNOLOGÍA:
LA DIRECCIÓN COMPRENDE Y ESTABLECE LA DEPENDENCIA Y LA
VINCULACIÓN EXISTENTE ENTRE LOS PROCESOS DE NEGOCIO, LAS
ACTIVIDADES DE CONTROL AUTOMATIZADAS Y LOS CONTROLES
GENERALES SOBRE LA TECNOLOGÍA.
55. ESTABLECE ACTIVIDADES DE CONTROL RELEVANTES SOBRE LAS
INFRAESTRUCTURAS TECNOLÓGICAS:
LA DIRECCIÓN SELECCIONA Y DESARROLLA ACTIVIDADES DE
CONTROL SOBRE LA INFRAESTRUCTURA TECNOLÓGICA, QUE HA SIDO
DISEÑADA E IMPLEMENTADA PARA GARANTIZAR LA INTEGRIDAD,
PRECISIÓN Y DISPONIBILIDAD DEL PROCESAMIENTO DE LAS
TECNOLOGÍAS.
56. ESTABLECE ACTIVIDADES DE CONTROL RELEVANTES SOBRE LOS
PROCESOS DE GESTIÓN DE LA SEGURIDAD:
LA DIRECCIÓN SELECCIONA Y DESARROLLA ACTIVIDADES DE
CONTROL QUE HAN SIDO DISEÑADAS E IMPLEMENTADAS PARA
RESTRINGIR LOS DERECHOS DE ACCESO A LAS TECNOLOGÍAS A
USUARIOS AUTORIZADOS EN PROPORCIÓN CON SUS
RESPONSABILIDADES PROFESIONALES Y PARA PROTEGER LOS
BIENES Y ACTIVOS DE LA ORGANIZACIÓN DE AMENAZAS EXTERNAS.
57. ESTABLECE ACTIVIDADES DE CONTROL RELEVANTES SOBRE LOS
PROCESOS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
TECNOLOGÍAS:
LA DIRECCIÓN SELECCIONA Y DESARROLLA ACTIVIDADES DE
CONTROL SOBRE LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO
DE LAS TECNOLOGÍAS Y SUS INFRAESTRUCTURAS PARA LOGRAR LOS
OBJETIVOS DE LA DIRECCIÓN.
LA CONFIABILIDAD DE LA TECNOLOGÍA DENTRO DE LOS PROCESOS DE NEGOCIO,
INCLUIDOS LOS CONTROLES AUTOMATIZADOS, DEPENDE DE LA SELECCIÓN,
DESARROLLO Y DESPLIEGUE DE ACTIVIDADES DE CONTROL GENERALES SOBRE LAS
TECNOLOGÍAS, A LAS CUALES NOS REFERIREMOS A PARTIR DE AHORA EN EL
PRESENTE DOCUMENTO COMO CONTROLES GENERALES SOBRE LA TECNOLOGÍA.
LOS CONTROLES GENERALES SOBRE LA TECNOLOGÍA, REFERENTES A LA
ADQUISICIÓN Y DESARROLLO DE TECNOLOGÍAS SE DESPLIEGAN PARA CONTRIBUIR A
GARANTIZAR QUE LOS CONTROLES AUTOMATIZADOS FUNCIONAN ADECUADAMENTE
CUANDO SE IMPLANTAN Y SE DESARROLLAN POR PRIMERA VEZ. LOS CONTROLES
GENERALES SOBRE LA TECNOLOGÍA TAMBIÉN AYUDAN A LOS SISTEMAS DE
INFORMACIÓN A SEGUIR FUNCIONANDO ADECUADAMENTE UNA VEZ QUE HAN SIDO
IMPLEMENTADOS.
POR EJEMPLO, SUPONGAMOS QUE UNA ORGANIZACIÓN QUIERE IMPLEMENTAR UN
CONTROL DE COMPROBACIÓN Y VALIDACIÓN AUTOMÁTICA QUE EXAMINE LOS DATOS
INTRODUCIDOS EN SU PLATAFORMA ONLINE. SI ALGUNO DE LOS DATOS NO
CONCUERDA O BIEN SE INTRODUCE CON UN FORMATO EQUIVOCADO, SE
PROPORCIONARÁ UN AVISO DE FORMA INMEDIATA PARA QUE SE PUEDAN APLICAR
LAS CORRECCIONES OPORTUNAS.
LOS MENSAJES DE ERROR INDICAN CUÁL HA SIDO EL PROBLEMA CON LOS DATOS
INTRODUCIDOS Y LOS INFORMES DE EXCEPCIÓN PERMITIRÁN AL USUARIO HACER EL
OPORTUNO SEGUIMIENTO.
LOS CONTROLES GENERALES SOBRE LA TECNOLOGÍA RELATIVOS AL DESPLIEGUE DE SISTEMAS
CONTRIBUYEN A GARANTIZAR QUE ESTE CONTROL AUTOMATIZADO FUNCIONA ADECUADAMENTE
CUANDO SEA DISEÑADO E IMPLEMENTADO POR PRIMERA VEZ (POR EJEMPLO, LOS CONTROLES
SIGUEN LA LÓGICA EMPRESARIAL DEFINIDA POR LA DIRECCIÓN, LAS COMPROBACIONES DE DATOS
COINCIDEN CON LAS TRANSACCIONES CORRESPONDIENTES O CON EL ARCHIVO DE DATOS
VIGENTES, CUALQUIER MENSAJE DE ERROR REFLEJA DE FORMA ÍNTEGRA Y PRECISA CUÁL HA
SIDO EL ERROR Y TODAS LAS EXCEPCIONES SE INCLUYEN EN UN INFORME DE ACUERDO CON LAS
POLÍTICAS DE LA ORGANIZACIÓN).
UNA VEZ QUE ÉSTE CONTROL AUTOMATIZADO SE HA IMPLEMENTADO DE FORMA ADECUADA, LOS
CONTROLES GENERALES SOBRE LA TECNOLOGÍA CONTRIBUYEN A GARANTIZAR EL CORRECTO
FUNCIONA MIENTO (POR EJEMPLO, QUE SE ESTÁN UTILIZANDO LOS ARCHIVOS ADECUADOS EN EL
PROCESO DE VERIFICACIÓN Y QUE LOS ARCHIVOS SON PRECISOS Y COMPLETOS).
DE IGUAL MANERA, LAS ACTIVIDADES DE CONTROL DE LA SEGURIDAD DEBIDAMENTE DEFINIDOS
LIMITARÁN EL ACCESO AL SISTEMA ÚNICAMENTE A AQUELLOS INDIVIDUOS QUE LO NECESITEN,
REDUCIENDO ASÍ LA POSIBILIDAD DE QUE INDIVIDUOS NO AUTORIZADOS PUEDAN MODIFICAR LOS
ARCHIVOS. LAS ACTIVIDADES DE CONTROL SOBRE CUALESQUIERA CAMBIOS REALIZADOS EN LAS
TECNOLOGÍAS CONTRIBUIRÁN A GARANTIZAR QUE DICHA TECNOLOGÍA SIGA FUNCIONANDO TAL
COMO FUE DISEÑADO.
AL IGUAL QUE EN OTRAS FUNCIONES DE LA ORGANIZACIÓN, SE DISPONDRÁ DE PROCESOS PARA
SELECCIONAR, DESARROLLAR, OPERAR Y MANTENER LAS TECNOLOGÍAS DE LA ORGANIZACIÓN.
ESTOS PROCESOS PUEDEN LIMITARSE A UN NÚMERO REDUCIDO DE ACTIVIDADES CON RESPECTO
AL USO DE TECNOLOGÍAS ESTÁNDARES ADQUIRIDAS DE PROVEEDORES EXTERNOS (POR EJEMPLO,
UNA APLICACIÓN QUE FUNCIONE SOBRE HOJAS DE EXCEL) O BIEN PODRÁN AMPLIARSE PARA
RESPALDAR TANTO TECNOLOGÍAS DESARROLLADAS INTERNAMENTE COMO DE MANERA EXTERNA.
LAS ACTIVIDADES DE CONTROL SELECCIONADAS Y DESARROLLADAS CONTRIBUYEN A MITIGAR LOS
RIESGOS ESPECÍFICOS QUE PUEDAN PRODUCIRSE EN TORNO AL USO DE PROCESOS
TECNOLÓGICOS
CUANDO CREÍAMOS QUE TENÍAMOS TODAS LAS RESPUESTAS, DE PRONTO, CAMBIARON
LAS PREGUNTAS.
PRECIO DEL
PRODUCTO
ATRIBUTOS EMOCIONALES
DEL PRODUCTO
CALIDAD DEL
PRODUCTO
VENTAJAS CADA
VEZ MÁS
FÁCILMENTE
IMITABLES
1. CLIENTES
2. MARCAS
3. MATERIAS
LOS CONTROLES GENERALES SOBRE LA TECNOLOGÍA INCLUYEN ACTIVIDADES DE
CONTROL SOBRE LAS INFRAESTRUCTURAS TECNOLÓGICAS, LA GESTIÓN DE LA
SEGURIDAD, Y LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE TECNOLOGÍAS.
DICHOS CONTROLES SON APLICABLES A TODO TIPO DE TECNOLOGÍAS DESDE
APLICACIONES DE TECNOLOGÍAS DE LA INFORMACIÓN QUE FUNCIONEN EN UN
MAINFRAME, HASTA ENTORNOS CLIENTE/SERVIDOR, DE ESCRITORIO, DE USUARIO
FINAL, ORDENADORES PORTÁTILES Y DISPOSITIVOS MÓVILES, ASÍ COMO
TECNOLOGÍAS OPERATIVAS SISTEMAS DE ROBÓTICA PARA LA PRODUCCIÓN O
SISTEMAS DE CONTROL EN FÁBRICA.
EL RIGOR DE LAS ACTIVIDADES DE CONTROL Y EL GRADO EN EL QUE ÉSTE SE
APLIQUE VARIARÁ EN FUNCIÓN DE CADA UNA DE ESTAS TECNOLOGÍAS
DEPENDIENDO DE DIVERSOS FACTORES TALES COMO LA COMPLEJIDAD DE LA
TECNOLOGÍA Y EL RIESGO DEL PROCESO DE NEGOCIO AL QUE RESPALDE. SIMILAR A
LOS CONTROLES DE TRANSACCIONES EMPRESARIALES, LOS CONTROLES
GENERALES SOBRE LA TECNOLOGÍA PODRÁN INCLUIR ACTIVIDADES DE CONTROL
MANUALES COMO AUTOMATIZADAS.
LA TECNOLOGÍA REQUIERE UNA INFRAESTRUCTURA EN DONDE PODER OPERAR, LA CUAL VARIARÁ
DESDE REDES DE COMUNICACIONES QUE ASOCIEN TECNOLOGÍAS ENTRE SÍ Y CON EL RESTO DE LA
ORGANIZACIÓN, HASTA RECURSOS INFORMÁTICOS PARA APLICACIONES, Y SISTEMAS ELÉCTRICOS
QUE ABASTEZCAN A LAS PROPIAS TECNOLOGÍAS. LAS INFRAESTRUCTURAS TECNOLÓGICAS
PUEDEN SER MUY COMPLEJAS.
ESTAS INFRAESTRUCTURAS PUEDEN COMPARTIRSE ENTRE DIFERENTES UNIDADES DE NEGOCIO
DENTRO DE LA ORGANIZACIÓN (POR EJEMPLO, UN CENTRO DE SERVICIOS COMPARTIDOS) O BIEN
PUEDEN EXTERNALIZARSE A PROVEEDORES DE SERVICIOS EXTERNOS O SERVICIOS
TECNOLÓGICOS SIN UBICACIÓN DEFINIDA (POR EJEMPLO, CLOUD COMPUTING O EN LA NUBE).
ESTAS COMPLEJIDADES PRESENTAN RIESGOS QUE DEBERÁN SER COMPRENDIDOS Y ABORDADOS
ADECUADAMENTE. DADO QUE ES MUY PROBABLE QUE EL AMPLIO ESPECTRO DE POSIBLES
CAMBIOS EN EL USO DE TECNOLOGÍAS SIGA EVOLUCIONANDO EN EL FUTURO, LA ORGANIZACIÓN
DEBERÁ EFECTUAR UN SEGUIMIENTO DE ESTOS CAMBIOS PARA EVALUAR Y RESPONDER ANTE LOS
NUEVOS RIESGOS.
LAS ACTIVIDADES DE CONTROL RESPALDAN LA INTEGRIDAD, PRECISIÓN Y DISPONIBILIDAD DEL
PROCESAMIENTO DE LAS TRANSACCIONES. CON INDEPENDENCIA DE SI LA INFRAESTRUCTURA SE
DEDICA A PROGRAMAR LOTES DE PRODUCCIÓN PARA UN MAINFRAME, A EFECTUAR UN
PROCESAMIENTO EN TIEMPO REAL EN UN ENTORNO CLIENTE/SERVIDOR, A DISPOSITIVOS MÓVILES
INALÁMBRICOS, O A REDES DE COMUNICACIONES ALTAMENTE SOFISTICADAS, LA TECNOLOGÍA
DEBERÁ COMPROBARSE ACTIVA MENTE PARA IDENTIFICAR POSIBLES PROBLEMAS Y ADOPTAR
MEDIDAS CORRECTIVAS CUANDO SEA NECESARIO.
EL MANTENIMIENTO DE LA TECNOLOGÍA A MENUDO INCLUIRÁ LA ADOPCIÓN DE PROCEDIMIENTOS
DE RESPALDO Y DE RECUPERACIÓN, ASÍ COMO PLANES DE RECUPERACIÓN ANTE DESASTRES,
DEPENDIENDO DE LOS RIESGOS Y DE LAS CONSECUENCIAS DE UN DAÑO PARCIAL O TOTAL.
LA GESTIÓN DE LA SEGURIDAD INCLUYE LOS SUBPROCESOS Y ACTIVIDADES DE CONTROL
RELATIVOS A QUIÉNES Y QUÉ ACCESO TIENEN A LAS TECNOLOGÍAS DE LA ORGANIZACIÓN, LO
CUAL INCLUIRÁ IDENTIFICAR QUIÉN TIENE CAPACIDAD PARA EJECUTAR TRANSACCIONES.
NORMALMENTE ESTOS PROCESOS INCLUIRÁN LOS DERECHOS DE ACCESO A LOS DATOS, AL
SISTEMA OPERATIVO (SOFTWARE DEL SISTEMA), A LA REDES, A LAS APLICACIONES Y A LOS
DISTINTOS NIVELES FÍSICOS. LOS CONTROLES DE SEGURIDAD SOBRE EL ACCESO PROTEGEN A UNA
ORGANIZACIÓN DE POSIBLES ACCESOS INADECUADOS Y EL USO NO AUTORIZADO DEL SISTEMA AL
TIEMPO QUE RESPALDA LA SEGREGACIÓN DE FUNCIONES.
AL EVITAR EL USO NO AUTORIZADO Y LA INTRODUCCIÓN INADECUADA DE CAMBIOS EN EL
SISTEMA, SE PROTEGE LA INTEGRIDAD DE LOS DATOS Y DE LOS PROGRAMAS FRENTE A
ACTUACIONES ADVERSAS PARA LA ORGANIZACIÓN (POR EJEMPLO, ALGUIEN PODRÍA TRATAR DE
ACCEDER A LA TECNOLOGÍA PARA COMETER ACTOS FRAUDULENTOS, TERRORISTAS O DE
VANDALISMO) O FRENTE A SIMPLES ERRORES (POR EJEMPLO, UN EMPLEADO PODRÍA
INTENCIONALMENTE, SIN DARSE CUENTA UTILIZAR, LA CUENTA DE UN COMPAÑERO QUE ESTÉ DE
VACACIONES PARA HACER ALGÚN TRABAJO DETERMINADO Y EJECUTAR UNA TRANSACCIÓN
ERRÓNEAMENTE O BORRAR UN ARCHIVO SIMPLEMENTE PORQUE NO CONTARA CON LA
FORMACIÓN ADECUADA PARA ELLO).
LA SEGURIDAD PUEDEN PROCEDER TANTO DE FUENTES INTERNAS COMO LAS AMENAZAS
EXTERNAS SON ESPECIALMENTE IMPORTANTES PARA LAS ENTIDADES ORGANIZACIONES QUE
DEPENDEN DE LAS REDES DE TELECOMUNICACIONES O DE INTERNET.
LOS USUARIOS, CLIENTES Y TAMBIÉN AGENTES MALINTENCIONADOS QUE UTILICEN LAS
TECNOLOGÍAS DE LA ORGANIZACIÓN PUEDEN ENCONTRARSE EN EL EXTREMO OPUESTO DEL
PLANETA O EN EL MISMO EDIFICIO DE LA ORGANIZACIÓN.
DE IGUAL MANERA, LOS MÚLTIPLES USOS DE LAS TECNOLOGÍAS Y LOS PUNTOS DE ACCESO A LAS
MISMAS PONEN DE MANIFIESTO LA IMPORTANCIA DE GESTIONAR DEBIDAMENTE LA SEGURIDAD.
LAS AMENAZAS EXTERNAS SON CADA VEZ MÁS HABITUALES EN LOS ENTORNOS DE
NEGOCIO TAN ALTAMENTE INTERCONECTADOS DEL PANORAMA ACTUAL Y PARA ELLO
SE NECESITAN ESFUERZOS CONTINUOS CON EL FIN DE ABORDAR ESTOS RIESGOS.
LAS AMENAZAS INTERNAS PUEDEN PROCEDER DE ANTIGUOS EMPLEADOS O DE
EMPLEADOS ACTUALES DESCONTENTOS CON LA ORGANIZACIÓN, LOS CUALES
PUEDEN REPRESENTAR UNA SERIE DE RIESGOS ÚNICOS DADO QUE PUEDEN ESTAR
MOTIVADOS PARA TRABAJAR EN CONTRA DE LOS INTERESES DE LA ORGANIZACIÓN
Y A LA VEZ ESTAR MUY BIEN EQUIPADOS PARA TENER ÉXITO A LA HORA DE LLEVAR
A CABO SUS MALINTENCIONADAS ACTUACIONES DADO QUE CONTARÁN CON ACCESO
Y CONOCIMIENTOS SOBRE LOS PROCESOS Y SISTEMAS DE GESTIÓN DE SEGURIDAD
DE LA ORGANIZACIÓN.
EL ACCESO DE LOS USUARIOS A LAS TECNOLOGÍAS NORMALMENTE ESTARÁ
CONTROLADO MEDIANTE UNA SERIE DE ACTIVIDADES DE CONTROL DE
AUTENTICACIÓN EN LAS QUE EL USUARIO CONTARÁ CON UNA IDENTIFICACIÓN O UN
TOKEN ÚNICO QUE SERÁ VERIFICADO CON RESPECTO A LA LISTA DE USUARIOS
AUTORIZADOS DE LA ORGANIZACIÓN. LOS CONTROLES GENERALES SOBRE LA
TECNOLOGÍA ESTÁN DISEÑADOS PARA PERMITIR EL ACCESO ÚNICAMENTE A LOS
USUARIOS AUTORIZADOS QUE FIGUREN EN LA LISTA DE USUARIOS AUTORIZADOS.
ESTAS ACTIVIDADES DE CONTROL POR LO GENERAL DISPONEN DE UNA POLÍTICA
QUE RESTRINGE A LOS USUARIOS AUTORIZADOS EL USO DE LAS APLICACIONES O
FUNCIONES QUE NO CORRESPONDAN CON SUS RESPONSABILIDADES
PROFESIONALES, RESPALDANDO ASÍ UNA ADECUADA SEGREGACIÓN DE FUNCIONES.
LAS ACTIVIDADES DE CONTROL SE UTILIZAN
PARA REVISAR LAS SOLICITUDES DE ACCESO
CON RESPECTO A LA LISTA DE USUARIOS
AUTORIZADOS.
DE IGUAL MANERA, SE DISPONDRÁ DE OTRAS
ACTIVIDADES DE CONTROL PARA ACTUALIZAR
EL ACCESO CUANDO LOS EMPLEADOS
CAMBIEN DE PUESTO DE TRABAJO O
ABANDONEN LA ORGANIZACIÓN. A MENUDO
SE REALIZARÁ UNA COMPROBACIÓN
PERIÓDICA DE LOS DERECHOS DE ACCESO
CONTRASTÁNDOLOS CON LA POLÍTICA
VIGENTE PARA VERIFICAR QUE EL ACCESO DE
LOS USUARIOS SIGUE SIENDO EL CORRECTO.
ADEMÁS, EL ACCESO DEBERÁ SER
CONTROLADO CUANDO EXISTAN DIFERENTES
ELEMENTOS DE DIVERSAS TECNOLOGÍAS QUE
ESTÉN CONECTADOS ENTRE SÍ.
LOS CONTROLES GENERALES SOBRE LA TECNOLOGÍA SOPORTAN LA ADQUISICIÓN,
DESARROLLO Y MANTENIMIENTO DE LAS TECNOLOGÍAS. POR EJEMPLO, UNA METODOLOGÍA
DE DESARROLLO TECNOLÓGICO PROPORCIONARÁ UNA ESTRUCTURA PARA EL DISEÑO E
IMPLEMENTACIÓN DE SISTEMAS, DEFINIENDO UNA SERIE DE FASES ESPECÍFICAS,
REQUISITOS DE DOCUMENTACIÓN, AUTORIZACIONES Y PUNTOS DE VERIFICACIÓN CON
CONTROLES SOBRE LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE TECNOLOGÍAS.
ESTA METODOLOGÍA PROPORCIONARÁ UNA SERIE DE CONTROLES ADECUADOS SOBRE LOS
CAMBIOS QUE SE PRODUZCAN EN LAS TECNOLOGÍAS, LO CUAL PODRÁ INCLUIR QUE SE
EXIJAN AUTORIZACIONES PARA LLEVAR A CABO SOLICITUDES DE CAMBIOS, VERIFICAR EL
DERECHO LEGAL DE LA ORGANIZACIÓN A UTILIZAR LA TECNOLOGÍA DE LA MANERA EN LA
QUE LO ESTÉ HACIENDO, REVISAR LOS CAMBIOS EFECTUADOS, AUTORIZACIONES Y
COMPROBAR LOS RESULTADOS, ASÍ COMO IMPLEMENTAR PROTOCOLOS PARA DETERMINAR
SI LOS CAMBIOS SE HAN EFECTUADO DE FORMA ADECUADA.
EN ALGUNAS COMPAÑÍAS, LA METODOLOGÍA DE DESARROLLO ABARCA UN PROCESO
CONTINUO QUE VA DESDE LOS GRANDES PROYECTOS DE DESARROLLO HASTA LA
APLICACIÓN DE PEQUEÑOS CAMBIOS. EN OTRAS COMPAÑÍAS, PUEDE EXISTIR UN PROCESO
DIFERENCIADO PARA DESARROLLAR NUEVAS TECNOLOGÍAS Y OTRO PROCESO DIFERENTE
PARA LA GESTIÓN DE CAMBIOS.
EN AMBOS CASOS, SE DISPONDRÁ DE UN PROCESO DE GESTIÓN DE CAMBIOS PARA
EFECTUAR UN SEGUIMIENTO DE LOS CAMBIOS REALIZADOS DESDE SU INICIO HASTA SU
DISPOSICIÓN FINAL. LOS CAMBIOS PUEDEN PRODUCIRSE COMO CONSECUENCIA DE UN
PROBLEMA EN LA TECNOLOGÍA QUE DEBE SER SOLUCIONADO O A RAÍZ DE LA SOLICITUD
DE UN GRUPO DE USUARIOS.
DETECCIÓN DE
NECESIDADES
ELABORACIÓN Y PUBLICIDAD
DE LAS BASES PARA LA
CONTRATACIÓN DE BIENES Y/O
SERVICIOS
CONTROL Y SEGUIMIENTO DE
LA EJECUCIÓN DEL CONTRATO
EVALUACIÓN Y
SELECCIÓN
DE OFERTAS
CONTRATACIONES
DEL ESTADO
LOS CONTROLES GENERALES SOBRE LA TECNOLOGÍA, INCLUIDOS EN UNA METODOLOGÍA DE
DESARROLLO VARIARÁN EN FUNCIÓN DE LOS RIESGOS DE LA INICIATIVA TECNOLÓGICA EN
CUESTIÓN. UNA INICIATIVA DE GRAN COMPLEJIDAD O GRANDES DIMENSIONES GENERARÁ
NORMALMENTE UNOS RIESGOS MAYORES QUE UNA INICIATIVA SENCILLA O DE PEQUEÑO TAMAÑO.
EL ALCANCE Y EL RIGOR DE LOS CONTROLES APLICADOS SOBRE DICHA INICIATIVA DEBERÁ SER
PROPORCIONAL A SU TAMAÑO.
UNA DE LAS ALTERNATIVAS EXISTENTES AL DESARROLLO INTERNO ES SIN DUDA EL USO DE
SOFTWARE COMERCIAL.
LOS PROVEEDORES DE TECNOLOGÍAS OFRECEN SISTEMAS FLEXIBLES E INTEGRADOS QUE
PERMITEN A SU VEZ PERSONALIZAR DICHOS SISTEMAS MEDIANTE EL USO E INCORPORACIÓN DE
OPCIONES ADICIONALES. MUCHAS METODOLOGÍAS PARA EL DESARROLLO DE TECNOLOGÍAS
ABORDAN LA ADQUISICIÓN DE APLICACIONES DE SOFTWARE COMERCIALES COMO ALTERNATIVA
DE DESARROLLO E INCLUYEN ADEMÁS UNA SERIE DE PASOS NECESARIOS PARA PROPORCIONAR EL
CONTROL ADECUADO SOBRE SU SELECCIÓN E IMPLEMENTACIÓN.
UNA VEZ SELECCIONADOS E IMPLEMENTADOS, LOS CONTROLES GENERALES SOBRE LA
TECNOLOGÍA DEFINIDOS ANTERIORMENTE TAMBIÉN SERÁN DE APLICACIÓN SOBRE EL
DESARROLLO CONTINUO Y EL MANTENIMIENTO DE LAS TECNOLOGÍAS.
OTRA ALTERNATIVA POSIBLE ES LA EXTERNALIZACIÓN. SI BIEN EN PRINCIPIO SERÁN APLICABLES
LAS MISMAS CONSIDERACIONES TANTO SI LOS CONTROLES SE EJECUTAN INTERNAMENTE O BIEN
A TRAVÉS DE UN PROVEEDOR DE SERVICIOS EXTERNALIZADOS, LA PRÁCTICA DE LA
EXTERNALIZACIÓN PRESENTA UNA SERIE DE RIESGOS ÚNICOS Y A MENUDO EXIGE QUE SE
SELECCIONEN Y DESARROLLEN CONTROLES ADICIONALES SOBRE LA INTEGRIDAD, PRECISIÓN Y
VALIDEZ DE LA INFORMACIÓN ENTREGADA Y RECIBIDA DE LOS PROVEEDORES DE SERVICIOS
EXTERNALIZADOS.
APROBACIÓN
REVISIÓN Y
ACTUALIZACIÓN
IDENTIFICACIÓN
DE CAMBIOS
DISPONIBILIDAD
EN PUNTOS DE USO
LEGIBILIDAD E
IDENTIFICACIÓN
IDENTIFICACIÓN Y
DISTRIBUCIÓN DE
DOCUMENTOS EXTERNOS
CONTROL DE
DOCUMENTOS OBSOLETOS
PROCEDIMIENTO
QUE DEFINA:
12
LA ORGANIZACIÓN
DESPLIEGA LAS
ACTIVIDADES DE
CONTROL A TRAVÉS DE
POLÍTICAS QUE
ESTABLECEN LAS LÍNEAS
GENERALES DEL
CONTROL INTERNO Y
PROCEDIMIENTOS QUE
LLEVAN DICHAS
POLÍTICAS A LA
PRÁCTICA.
58. ESTABLECE POLÍTICAS Y PROCEDIMIENTOS PARA RESPALDAR LA IMPLANTACIÓN
DE LAS INSTRUCCIONES ADOPTADAS POR LA DIRECCIÓN:
LA DIRECCIÓN ESTABLECE ACTIVIDADES DE CONTROL QUE SE INCORPORAN EN
LOS PROCESOS DE NEGOCIO Y EN EL DÍA A DÍA DE LAS ACTIVIDADES DE LOS
EMPLEADOS A TRAVÉS DE POLÍTICAS QUE ESTABLECEN LO QUE SE ESPERA DE
ELLOS ASÍ COMO PROCEDIMIENTOS RELEVANTES QUE ESPECIFICAN LAS
ACTUACIONES A REALIZAR.
59. ESTABLECE RESPONSABILIDADES SOBRE LA EJECUCIÓN DE LAS POLÍTICAS Y
PROCEDIMIENTOS:
LA DIRECCIÓN ESTABLECE LAS RESPONSABILIDADES OPORTUNAS SOBRE LAS
ACTIVIDADES DE CONTROL POR PARTE DE LA DIRECCIÓN (U OTRO PERSONAL
DESIGNADO) DE LA UNIDAD DE NEGOCIO O FUNCIÓN EN LA QUE RESIDAN LOS
RIESGOS CORRESPONDIENTES.
60. SE EFECTÚA EN EL MOMENTO OPORTUNO:
EL PERSONAL RESPONSABLE LLEVA A CABO LAS ACTIVIDADES DE CONTROL EN EL
MOMENTO OPORTUNO SEGÚN LO DEFINIDO EN LAS POLÍTICAS EN LOS
PROCEDIMIENTOS.
61. ADOPTA MEDIDAS CORRECTIVAS:
SE DEFINE EL PERSONAL RESPONSABLE DE INVESTIGAR Y ACTUAR CON RESPECTO
A LOS ASUNTOS IDENTIFICADOS COMO RESULTADO DE LA EJECUCIÓN DE LAS
ACTIVIDADES DE CONTROL.
62. SE PONE EN PRÁCTICA A TRAVÉS DE PERSONAL COMPETENTE:
EL PERSONAL COMPETENTE QUE DISPONE DE LAS FACULTADES APROPIADAS
LLEVA A CABO LAS ACTIVIDADES DE CONTROL CON DILIGENCIA Y CON UNA
CONTINUA ATENCIÓN.
63. REVISA LAS POLÍTICAS Y PROCEDIMIENTOS:
LA DIRECCIÓN REVISA PERIÓDICAMENTE LAS ACTIVIDADES DE CONTROL PARA
DETERMINAR QUE SIGUEN SIENDO RELEVANTES Y LAS ACTUALIZA CUANDO ES
NECESARIO.
LAS POLÍTICAS REFLEJAN LA VISIÓN DE LA DIRECCIÓN SOBRE LO QUE DEBE
HACERSE PARA LLEVAR A CABO EL CONTROL. DICHA VISIÓN PUEDE DOCUMENTARSE
POR ESCRITO Y PLASMARSE EXPRESAMENTE EN OTRAS COMUNICACIONES O BIEN
DE MANERA IMPLÍCITA A TRAVÉS DE LAS DECISIONES Y MEDIDAS ADOPTADAS POR
LA DIRECCIÓN. LOS PROCEDIMIENTOS SE COMPONEN DE MEDIDAS QUE
IMPLEMENTAN UNA POLÍTICA.
LAS ACTIVIDADES DE CONTROL HACEN REFERENCIA ESPECÍFICAMENTE A AQUELLAS
POLÍTICAS Y PROCEDIMIENTOS QUE CONTRIBUYEN A LA MITIGACIÓN DE LOS
RIESGOS PARA LA CONSECUCIÓN DE LOS OBJETIVOS EN NIVELES ACEPTABLES.
UNA POLÍTICA, POR EJEMPLO, PODRÍA EXIGIR QUE SE REVISEN LAS ACTIVIDADES
BURSÁTILES LLEVADAS A CABO CON CLIENTES POR PARTE DEL GESTOR DE UNA
SUCURSAL DE INTERMEDIACIÓN FINANCIERA.
EL PROCEDIMIENTO SERÁ LA REVISIÓN EN SÍ, LLEVADA A CABO EN EL MOMENTO
OPORTUNO Y PRESTANDO ATENCIÓN A LOS FACTORES ESTABLECIDOS EN LA
POLÍTICA, TALES COMO LA NATURALEZA Y EL VOLUMEN DE LOS VALORES
NEGOCIADOS, Y SU RELACIÓN CON LA EDAD Y EL PATRIMONIO NETO DEL CLIENTE.
LAS POLÍTICAS Y LOS PROCEDIMIENTOS A MENUDO SE COMUNICAN ORALMENTE.
LAS POLÍTICAS NO ESCRITAS PUEDEN SER EFICACES CUANDO LA POLÍTICA EN SÍ ES
UNA PRÁCTICA BIEN COMPRENDIDA Y ESTABLECIDA EN EL SENO DE LA
ORGANIZACIÓN, ASÍ COMO EN EL CASO DE ORGANIZACIONES DE MENOR TAMAÑO EN
LAS QUE LOS CANALES DE COMUNICACIÓN IMPLICAN UN NÚMERO LIMITADO DE
NIVELES DIRECTIVOS Y EN LAS QUE EXISTE UNA ESTRECHA INTERACCIÓN Y
SUPERVISIÓN DEL PERSONAL.
SIN EMBARGO, A PESAR DE QUE CONSTITUYEN UNA ALTERNATIVA EFICIENTE EN
COSTES PARA ALGUNAS ORGANIZACIONES ,LAS POLÍTICAS Y PROCEDIMIENTOS NO
ESCRITOS PUEDEN SER MÁS FÁCILES DE EVITAR, RESULTANDO MUY COSTOSAS PARA
LA ORGANIZACIÓN SI EXISTE UNA ELEVADA ROTACIÓN DE PERSONAL Y PUDIENDO
REDUCIR LA RESPONSABILIDAD POR LA RENDICIÓN DE CUENTAS AL RESPECTO.
CUANDO SE SOMETAN A LA REVISIÓN DE PARTES EXTERNAS E INDEPENDIENTES A
LA ORGANIZACIÓN, LAS POLÍTICAS Y PROCEDIMIENTOS DEBERÁN ESTAR
FORMALMENTE DOCUMENTADAS.
EN CUALQUIER CASO, INDEPENDIENTEMENTE DE SI UNA POLÍTICA SE DOCUMENTA
POR ESCRITO O NO, DEBERÁ ESTABLECER CLARAMENTE LAS RESPONSABILIDADES
DERIVADAS DE LA MISMA, LAS CUALES RECAERÁN EN ÚLTIMO TÉRMINO EN LA
DIRECCIÓN DE LA ORGANIZACIÓN Y DE LAS UNIDADES DE NEGOCIO EN LAS QUE
RESIDAN LOS RIESGOS. LOS PROCEDIMIENTOS DEBERÁN DEJAR CLARAS LAS
RESPONSABILIDADES QUE ASUMIRÁ EL PERSONAL QUE LLEVE A CABO LA ACTIVIDAD
DE CONTROL.
DE IGUAL MANERA, LAS POLÍTICAS DEBERÁN SER PUESTAS EN PRÁCTICA DE
MANERA CONSCIENTE Y MEDITADA, AL TIEMPO QUE LOS PROCEDIMIENTOS
RELACIONADOS DEBERÁN SER LLEVADOS A CABO EN EL MOMENTO OPORTUNO, CON
DILIGENCIA Y CON COHERENCIA POR PARTE DEL PERSONAL COMPETENTE.
LAS POLÍTICAS Y PROCEDIMIENTOS DE LA EFECTIVIDAD DEL CONTROL INTERNO QUE SON MÁS
PERTINENTES CON LOS ASUNTOS CONTABLES Y FINANCIEROS SON AQUELLOS RELACIONADOS
CON LA HABILIDAD DE LA ORGANIZACIÓN PARA REGISTRAR, PROCESAR, RESUMIR Y COMUNICAR
DATOS FINANCIEROS COHERENTES CON LAS ASEVERACIONES DE LA GERENCIA CONTENIDAS EN
LOS ESTADOS FINANCIEROS.
LAS CATEGORÍAS DE LAS ASEVERACIONES ALLÍ INCLUIDAS SON:
UNA POLÍTICA ES TODA REGLA QUE EXIGE, GUÍA Y RESTRINGE LA ACCIÓN. LAS
POLÍTICAS DEBEN SEGUIR ALGUNOS PRINCIPIOS DETERMINADOS:
LOS PROCEDIMIENTOS SON MÉTODOS EMPLEADOS PARA LLEVAR A CABO LAS ACTIVIDADES DE
CONFORMIDAD CON LAS POLÍTICAS PRESCRIPTAS. LOS MISMOS PRINCIPIOS VIGENTES PARA LAS
POLÍTICAS TAMBIÉN VALEN PARA LOS PROCEDIMIENTOS. ADEMÁS:
LOS PROCEDIMIENTOS DEBERÁN INCLUIR EL PLAZO
EN EL QUE UNA ACTIVIDAD DE CONTROL Y
CUALESQUIERA MEDIDAS CORRECTIVAS DE
SEGUIMIENTO DEBAN SER LLEVADAS A LA PRÁCTICA.
LOS PROCEDIMIENTOS QUE SE LLEVEN A CABO EN UN
MOMENTO QUE NO SEA EL APROPIADO PODRÁN
REDUCIR LA UTILIDAD DE LA ACTIVIDAD DE CONTROL
POR EJEMPLO, UNA REVISIÓN ORDINARIA DE LAS
CUENTAS DE USUARIOS PARA IDENTIFICAR DERECHOS
DE ACCESO NO AUTORIZADOS DEBERÁ SER LLEVADA
A CABO POR EL PROPIETARIO DEL PROCESO DE
NEGOCIO EN EL MOMENTO OPORTUNO PARA REDUCIR
EL RIESGO (HASTA NIVELES ACEPTABLES) DE QUE SE
PRODUZCAN ACCESOS NO AUTORIZADOS.
SI SE PERMITE QUE LOS INTERVALOS DE TIEMPO
SEAN MAYORES ENTRE LAS REVISIONES SE
INCREMENTARÁ LA POSIBILIDAD DE QUE LA
DETECCIÓN DE DICHOS ACCESOS NO AUTORIZADOS
SE PRODUZCA DEMASIADO TARDE.
MEDIDAS CORRECTIVAS
A LA HORA DE LLEVAR A CABO LA ACTIVIDAD DE CONTROL DEBERÁN INVESTIGARSE
Y, EN CASO OPORTUNO, ADOPTARSE MEDIDAS CORRECTIVAS CON RESPECTO A LOS
ASUNTOS IDENTIFICADOS PARA SU SEGUIMIENTO. POR EJEMPLO, SUPONGAMOS EL
CASO DE QUE EN UN EJERCICIO DE CONCILIACIÓN DE CUENTAS DE TESORERÍA SE
DETECTE UNA DISCREPANCIA EN UNA DE LAS CUENTAS.
EL EMPLEADO DEL DEPARTAMENTO DE CONTABILIDAD EFECTUARÁ UN SEGUIMIENTO
AL RESPECTO JUNTO CON LA PERSONA RESPONSABLE DE REALIZAR LOS REGISTROS
DOCUMENTALES DE LOS MOVIMIENTOS EN EFECTIVO Y DETERMINARÁ QUE UN
COBRO EN EFECTIVO NO FUE REGISTRADO DE FORMA ADECUADA. POR TANTO, EL
COBRO SERÁ APLICADO DE NUEVO Y SE REFLEJARÁ LA CORRECCIÓN REALIZADA EN
LA CONCILIACIÓN.
1. REVISAR NO CONFORMIDADES
2. DETERMINAR LAS CAUSAS NC
3. EVALUAR NECESIDAD DE
ADOPTAR ACCIONES
4. DETERMINAR E IMPLEMENTAR
ACCIONES
5. REGISTRAR RESULTADOS
DE LAS ACCIONES TOMADAS
6. REVISAR LA EFICACIA DE LAS
ACCIONES CORRECTIVAS
TOMADAS.
NOTA:
CUANDO UN RIESGO SE MATERIALIZA ES
NECESARIO TOMAR ACCIONES CORRECTIVAS
PARA EVITAR O DISMINUIR LA PROBABILIDAD
DE QUE VUELVA A SUCEDER.
Procedimiento
Documentado
DE IGUAL MANERA, UN PROCEDIMIENTO NO
SERÁ DE UTILIDAD SI SE LLEVA A CABO DE
MEMORIA, Y SIN PRESTAR LA ATENCIÓN
ADECUADA Y DE FORMA CONTINUA A LOS
RIESGOS A LOS QUE SE DIRIJA DICHA
POLÍTICA. DE IGUAL MANERA, PUEDE QUE
SEA NECESARIO QUE EL PERSONAL CUENTE
CON FACULTADES SUFICIENTES PARA LLEVAR
A CABO TODOS LOS ASPECTOS DEL CONTROL,
INCLUIDA LA ADOPCIÓN DE MEDIDAS
CORRECTIVAS.
UNA ACTIVIDAD DE CONTROL DEBIDAMENTE
DISEÑADA POR LO GENERAL NO PODRÁ SER
GESTIONADA POR MIEMBROS DEL PERSONAL
QUE NO CUENTEN CON LAS COMPETENCIAS Y
CON FACULTADES SUFICIENTES PARA
DESARROLLAR DICHA ACTIVIDAD DE
CONTROL. EL NIVEL DE COMPETENCIAS
REQUERIDAS PARA LLEVAR A CABO UNA
ACTIVIDAD DE CONTROL DEPENDERÁ DE
FACTORES TALES COMO LA COMPLEJIDAD DE
LA ACTIVIDAD DE CONTROL Y LA
COMPLEJIDAD Y EL VOLUMEN DE LAS
TRANSACCIONES CORRESPONDIENTES.
LA DIRECCIÓN DEBERÁ REEVALUAR DE MANERA PERIÓDICA LAS POLÍTICAS Y LOS
PROCEDIMIENTOS ASÍ COMO LAS ACTIVIDADES DE CONTROL RELACIONADAS PARA
GARANTIZAR QUE SE MANTIENE SU EFICACIA Y RELEVANCIA, CON INDEPENDENCIA
DE SU CAPACIDAD DE RESPUESTA ANTE LOS CAMBIOS SIGNIFICATIVOS QUE SE
PUEDAN PRODUCIR EN LOS RIESGOS O EN LOS OBJETIVOS DE LA ORGANIZACIÓN.
LOS CAMBIOS SIGNIFICATIVOS QUE SE PUEDAN PRODUCIR SERÁN EVALUADOS A
TRAVÉS DEL PROCESO DE EVALUACIÓN DE RIESGOS.
LOS CAMBIOS QUE SE PRODUZCAN EN EL PERSONAL, EN LOS PROCESOS Y EN LAS
TECNOLOGÍAS PODRÁN REDUCIR LA EFICACIA DE LAS ACTIVIDADES DE CONTROL Y
HACER QUE EN ALGUNOS CASOS SEAN REDUNDANTES Y, POR TANTO INNECESARIAS.
SIEMPRE QUE SE PRODUZCA UNO DE ESTOS CAMBIOS, LA DIRECCIÓN DEBERÁ
REEVALUAR LA RELEVANCIA DE LOS CONTROLES EXISTENTES Y ACTUALIZARLOS
SEGÚN SEA NECESARIO.
POR EJEMPLO, LA DIRECCIÓN PODRÁ ACTUALIZAR EL MÓDULO DE COMPRAS DE UN
SISTEMA ERP E INTRODUCIR ACTIVIDADES DE CONTROL DE TRANSACCIONES
AUTOMATIZADAS QUE DEN LUGAR A QUE LAS ANTIGUAS ACTIVIDADES DE CONTROL
MANUAL SEAN REDUNDANTES Y POR TANTO DEJEN DE SER NECESARIAS.
13
LA ORGANIZACIÓN
OBTIENE O GENERA Y
UTILIZA
INFORMACIÓN
RELEVANTE Y DE
CALIDAD PARA
APOYAR EL
FUNCIONAMIENTO
DEL CONTROL
INTERNO.
64. IDENTIFICA REQUISITOS DE INFORMACIÓN:
SE DISPONE DE UN PROCESO PARA IDENTIFICAR LA INFORMACIÓN
NECESARIA Y QUE SE ESPERA PARA RESPALDAR EL FUNCIONAMIENTO
DE LOS OTROS COMPONENTES DEL CONTROL INTERNO Y LA
CONSECUCIÓN DE LOS OBJETIVOS DE LA ORGANIZACIÓN.
65. CAPTA FUENTES DE DATOS INTERNOS Y EXTERNOS:
LOS SISTEMAS DE INFORMACIÓN CAPTAN FUENTES DE DATOS TANTO
INTERNAS COMO EXTERNAS.
66. PROCESA DATOS RELEVANTES Y LOS TRANSFORMA EN INFORMACIÓN:
LOS SISTEMAS DE INFORMACIÓN PROCESAN Y TRANSFORMAN DATOS
RELEVANTES EN INFORMACIÓN DE UTILIDAD.
67. MANTIENE LA CALIDAD A LO LARGO DE TODO EL PROCESO:
LOS SISTEMAS DE INFORMACIÓN GENERAN INFORMACIÓN
ACTUALIZADA EN EL MOMENTO OPORTUNO, LA CUAL ES PRECISA,
ÍNTEGRA, ACCESIBLE, PROTEGIDA, VERIFICABLE Y QUE SE CUSTODIA
DE FORMA OPORTUNA. SE REVISA LA INFORMACIÓN PARA EVALUAR
SU RELEVANCIA A LA HORA DE SOPORTAR LOS COMPONENTES DEL
CONTROL INTERNO.
68. EVALÚA COSTES Y BENEFICIOS:
LA NATURALEZA, CANTIDAD Y PRECISIÓN DE LA INFORMACIÓN
COMUNICADA ES PROPORCIONAL Y SOPORTA LA CONSECUCIÓN DE
LOS OBJETIVOS.
LA INFORMACIÓN ES NECESARIA PARA QUE LA ORGANIZACIÓN PUEDA LLEVAR A CABO SUS
RESPONSABILIDADES DE CONTROL INTERNO EN ARAS DE CONSEGUIR SUS OBJETIVOS. LA
INFORMACIÓN SOBRE LOS OBJETIVOS DE LA ORGANIZACIÓN SE OBTIENE DE MANOS DEL CONSEJO
DE ADMINISTRACIÓN Y DE LA ALTA DIRECCIÓN Y SE RESUME DE MANERA QUE LA DIRECCIÓN Y
OTROS MIEMBROS DEL PERSONAL PUEDAN COMPRENDER LOS OBJETIVOS Y SU FUNCIÓN DE CARA
A SU CONSECUCIÓN.
POR EJEMPLO, VEAMOS EL CASO DE UN DISTRIBUIDOR MAYORISTA QUE HAYA IDENTIFICADO QUE
ALGUNOS DE SUS DIRECTIVOS NO CUENTAN CON UN SÓLIDO ENTENDIMIENTO DE LOS
PRINCIPALES OBJETIVOS DE LA ORGANIZACIÓN. PUEDE QUE EL PLAN DE NEGOCIO SEA DETALLADO
Y DIFÍCIL DE COMUNICAR DE MANERA CONCISA. PARA ELLO, EL CONSEJO DE ADMINISTRACIÓN
TRABAJARÁ CON LA ALTA DIRECCIÓN PARA RESUMIR LOS PRINCIPALES OBJETIVOS DE LA
ORGANIZACIÓN EN UN DOCUMENTO EXPLICATIVO QUE SEA CLARO Y QUE ACOMPAÑARÁ A LOS
ESTADOS FINANCIEROS DISTRIBUIDOS INTERNAMENTE.
DE IGUAL MANERA, EL CONSEJO PROPORCIONARÁ TODOS LOS MESES UN CUADRO DE MANDO
INTEGRAL EN EL QUE QUEDARÁN REPRESENTADOS ESTOS OBJETIVOS Y SU RELACIÓN CON LOS
PARÁMETROS Y RESULTADOS ACTUALES, TANTO DE NATURALEZA FINANCIERA COMO NO
FINANCIERA.
UNA VEZ REALIZADOS ESTOS CAMBIOS, EL DISTRIBUIDOR MAYORISTA SOLICITÓ LOS
COMENTARIOS Y OPINIONES DE SUS EMPLEADOS A TRAVÉS DE UNA ENCUESTA Y DICHA ENCUESTA
PUSO DE MANIFIESTO QUE TANTO LA DIRECCIÓN COMO EL RESTO DEL PERSONAL HABÍAN
LOGRADO COMPRENDER MEJOR LOS OBJETIVOS DE LA ORGANIZACIÓN.
LA OBTENCIÓN DE INFORMACIÓN RELEVANTE REQUIERE QUE LA DIRECCIÓN IDENTIFIQUE Y
DEFINA LOS REQUISITOS DE INFORMACIÓN EN BASE A UN NIVEL OPORTUNO Y AL GRADO DE
DETALLE REQUERIDO. LA IDENTIFICACIÓN DE LOS REQUISITOS DE INFORMACIÓN CONSTITUYE UN
PROCESO CONTINUADO E ITERATIVO QUE SE PRODUCE A LO LARGO DEL DESARROLLO DE UN
SISTEMA DE CONTROL INTERNO EFECTIVO.
EVALUACIÓN
SITUACIÓN
VISIÓN
MISIÓN
ESTRATÉGIAS
ACCIONES
OBJETIVOS
INTERNO Y
EXTERNO
INTERNO Y
EXTERNO
ANÁLISIS DIAGNÓSTICO PLAN
ESTRATÉGICO
PLAN DE
ACCIÓN
PLAN DE
COMUNICACIÓN
COMPONENTES DEL
CONTROL INTERNO
EJEMPLO DE INFORMACIÓN UTILIZADA
ENTORNO DE
CONTROL
LA DIRECCIÓN LLEVA A CABO UNA ENCUESTA ANUAL A NIVEL DE ORGANIZACIÓN ENTRE SUS EMPLEADOS PARA
RECOPILAR INFORMACIÓN SOBRE SU CONDUCTA PERSONAL EN RELACIÓN CON EL CÓDIGO DE CONDUCTA DE LA
ORGANIZACIÓN.
LA ENCUESTA FORMA PARTE DE UN PROCESO QUE GENERA INFORMACIÓN PARA SOPORTAR EL COMPONENTE DEL
ENTORNO DE CONTROL Y TAMBIÉN PUEDE APORTAR INFORMACIÓN DE CARA A LA SELECCIÓN, DESARROLLO,
IMPLEMENTACIÓN O MANTENIMIENTO DE ACTIVIDADES DE CONTROL.
EVALUACIÓN DE
RIESGOS
COMO RESULTADO DE LOS CAMBIOS QUE SE PRODUCEN EN LAS EXIGENCIAS DE LOS CLIENTES, UNA
ORGANIZACIÓN CAMBIA SU MIX DE PRODUCTOS Y SUS MECANISMOS PARA LLEGAR HASTA SUS CLIENTES. EL
AUMENTO DE LAS VENTAS ONLINE HA HECHO QUE SE INCREMENTEN DE MANERA SIGNIFICATIVA EL NÚMERO DE
TRANSACCIONES CON TARJETA DE CRÉDITO.
PARA EVALUAR EL RIESGO DE INCUMPLIMIENTO CON LAS REGULACIONES DE PRIVACIDAD Y SEGURIDAD
ASOCIADAS CON LA INFORMACIÓN EN LAS TARJETAS DE CRÉDITO, LA DIRECCIÓN RECOPILA INFORMACIÓN SOBRE
EL NÚMERO DE TRANSACCIONES REALIZADAS, EL VALOR GENERAL DE LAS MISMAS Y EL PERFIL DE LOS DATOS
CONSERVADOS AL ÚLTIMO EJERCICIO FISCAL, Y EVALÚA SU IMPORTANCIA DE CARA A LA REALIZACIÓN DE SU
ANÁLISIS DE RIESGOS.
ACTIVIDADES DE
CONTROL
DETERMINADOS EQUIPOS QUE SE UTILIZAN EN UN ENTORNO DE PRODUCCIÓN DE ALTO VOLUMEN SE DETERIORAN
SI FUNCIONAN DURANTE UN PERIODO DE TIEMPO MAYOR DEL ESPECIFICADO. PARA MAXIMIZAR LA VIDA DE LOS
EQUIPOS, LA DIRECCIÓN OBTIENE Y REVISA LOS REGISTROS DE FUNCIONAMIENTO DIARIO Y LOS COMPARA CON
LOS RANGOS FIJADOS POR LA ALTA DIRECCIÓN.
ESTA INFORMACIÓN RESPALDA LAS ACTIVIDADES DE CONTROL Y ABORDA LOS PROCEDIMIENTOS DE MITIGACIÓN
REQUERIDOS CUANDO SE SUPERAN LOS NIVELES DE FUNCIONAMIENTO MÁXIMOS.
ACTIVIDADES DE
SUPERVISIÓN
UNA GRAN COMPAÑÍA DEL SECTOR UTILITIES (SERVICIOS PÚBLICOS) RECOPILA, PROCESA Y COMUNICA SUS
REGISTROS DE ACCIDENTES Y LESIONES RELACIONADOS CON SU UNIDAD OPERATIVA DE GENERACIÓN DE
ENERGÍA.
AL COMPARAR ESTA INFORMACIÓN CON LAS TENDENCIAS REGISTRADAS POR LAS RECLAMACIONES DE
COMPENSACIÓN Y SINIESTROS EXPERIMENTADOS POR LOS EMPLEADOS EN EL MARCO DE SUS SEGUROS DE SALUD
IDENTIFICA VARIACIONES IMPORTANTES CON RESPECTO A LAS EXPECTATIVAS ESTABLECIDAS.
ESTO PUEDE INDICAR QUE LAS ACTIVIDADES DE CONTROL SOBRE LA IDENTIFICACIÓN, PROCESAMIENTO,
INFORMACIÓN, INVESTIGACIÓN Y RESOLUCIÓN DE ACCIDENTES O LESIONES PUEDAN NO ESTAR FUNCIONANDO
SEGÚN LO PREVISTO.
LA DIRECCIÓN DESARROLLA E IMPLEMENTA CONTROLES RELACIONADOS CON LA IDENTIFICACIÓN DE LA INFORMACIÓN
RELEVANTE QUE SOPORTA EL FUNCIONAMIENTO DE LOS COMPONENTES.
LOS SIGUIENTES EJEMPLOS ILUSTRAN CÓMO SE DEFINE Y SE IDENTIFICA LA INFORMACIÓN QUE SOPORTA EL
FUNCIONAMIENTO DE OTROS COMPONENTES DE CONTROL INTERNO.
LOS CONTROLES INCORPORADOS DENTRO DE LOS CINCO COMPONENTES
ESTABLECEN UNA SERIE DE REQUISITOS DE INFORMACIÓN. ESTOS REQUISITOS
FACILITAN Y DIRIGEN A LA DIRECCIÓN Y AL RESTO DEL PERSONAL A IDENTIFICAR
FUENTES DE INFORMACIÓN CONFIABLES Y RELEVANTES ASÍ COMO OTRA SERIE DE
DATOS PERTINENTES.
EL VOLUMEN DE INFORMACIÓN Y DE DATOS PERTINENTES DISPONIBLE PARA LA
DIRECCIÓN PUEDE SER MAYOR DEL NECESARIO DEBIDO AL AUMENTO DE LAS
FUENTES DE INFORMACIÓN Y A LOS PROGRESOS CONSEGUIDOS EN LA
RECOPILACIÓN DE INFORMACIÓN, EN SU PROCESA MIENTO Y ALMACENAMIENTO.
EN OTROS CASOS, PUEDE QUE RESULTE DIFÍCIL OBTENER DATOS AL NIVEL
ADECUADO O CON EL NIVEL DE DETALLE NECESARIO. POR TANTO, UN CLARO
ENTENDIMIENTO DE LOS REQUISITOS DE INFORMACIÓN PERMITE A LA DIRECCIÓN Y
AL RESTO DEL PERSONAL IDENTIFICAR FUENTES DE INFORMACIÓN Y DATOS
CONFIABLES Y RELEVANTES.
EL HECHO DE CONSEGUIR EL EQUILIBRIO ADECUADO ENTRE LOS BENEFICIOS Y
COSTOS DE OBTENER Y GESTIONAR ESTA INFORMACIÓN, Y LOS SISTEMAS DE
INFORMACIÓN, ES UN ASPECTO CLAVE A LA HORA DE ESTABLECER UN SISTEMA DE
INFORMACIÓN QUE CUMPLA LAS NECESIDADES DE LA ORGANIZACIÓN.
EJEMPLOS DE FUENTES INTERNAS DE DATOS EJEMPLOS DE DATOS INTERNOS
1. COMUNICACIONES VÍA EMAIL
2. INSPECCIONES EN EL PROCESAMIENTO REALIZADO
EN LAS PLANTAS DE PRODUCCIÓN ACTAS O NOTAS
DE REUNIONES DE COMITÉS OPERATIVOS
3. SISTEMA DE INFORMACIÓN DE HORAS DE TRABAJO
INCURRIDAS POR EL PERSONAL
4. INFORMES PROCEDENTES DE SISTEMAS DE
PRODUCCIÓN
5. RESPUESTAS PROPORCIONADAS EN LAS ENCUESTAS
A CLIENTES
6. CANAL DE DENUNCIAS, QUEJAS Y RECLAMOS
1. CAMBIOS EN LA ORGANIZACIÓN
2. REGISTROS DE PRODUCCIÓN Y DE CALIDAD OPORTUNOS
3. MEDIDAS ADOPTADAS COMO RESPUESTA A LOS PARÁMETROS DE
CONSUMO ENERGÉTICO
4. HORAS INCURRIDAS EN PROYECTOS FACTURADOS POR HORAS
5. NÚMERO DE UNIDADES TRANSPORTADAS A CLIENTES AL MES
6. FACTORES QUE AFECTAN A LOS NIVELES DE BAJAS DE CLIENTES
7. QUEJAS SOBRE COMPORTAMIENTO DE DIRECTIVOS
EJEMPLOS DE FUENTES EXTERNAS DE DATOS EJEMPLOS DE DATOS EXTERNOS
1. DATOS RECIBIDOS DE PROVEEDORES DE SERVICIOS
EXTERNALIZADOS
2. INFORMES DE ESTUDIOS DEL SECTOR
3. INFORMES DE RESULTADOS DE ORGANIZACIONES
HOMÓLOGAS
4. ORGANISMOS REGULADORES
5. REDES SOCIALES O POSTS DE OTROS BLOGS
6. FERIAS COMERCIALES
7. CANAL DE DENUNCIAS, QUEJAS Y RECLAMOS
1. PRODUCTOS RECIBIDOS DE FABRICANTES EXTERNOS
2. NFORMACIÓN SOBRE PRODUCTOS DE LA COMPETENCIA
3. PARÁMETROS DEL MERCADO Y DEL SECTOR
4. NUEVOS REQUISITOS Y AUMENTO DE REQUISITOS EXISTENTES
5. OPINIONES SOBRE LA ORGANIZACIÓN
6. EVOLUCIÓN DE PREFERENCIAS DE CLIENTES
7. AFIRMACIONES DE USO INDEBIDO DE FONDOS O DE SOBORNOS
LA INFORMACIÓN SE RECIBE DE UNA SERIE DE FUENTES Y EN DIVERSOS FORMATOS.
LA SIGUIENTE TABLA RESUME ALGUNOS EJEMPLOS DE FUENTES DE INFORMACIÓN Y DATOS
INTERNOS Y EXTERNOS A PARTIR DE LOS CUALES LA DIRECCIÓN PUEDE GENERAR INFORMACIÓN DE
UTILIDAD Y RELEVANTE PARA EL CONTROL INTERNO.
LA DIRECCIÓN CONSIDERA UN AMPLIO ABANICO DE EVENTOS, ACTIVIDADES Y
FUENTES DE INFORMACIÓN DISPONIBLES INTERNAMENTE Y TAMBIÉN PROCEDENTES
DE FUENTES EXTERNAS CONFIABLES, Y DEFINE LOS MÁS RELEVANTES Y ÚTILES
PARA LA ACTUAL ESTRUCTURA ORGANIZACIONAL, MODELO DE NEGOCIO U
OBJETIVOS DE LA ORGANIZACIÓN.
A MEDIDA QUE SE PRODUCEN CAMBIOS EN LA ORGANIZACIÓN, LOS REQUISITOS DE
INFORMACIÓN TAMBIÉN CAMBIARÁN.
POR EJEMPLO, LAS ORGANIZACIONES QUE OPERAN EN UN ENTORNO ECONÓMICO Y
DE NEGOCIO ALTAMENTE DINÁMICO, EXPERIMENTAN CONTINUOS CAMBIOS TALES
COMO COMPETIDORES ALTAMENTE INNOVADORES Y QUE EVOLUCIONAN A GRAN
VELOCIDAD, EXPECTATIVAS DE CLIENTES EN CONSTANTE CAMBIO, EVOLUCIÓN DE
LOS REQUISITOS REGULATORIOS, EL AVANCE DE LA GLOBALIZACIÓN Y LA
INNOVACIÓN TECNOLÓGICA.
POR TANTO, LA DIRECCIÓN REEVALUARÁ SUS REQUISITOS DE INFORMACIÓN Y LOS
AJUSTARÁ PARA SATISFACER SUS CONTINUAS NECESIDADES.
IDENTIFICAR FUENTES DE INFORMACIÓN.
TOMAR DECISIONES SOBRE LA BASE DE LA INFORMACIÓN VALIDADA.
COMPROMISO CON LA EMISIÓN DE OPINIONES FUNDAMENTADAS.
DESARROLLAR ACTITUDES POSITIVAS HACIA LA INVESTIGACIÓN Y EL
ANÁLISIS DE PROBLEMAS.
ACTITUD ABIERTA A LA BÚSQUEDA DE NUEVA INFORMACIÓN.
PERSEVERANCIA Y ATENCIÓN CONTINUADA EN LA BÚSQUEDA DE
INFORMACIÓN.
DESARROLLO DEL COMPROMISO CON LA MEJORA PERMANENTE.
COMUNICARSE CON SENSIBILIDAD HACIA LOS OTROS.
SELECCIONAR ESTRATEGIAS PARA BUSCAR INFORMACIÓN.
ORGANIZAR DATOS DE ACUERDO A CRITERIOS.
UTILIZAR APLICACIONES Y SISTEMAS DE BÚSQUEDA DE INFORMACIÓN.
APLICAR SISTEMAS DE CLASIFICACIÓN DE LA INFORMACIÓN.
1
2
3
4
5
6
7
8
9
10
11
12
LAS ORGANIZACIONES DESARROLLAN SISTEMAS DE INFORMACIÓN PARA OBTENER,
CAPTAR Y PROCESAR GRANDES VOLÚMENES DE DATOS PROCEDENTES DE FUENTES
INTERNAS Y EXTERNAS Y PARA PODER TRANSFORMARLOS EN INFORMACIÓN QUE
TENGA UN VERDADERO VALOR PARA ELLOS Y QUE LES PERMITA ACTUAR CON EL FIN
DE CUMPLIR LOS REQUISITOS DE INFORMACIÓN DEFINIDOS.
LOS SISTEMAS DE INFORMACIÓN ABARCAN UNA AMPLIA COMBINACIÓN DE
ELEMENTOS ENTRE LOS QUE SE INCLUYEN LAS PERSONAS, LOS PROCESOS, LOS
DATOS Y LA TECNOLOGÍA, QUE RESPALDAN LOS PROCESOS DE NEGOCIO
GESTIONADOS INTERNAMENTE ASÍ COMO AQUELLOS QUE CUENTAN CON EL APOYO
DE PROVEEDORES DE SERVICIOS EXTERNALIZADOS Y DE OTROS GRUPOS DE
INTERÉS EXTERNOS QUE INTERACTÚAN CON LA ORGANIZACIÓN.
LA INFORMACIÓN SE PUEDE OBTENER A TRAVÉS DE DIVERSAS FORMAS, ENTRE LAS
QUE SE INCLUYEN LA RECOPILACIÓN O INTRODUCCIÓN MANUAL DE DATOS, O EL
USO DE TECNOLOGÍAS DE INFORMACIÓN TALES COMO EL INTERCAMBIO DE DATOS
ELECTRÓNICOS (EDI) O LAS INTER FASES DE PROGRAMACIÓN DE APLICACIONES
(API).
LAS CONVERSACIONES QUE SE PUEDAN MANTENER CON LOS CLIENTES,
PROVEEDORES, REGULADORES Y EMPLEADOS TAMBIÉN SON UNAS FUENTES
VALIOSAS DE DATOS E IN FORMACIONES CRÍTICAS QUE RESULTAN NECESARIAS
PARA IDENTIFICAR Y EVALUAR TANTO LOS RIESGOS COMO LAS OPORTUNIDADES.
EN ALGUNOS CASOS, LA INFORMACIÓN Y LOS DATOS SUBYACENTES CAPTADOS
REQUIEREN QUE SE LLEVEN A CABO UNA SERIE DE PROCESOS MANUALES O
AUTOMÁTICOS PARA GARANTIZAR QUE TIENEN EL NIVEL DE DETALLE RELEVANTE Y
CUMPLEN LAS DEFINICIONES REQUERIDAS.
S.I.
PROVEEDOR
S.I.
CLIENTETELEMÁTICA
TRANSMISIÓN ELECTRÓNICA ENTRE APLICACIONES INFORMÁTICAS DE DOCUMENTOS
COMERCIALES Y ADMINISTRATIVOS EN UN FORMATO NORMALIZADO.
EN OTROS CASOS, LA INFORMACIÓN PUEDE OBTENERSE DIRECTAMENTE DE FUENTES EXTERNAS O
INTERNAS.
EL VOLUMEN DE INFORMACIÓN ACCESIBLE PARA LA ORGANIZACIÓN PRESENTA IMPORTANTES
OPORTUNIDADES Y RIESGOS. EL HECHO DE QUE UNA ORGANIZACIÓN TENGA UN MAYOR ACCESO A
INFORMACIÓN PUEDE MEJORAR EL CONTROL INTERNO.
SIN EMBARGO, EL AUMENTO DEL VOLUMEN DE INFORMACIÓN Y DE LOS DATOS SUBYACENTES
PUEDE GENERAR RIESGOS ADICIONALES, TALES COMO RIESGOS OPERACIONALES Y DE NEGOCIO
CAUSADOS POR INEFICIENCIAS DEBIDAS A UNA SOBRECARGA DE DATOS, RIESGOS DE
CUMPLIMIENTO ASOCIADOS CON LAS LEYES Y REGULACIONES RELATIVAS A LA PROTECCIÓN Y
RETENCIÓN DE DATOS, Y RIESGOS DE SEGURIDAD Y PRIVACIDAD DERIVADOS DE LA NATURALEZA
DE LOS DATOS ALMACENADOS POR LA ORGANIZACIÓN O POR AGENTES EXTERNOS EN NOMBRE DE
ÉSTA.
LA NATURALEZA Y EL ALCANCE DE LOS REQUISITOS DE INFORMACIÓN, LA COMPLEJIDAD Y EL
VOLUMEN DE INFORMACIÓN, Y LA DEPENDENCIA QUE TENGA DE DETERMINADOS GRUPOS DE
INTERÉS EXTERNOS AFECTARÁN AL GRADO DE SOFISTICACIÓN DE LOS SISTEMAS DE
INFORMACIÓN, INCLUIDO EL ALCANCE TECNOLÓGICO DESPLEGADO POR LA ORGANIZACIÓN.
CON INDEPENDENCIA DEL NIVEL DE SOFISTICACIÓN ADOPTADO, LOS SISTEMAS DE INFORMACIÓN
REPRESENTAN EL PROCESAMIENTO INTEGRAL DE LA INFORMACIÓN RELACIONADA CON LAS
TRANSACCIONES Y DATOS QUE PERMITEN A LA ORGANIZACIÓN RE COPILAR, ALMACENAR Y
RESUMIR INFORMACIÓN UNIFORME Y DE CALIDAD PROCEDENTE DE LOS DISTINTOS PROCESOS
CLAVE, YA SEA MEDIANTE PROCESOS MANUALES, AUTOMÁTICOS O UNA COMBINACIÓN DE AMBOS.
LA DIRECCIÓN DESARROLLA E IMPLANTA ACTIVIDADES DE CONTROL SOBRE LA INTEGRIDAD DE
LOS DATOS INTRODUCIDOS EN LOS SISTEMAS DE INFORMACIÓN ASÍ COMO SOBRE LA PRECISIÓN E
INTEGRIDAD DEL PROCESAMIENTO DE DICHOS DATOS PARA TRANSFORMARLOS EN INFORMACIÓN
QUE PUEDA SER UTILIZADA POR OTROS CONTROLES.
LOS SISTEMAS DE INFORMACIÓN DESARROLLADOS CON PROCESOS INTEGRADOS Y
SOPORTADOS POR TECNOLOGÍAS PROPORCIONAN OPORTUNIDADES PARA MEJORAR
LA EFICIENCIA, LA VELOCIDAD Y LA ACCESIBILIDAD DE LA INFORMACIÓN A LOS
USUARIOS.
DE IGUAL MANERA, TALES SISTEMAS DE INFORMACIÓN PUEDEN MEJORAR EL
CONTROL INTERNO SOBRE LOS RIESGOS DE SEGURIDAD Y PRIVACIDAD ASOCIADOS
CON LA INFORMACIÓN OBTENIDA Y GENERADA POR LA ORGANIZACIÓN. LOS
SISTEMAS DE INFORMACIÓN DISEÑADOS E IMPLEMENTADOS PARA RESTRINGIR EL
ACCESO A LA INFORMACIÓN ÚNICAMENTE A AQUELLAS PERSONAS QUE LO
NECESITEN Y PARA REDUCIR EL NÚMERO DE PUNTOS DE ACCESO MEJORAN LA
EFICACIA DE LA MITIGACIÓN DE RIESGOS ASOCIADA CON LA SEGURIDAD Y LA
PRIVACIDAD DE LA INFORMACIÓN.
LOS SISTEMAS ERP (PLANIFICACIÓN DE RECURSOS CORPORATIVOS), LOS SISTEMAS
AMS (GESTIÓN DE ASOCIACIONES), LAS INTRANETS CORPORATIVAS, LAS
HERRAMIENTAS COLABORATIVAS, LOS SOCIAL MEDIA, LOS CENTROS DE DATOS, LOS
SISTEMAS DE INTELIGENCIA DE NEGOCIO, LOS SISTEMAS OPERATIVOS (POR
EJEMPLO, SISTEMAS DE AUTOMÁTICOS EN FÁBRICAS O SISTEMAS DE USO
ENERGÉTICO), LAS APLICACIONES WEB Y DEMÁS SOLUCIONES TECNOLÓGICAS
PRESENTAN OPORTUNIDADES PARA QUE LA DIRECCIÓN DE LA ORGANIZACIÓN PUEDA
APROVECHAR LAS TECNOLOGÍAS Y DESARROLLAR E IMPLEMENTAR UNOS SISTEMAS
DE INFORMACIÓN EFICACES Y EFICIENTES.
PARA MANTENER LA CALIDAD DE LA INFORMACIÓN, ES NECESARIO QUE EL SISTEMA
DE CONTROL IN:' TERNO SEA EFICAZ, EN ESPECIAL CON RELACIÓN A LOS
VOLÚMENES DE DATOS QUE SE MUEVEN EN LA ACTUALIDAD Y LA ELEVADA
DEPENDENCIA EXISTENTE DE SISTEMAS DE INFORMACIÓN SOFISTICADOS Y
AUTOMÁTICOS.
LA CAPACIDAD PARA GENERAR INFORMACIÓN DE CALIDAD COMIENZA CON LA
CAPTACIÓN DE LOS DATOS RELEVANTES. SI SE DISPONE DE DATOS POCO PRECISOS O
INCOMPLETOS, LA INFORMACIÓN DERIVADA DE DICHOS DATOS PUEDE PROVOCAR
QUE SE ADOPTEN DECISIONES EQUIVOCADAS, QUE SE EFECTÚEN ESTIMACIONES
ERRÓNEAS O QUE SE APLIQUE DE MANERA DEFICIENTE EL CRITERIO PROFESIONAL
DE LA DIRECCIÓN.
1. ACCESIBLE 2. CORRECTA 3. ACTUAL 4. PROTEGIDA5. SE
CONSERVA
6.SUFICIENTE 7. OPORTUNA 8. VÁLIDA 9. VERIFICABLE
1. ACCESIBLE: LA INFORMACIÓN ES FÁCIL DE OBTENER POR PARTE DE AQUELLOS QUE LA NECESITEN. LOS
USUARIOS SABEN QUÉ INFORMACIÓN ESTÁ DISPONIBLE Y EN QUÉ PARTE DEL SISTEMA DE INFORMACIÓN SE
ENCUENTRA DICHA INFORMACIÓN.
2. CORRECTA: LOS DATOS SUBYACENTES SON PRECISOS Y COMPLETOS. LOS SISTEMAS DE INFORMACIÓN DEBERÁN
INCLUIR COMPROBACIONES QUE VALIDEN Y ABORDEN LA INTEGRIDAD Y PRECISIÓN DE LA INFORMACIÓN,
INCLUIDOS LOS PROCEDIMIENTOS NECESARIOS DE RESOLUCIÓN DE INCIDENCIAS.
3. ACTUAL: LOS DATOS RECOPILADOS SE OBTIENEN DE FUENTES ACTUALES Y SE RECOPILAN CON LA FRECUENCIA
NECESARIA.
4. PROTEGIDA: EL ACCESO A INFORMACIÓN SENSIBLE SE RESTRINGE AL PERSONAL AUTORIZADO. LA
CATEGORIZACIÓN DE LOS DATOS (POR EJEMPLO, EN NIVELES DIFERENCIADOS COMO INFORMACIÓN
"CONFIDENCIAL", "SECRETO" O "ALTAMENTE CONFIDENCIAL") FACILITA LA PROTECCIÓN DE LA INFORMACIÓN.
5. SE CONSERVA: LA INFORMACIÓN SE ENCUENTRA DISPONIBLE DURANTE UN PERÍODO PROLONGADO DE TIEMPO
PARA HACER POSIBLE QUE SE LLEVEN A CABO CONSULTAS E INSPECCIONES POR PARTE DE GRUPOS DE INTERÉS
EXTERNOS.
6. SUFICIENTE: SE DISPONE DE INFORMACIÓN SUFICIENTE Y RELEVANTE CON EL NIVEL ADECUADO DE DETALLE
PARA LOS REQUISITOS DE INFORMACIÓN. LOS DATOS IRRELEVANTES SE ELIMINAN PARA EVITAR INEFICIENCIAS,
USOS INDEBIDOS O ERRORES DE INTERPRETACIÓN.
7. OPORTUNA: LA INFORMACIÓN SE ENCUENTRA DISPONIBLE EN EL SISTEMA DE INFORMACIÓN CUANDO SE
REQUIERE. LA INFORMACIÓN OPORTUNA CONTRIBUYE A LA IDENTIFICACIÓN TEMPRANA DE POSIBLES EVENTOS,
TENDENCIAS Y PROBLEMAS.
8. VÁLIDA: LA INFORMACIÓN SE OBTIENE A TRAVÉS DE FUENTES AUTORIZADAS, SE RECOPILA CONFORME A LOS
PROCEDIMIENTOS ESTABLECIDOS Y REPRESENTA EVENTOS QUE REALMENTE HAN OCURRIDO.
9. VERIFICABLE: LA INFORMACIÓN ESTÁ SOPORTADA POR EVIDENCIAS QUE JUSTIFICAN LA FUENTE DE
INFORMACIÓN. LA DIRECCIÓN ESTABLECE LAS POLÍTICAS DE GESTIÓN DE INFORMACIÓN TRAS HABER DEFINIDO
CLARAMENTE LAS RESPONSABILIDADES SOBRE LA CALIDAD DE LA INFORMACIÓN.
LA CALIDAD DE LA INFORMACIÓN DEPENDERÁ DE SI ÉSTA ES:
LA DIRECCIÓN ESTABLECE LAS POLÍTICAS DE GESTIÓN DE INFORMACIÓN TRAS
HABER DEFINIDO CLARAMENTE LAS RESPONSABILIDADES SOBRE LA CALIDAD DE LA
INFORMACIÓN. ESTAS POLÍTICAS ABORDAN LAS LÍNEAS GENERALES EXISTENTES
CON RESPECTO AL GOBIERNO DE LA INFORMACIÓN Y SIRVEN A SU VEZ PARA
ORIENTAR LOS PROCESOS QUE DEFINEN LAS CATEGORÍAS O CLASES DE DATOS Y
PARA ESTABLECER LOS CORRESPONDIENTES REQUISITOS SOBRE LA GESTIÓN FÍSICA
DE LOS DATOS, SU ALMACENAMIENTO, SEGURIDAD Y PRIVACIDAD.
ESTAS POLÍTICAS AYUDAN A LA DIRECCIÓN Y AL RESTO DEL PERSONAL DE LA
ORGANIZACIÓN RESPONSABLE DE LA PROTECCIÓN DE DATOS Y DE LA INFORMACIÓN,
EVITANDO ACCESOS Y CAMBIOS NO AUTORIZADOS EN LA INFORMACIÓN, ASÍ COMO
EN EL CUMPLIMIENTO DE LOS REQUISITOS DE MANTENIMIENTO DE LOS DATOS.
POR EJEMPLO, EN UN CASO, LA ALTA DIRECCIÓN DE UNA AGENCIA DEL GOBIERNO
ALTAMENTE DESCENTRALIZADA Y CON DIVERSAS OFICINAS EN UBICACIONES
GEOGRÁFICAS DIFERENTES, IDENTIFICÓ UN RIESGO ESPECÍFICO PARA LOGRAR UN
OBJETIVO OPERACIONAL RELACIONADO CON LA CALIDAD DE LOS DATOS
OPERATIVOS RECABADOS A TRAVÉS DE SUS 2.000 UNIDADES DE CAMPO.
LA DIRECCIÓN DESARROLLÓ UNA SERIE DE REQUISITOS DE DATOS ESPECÍFICOS Y
UN FORMATO DE GENERACIÓN DE INFORMES PARA QUE LOS UTILIZARAN TODAS LAS
UNIDADES DE CAMPO. LA ALTA DIRECCIÓN LLEVÓ A CABO UNA SERIE DE REVISIONES
MENSUALES DE MANERA SISTEMÁTICA DE LOS PARÁMETROS CLAVE DERIVADOS DE
LOS DATOS OBTENIDOS EN TODAS LAS UNIDADES DE CAMPO. LAS UNIDADES DE
CAMPO QUE OBTENÍAN LOS MEJORES Y LOS PEORES RESULTADOS TENÍAN QUE
EXPLICAR EL ORIGEN DE SUS DATOS A UN EQUIPO DE AUDITORÍA INTERNA.
TERMINAL
SATÉLITE
NOC
ABONADO
INTERNET PÚBLICA
TIPOS DE ACCESO VÍA SATÉLITE
DE IGUAL MANERA, LA DIRECCIÓN DE LA AGENCIA UTILIZÓ LOS INFORMES DE DATOS OPERATIVOS
DE LAS UNIDADES Y DE PARÁMETROS RELATIVOS A LAS VISITAS DE CAMPO Y COMENZÓ A
PLANTEAR PREGUNTAS PARA EVALUAR EL ENTENDIMIENTO QUE LAS UNIDADES TENÍAN DE LOS
DATOS INCLUIDOS EN DICHOS INFORMES.
SEIS MESES DESPUÉS DE HABER IMPLANTADO ESTE SISTEMA DE INFORMACIÓN, LAS REVISIONES
MENSUALES, LAS VISITAS DE CAMPO Y EL FEEDBACK O RETROALIMENTACIÓN OBTENIDA Y
COMPARTIDA EN LOS DISTINTOS NIVELES DEL PROCESO, LA CALIDAD DE LA INFORMACIÓN MEJORÓ
HASTA ALCANZAR EL NIVEL ACEPTABLE ESPERADO POR LA DIRECCIÓN.
PARA MANTENER EL NIVEL CONSEGUIDO, LA DIRECCIÓN APLICÓ CAMBIOS A LAS POLÍTICAS Y
PROCESOS DE INFORMACIÓN DE LOS DATOS OPERATIVOS Y ADOPTÓ TECNOLOGÍAS DE
INTELIGENCIA DE NEGOCIO QUE PERMITIERON A LA ORGANIZACIÓN PRESENTAR LA INFORMACIÓN
DE MANERA COHERENTE Y OPORTUNA.
LA INFORMACIÓN QUE SE OBTIENE A PARTIR DE PROVEEDORES DE SERVICIOS EXTERNALIZADOS
QUE GESTIONAN PROCESOS DE NEGOCIO DE LA ORGANIZACIÓN, Y DE OTROS GRUPOS DE INTERÉS
EXTERNOS QUE TAMBIÉN DEPENDEN DE LA ORGANIZACIÓN, DEBE SER OBJETO DE LAS MISMAS
EXPECTATIVAS EN MATERIA DE CONTROL INTERNO. LOS REQUISITOS DE INFORMACIÓN SON
DESARROLLADOS POR LA ORGANIZACIÓN Y SE COMUNICAN A LOS PROVEEDORES DE SERVICIOS
EXTERNOS Y A OTROS GRUPOS DE INTERÉS EXTERNOS DE NATURALEZA SIMILAR.
LOS CONTROLES FACILITAN LA CAPACIDAD DE LA ORGANIZACIÓN PARA CONFIAR EN DICHA
INFORMACIÓN, INCLUIDO EL CONTROL INTERNO SOBRE LOS PROVEEDORES DE SERVICIOS
EXTERNALIZADOS, TALES COMO LOS PROCEDIMIENTOS DE DUE DILIGENCE (DEBIDA DILIGENCIA)
SOBRE PROVEEDORES, LA INTRODUCCIÓN DE CLÁUSULAS CONTRACTUALES QUE LES CONFIERA EL
DERECHO A AUDITAR A DICHOS PROVEEDORES, Y LA OBTENCIÓN DE UNA EVALUACIÓN
INDEPENDIENTE SOBRE LOS CONTROLES DE DICHOS PROVEEDORES DE SERVICIOS.
1. ESPECÍFICO, PARA QUE SEA ÚTIL
2. QUE APORTE INFORMACIÓN Y
AYUDE AL QUE LO RECIBE.
3. SIN MIEDO, E INVITANDO AL
DIÁLOGO ABIERTO
4. CONSISTE EN DAR Y RECIBIR
5. SINCERO Y CON BUENAS INTENCIONES,
LIBRE DE PREJUICIOS. HAY QUE SER
POSITIVOS TANTO AL DARLO COMO AL
RECIBIRLO.
LA DIRECCIÓN TENDRÁ EN CUENTA SUS
REQUISITOS A LA HORA DE RETENER LAS
COMUNICACIONES INTERCAMBIADAS, EN
PARTICULAR AQUELLAS ENVIADAS O RECIBIDAS
DE GRUPOS DE INTERÉS EXTERNOS Y AQUELLAS
RELACIONADAS CON EL CUMPLIMIENTO DE LAS
LEYES Y REGULACIONES POR PARTE DE LA
ORGANIZACIÓN.
DADO EL VOLUMEN Y LA CAPACIDAD PARA
GUARDAR Y RECUPERAR DICHA INFORMACIÓN,
ÉSTE REQUISITO PUEDE CONSTITUIR TODO UN
DESAFÍO CUANDO LA DIRECCIÓN DEPENDA DE
COMUNICACIONES EN TIEMPO REAL PROCESADAS
POR MEDIOS TECNOLÓGICOS. LOS CONTROLES
SOBRE LA RETENCIÓN DE INFORMACIÓN
RELATIVA AL CONTROL INTERNO TENDRÁN EN
CUENTA LOS RETOS QUE SU PONEN LOS AVANCES
TECNOLÓGICOS, INCLUIDAS LAS TECNOLOGÍAS
DE COMUNICACIÓN Y COLABORACIÓN
UTILIZADAS PARA FACILITAR OTROS
COMPONENTES DEL CONTROL INTERNO Y LA
CONSECUCIÓN DE LOS OBJETIVOS DE LA
ORGANIZACIÓN.
14
LA ORGANIZACIÓN
COMUNICA LA
INFORMACIÓN
INTERNAMENTE,
INCLUIDOS LOS
OBJETIVOS Y
RESPONSABILIDADES
QUE SON NECESARIOS
PARA APOYAR EL
FUNCIONAMIENTO DEL
SISTEMA DE CONTROL
INTERNO.
69. COMUNICA LA INFORMACIÓN DE CONTROL INTERNO:
EXISTE UN PROCESO DESTINADO A COMUNICAR LA
INFORMACIÓN NECESARIA PARA POSIBILITAR QUE TODO EL
PERSONAL COMPRENDA Y DESEMPEÑE SUS RESPONSABILIDADES
DE CONTROL INTERNO.
70. SE COMUNICA CON EL CONSEJO DE ADMINISTRACIÓN:
HAY UNA COMUNICACIÓN ENTRE LA DIRECCIÓN Y EL CONSEJO
DE ADMINISTRACIÓN DE FORMA QUE AMBAS PARTES DISPONGAN
DE LA INFORMACIÓN NECESARIA PARA CUMPLIR SUS FUNCIONES
EN LÍNEA CON LOS OBJETIVOS DE LA ORGANIZACIÓN.
71. FACILITA LÍNEAS DE COMUNICACIÓN INDEPENDIENTES:
EXISTEN CANALES DE COMUNICACIÓN INDEPENDIENTES -COMO
CANALES DE DENUNCIAS- QUE ACTÚAN COMO MECANISMOS
SEGUROS, DE FORMA QUE LA COMUNICACIÓN DE INFORMACIÓN
SE HAGA DE MANERA ANÓNIMA O CONFIDENCIAL EN AQUELLOS
CASOS EN LOS QUE LOS CANALES HABITUALES SE ENCUENTRAN
INOPERATIVOS O CARECEN DE EFICACIA.
72. DEFINE EL MÉTODO DE COMUNICACIÓN RELEVANTE:
EL MÉTODO DE COMUNICACIÓN TIENE EN CUENTA EL MARCO
TEMPORAL, EL PÚBLICO Y LA NATURALEZA DE LA INFORMACIÓN.
LA COMUNICACIÓN DE INFORMACIÓN QUE SE TRANSMITE A LOS DISTINTOS
NIVELES DE LA ORGANIZACIÓN INCLUYE:
LA ORGANIZACIÓN ESTABLECE E IMPLEMENTA POLÍTICAS Y PROCEDIMIENTOS QUE
FACILITAN UNA COMUNICACIÓN INTERNA EFECTIVA. ESTO INCLUYE
COMUNICACIONES ESPECÍFICAS Y DIRECTAS QUE ABORDAN CUESTIONES COMO
FACULTADES INDIVIDUALES, RESPONSABILIDADES Y NORMAS DE CONDUCTA
DESPLEGADAS EN LOS DISTINTOS NIVELES DE LA ORGANIZACIÓN. LA ALTA
DIRECCIÓN COMUNICA LOS OBJETIVOS DE LA ORGANIZACIÓN CON CLARIDAD A LOS
DISTINTOS NIVELES DE LA ORGANIZACIÓN, DE MANERA QUE EL RESTO DE LA
DIRECCIÓN Y DEL PERSONAL DE LA ORGANIZACIÓN, INCLUIDOS AQUELLOS QUE NO
SEAN EMPLEADOS DIRECTOS DE LA MISMA, TALES COMO CONTRATISTAS,
COMPRENDAN SUS FUNCIONES ESPECÍFICAS EN LA ORGANIZACIÓN.
ESTE TIPO DE COMUNICACIÓN SE PRODUCIRÁ CON INDEPENDENCIA DE LA
UBICACIÓN EN LA QUE SE ENCUENTRE EL PERSONAL, ASÍ COMO DE SU NIVEL DE
AUTORIDAD O DE SUS RESPONSABILIDADES FUNCIONALES.
A MEDIDA QUE LA DIRECCIÓN TRASLADA LA COMUNICACIÓN DE LOS OBJETIVOS
ESPECÍFICOS DE LA ORGANIZACIÓN A LOS DISTINTOS NIVELES DE LA
ORGANIZACIÓN, ES CADA VEZ MÁS IMPORTANTE QUE LOS SUB OBJETIVOS
RELACIONADOS CON LOS REQUISITOS ESPECÍFICOS SE COMUNIQUEN AL PERSONAL
DE FORMA QUE PUEDAN COMPRENDER CUÁLES SON SUS FUNCIONES Y
RESPONSABILIDADES Y CÓMO IMPACTAN A LA CONSECUCIÓN DE LOS OBJETIVOS
DE LA ORGANIZACIÓN.
LA COMUNICACIÓN INTERNA COMIENZA CON LA COMUNICACIÓN DE LOS
OBJETIVOS DEFINIDOS.
SON CUATRO LOS MALES DESENCADENADOS POR UNA MALA COMUNICACIÓN
INTERNA:
ERROR 1. DESORIENTACIÓN EMPRESARIAL
CUANDO NO EXISTE UNA COMUNICACIÓN EFECTIVA, EL OBJETIVO SE PIERDE,
POR LO TANTO EL MENSAJE NO LLEGA, ESTO PROPICIA UN DESCONTROL POR
PARTE DE LOS COLABORADORES AL NO SABER CUÁL ES EL OBJETIVO
PRIMORDIAL.
ERROR 2. DESCONFIANZA LABORAL
EL MAYOR PROBLEMA DE UNA COMUNICACIÓN INTERNA NO EFECTIVA ES LA
FALTA DE IDENTIFICACIÓN CON LA ORGANIZACIÓN, ESTO SE TRADUCE EN
DESCONFIANZA.
ERROR 3. DESMOTIVACIÓN Y PÉRDIDA DE PRODUCTIVIDAD
CUANDO NO EXISTE UNA CONEXIÓN ENTRE LOS OBJETIVOS ORGANIZACIONALES Y
LOS COLABORADORES, ÉSTOS SIENTEN QUE NO ESTÁN INFORMADOS Y QUE NO
FORMAN PARTE DEL EQUIPO. CUANDO ESTO SUCEDE, LA DESMOTIVACIÓN ES UN
FACTOR QUE AFECTA DE MANERA DIRECTA, TRADUCIÉNDOSE EN BAJA AUTOESTIMA
Y MALA PRODUCTIVIDAD.
ERROR 4. DETERIORO DEL CLIMA LABORAL
NEGATIVIDAD, CHISMES, MALA INFORMACIÓN; ESTOS PUEDEN SER LOS
RESULTADOS QUE PROPICIA LA DESINFORMACIÓN. EL MAL CLIMA LABORAL ES
UN RESULTADO INNEGABLE DE UNA MALA COMUNICACIÓN INTERNA .
ESTO HACE POSIBLE QUE TODO EL PERSONAL RECIBA UN MENSAJE CLARO, POR PARTE DE LA
ALTA DIRECCIÓN, DE QUE LAS RESPONSABILIDADES DE CONTROL INTERNO SE DEBEN APLICAR
RIGUROSAMENTE. A TRAVÉS DE LA COMUNICACIÓN DE LOS OBJETIVOS Y LOS SUB OBJETIVOS
CORRESPONDIENTES, EL PERSONAL COMPRENDERÁ CÓMO SUS FUNCIONES,
RESPONSABILIDADES Y ACTUACIONES AFECTAN AL TRABAJO DE LOS DEMÁS DENTRO DE LA
ORGANIZACIÓN; QUÉ RESPONSABILIDADES TIENEN EN CUANTO AL CONTROL INTERNO; Y QUÉ
TIPO DE COMPORTAMIENTO SE CONSIDERA ACEPTABLE O INACEPTABLE.
TAL Y COMO HEMOS MENCIONADO EN EL APARTADO ENTORNO DE CONTROL, AL ESTABLECER LAS
ESTRUCTURAS, FUNCIONES Y RESPONSABILIDADES PERTINENTES, SE FACILITA EL PODER
LLEVAR A CABO UNA COMUNICACIÓN EFECTIVA AL PERSONAL SOBRE LAS EXPECTATIVAS QUE SE
TIENEN DE ELLOS EN LO QUE RESPECTA A CONTROL INTERNO.
LA DIRECCIÓN DEFINIRÁ, PONDRÁ EN FUNCIONAMIENTO Y DESPLEGARÁ CONTROLES QUE
CONTRIBUYAN A GARANTIZAR QUE LA INFORMACIÓN SE COMPARTE MEDIANTE LA
COMUNICACIÓN INTERNA Y, QUE AYUDAN A LA DIRECCIÓN Y AL RESTO DEL PERSONAL A
DESEMPEÑAR SUS RESPONSABILIDADES DE CONTROL A TRAVÉS DE LAS MÚLTIPLES FUNCIONES,
UNIDADES OPERATIVAS O DIVISIONES.
SIN EMBARGO, LA COMUNICACIÓN DE LAS RESPONSABILIDADES DE CONTROL INTERNO PUEDE
QUE NO SEAN SUFICIENTES EN SÍ MISMAS PARA GARANTIZAR QUE LA DIRECCIÓN Y EL RESTO
DEL PERSONAL ASUMAN SUS RESPONSABILIDADES PERTINENTES Y QUE RESPONDAN COMO
DEBAN HACERLO. A MENUDO, LA DIRECCIÓN DEBERÁ APLICAR MEDIDAS OPORTUNAS QUE SEAN
COHERENTES CON ESTA COMUNICACIÓN PARA REFORZAR LOS MENSAJES TRANSMITIDOS.
COMUNICACIÓN EXTERNA
COMUNICACIÓN ORGANIZACIONAL
COMUNICACIÓN INTERNA
POR EJEMPLO:
EL PERSONAL DEL DEPARTAMENTO DE VENTAS DE UNA ORGANIZACIÓN RECABA
INFORMACIÓN SOBRE EL NÚMERO DE DEFECTOS REGISTRADOS EN DETERMINADAS
PIEZAS. ESTA INFORMACIÓN TAMBIÉN RESULTA ÚTIL PARA LOS DIRECTORES DE
PRODUCCIÓN E INGENIERÍA, DADO QUE PUEDE INDICAR DETERMINADOS PROBLEMAS
CON EL DISEÑO DE LOS PRODUCTOS O CON LA CALIDAD DE LA PRODUCCIÓN.
DE IGUAL MANERA, LOS RESULTADOS DE LAS ACTIVIDADES DE SUPERVISIÓN SE
COMUNICAN AL RESTO DEL PERSONAL PARA AYUDARLES A IDENTIFICAR LAS
CAUSAS ORIGINARIAS DEL PROBLEMA Y ADOPTAR MEDIDAS CORRECTIVAS AL
RESPECTO.
EL DEPARTAMENTO DE AUDITORÍA INTERNA LLEVA A CABO UNA AUDITORÍA SOBRE
LAS COMISIONES QUE SE PAGAN A LOS DISTRIBUIDORES EN UN TERRITORIO EN EL
QUE OPERA LA ORGANIZACIÓN.
LA AUDITORÍA PONE DE MANIFIESTO QUE SE HAN PRODUCIDO CASOS DE REPORTE
DE INFORMACIÓN FRAUDULENTA EN LOS DATOS DE VENTAS EFECTUADAS A TRAVÉS
DE DETERMINADOS DISTRIBUIDORES. LA INVESTIGACIÓN POSTERIOR REVELA QUE
UN DISTRIBUIDOR HA REALIZADO PAGOS AL REPRESENTANTE DE VENTAS.
ESTA INFORMACIÓN ES COMPARTIDA CON AQUELLAS PERSONAS RESPONSABLES DE
RESPONDER ANTE EL SUPUESTO FRAUDE Y TAMBIÉN CON LA DIRECCIÓN DE VENTAS
EN OTROS TERRITORIOS, PERMITIÉNDOLES ASÍ ANALIZAR LA INFORMACIÓN DE
MANERA MÁS CRÍTICA PARA DETERMINAR SI SE TRATA DE UN HECHO AISLADO Y
PARA ADOPTAR LAS MEDIDAS NECESARIAS.
IRREGULARIDADES
ACTOS U OMISIONES INTENCIONADOS QUE ALTERAN LA INFORMACIÓN CONTENIDA
EN LAS CUENTAS ANUALES, TALES COMO:
1. MANIPULACIÓN O ALTERACIÓN DE REGISTROS CONTABLES
2. APROPIACIÓN INDEBIDA O UTILIZACIÓN IRREGULAR DE
ACTIVOS
3. SUPRESIÓN U OMISIÓN DE TRANSACCIONES EN REGISTROS
4. OPERACIONES FICTICIAS
5. APLICACIÓN INDEBIDA DE PRINCIPIOS Y NORMAS CONTABLES
SE RESUMEN EN DOS:
1. EMISIÓN DE INFORMACIÓN FINANCIERA INCORRECTA.
2. APROPIACIÓN INDEBIDA DE ACTIVOS.
1. INFORMACIÓN FINANCIERA INCORRECTA.
SE UTILIZAN LAS SIGUIENTES TÉCNICAS:
1. OPERACIONES FICTICIAS O MANIPULANDO RESULTADOS EN FECHAS PRÓXIMAS
AL CIERRE.
2. ESTIMACIONES CONTABLES: CAMBIANDO CRITERIOS O UTILIZANDO HIPÓTESIS
INAPROPIADAS.
3. OMISIÓN, ANTICIPACIÓN O RETRASO DE HECHOS O TRANSACCIONES.
4. DISIMULAR O OCULTAR HECHOS CON EFECTO IMPORTANTE EN LAS CCA
5. OPERACIONES COMPLEJAS CON EL INTERÉS DE MOSTRAR UNA POSICIÓN
FINANCIERA ENGAÑOSA.
6. ALTERACIÓN DE DOCUMENTOS O TÉRMINOS RELATIVOS A TRANSACCIONES.
2. APROPIACIÓN INDEBIDA DE ACTIVOS.
SE UTILIZAN LAS SIGUIENTES TÉCNICAS:
1. COBROS DE CLIENTES
2. ROBOS DE EXISTENCIAS (USO PERSONAL O VENTA)
3. PAGOS POR PRODUCTOS O SERVICIOS NO RECIBIDOS
4. PAGOS INDEBIDOS A AGENTES, VENDEDORES
5. PAGOS A EMPLEADOS EN GENERAL (INCLUIDAS LAS NOTAS DE GASTOS)
6. USO DE ACTIVOS PARA FINES PERSONALES
1. DESCENSO DE VENTAS DISCONTINUIDAD DE LÍNEAS DE
PRODUCCIÓN, FONDOS DE COMERCIO Y OTROS ACTIVOS
INTANGIBLES
2. VALORACIÓN DE ACTIVOS INMOBILIARIOS PÉRDIDAS DE
VALOR DE CARÁCTER MUY SIGNIFICATIVO
3. AUMENTOS DE LA TASA DE INTERÉS AFECTAN A LA TASA DE
DESCUENTO Y A LA VALORACIÓN DE LOS FONDOS DE COMERCIO Y
OTROS INTANGIBLES
4. CUENTAS POR COBRAR AUMENTO DE MOROSIDAD (CLIENTES,
DEUDORES Y GRUPO)
5. EXISTENCIAS
6. PÉRDIDAS DE VALOR DE INVERSIONES A CORTO PLAZO
7. RECUPERACIÓN DE CRÉDITOS FISCALES
1. RIESGO DE LIQUIDEZ (IMPOSIBILIDAD DE ATENDER LOS PLAZOS)
2. REFINANCIACIÓN DE DEUDAS (DIFICULTADES EN ACCEDER A LA RENOVACIÓN O
CON CONDICIONES FAVORABLES)
3. ENDEUDAMIENTOS LIGADOS A ACTIVOS CUYO VALOR PUEDE DISMINUIR (AL
DISMINUIR EL VALOR DE LOS INMUEBLES O ACCIONES SE NECESITAN REPONER
GARANTÍAS)
4. CLÁUSULAS ESPECIALES EN LOS CONTRATOS DE FINANCIACIÓN
(INCUMPLIMIENTO PUEDE SUPONER PÉRDIDA DE LA FINANCIACIÓN O
ENCARECIMIENTO
LA COMUNICACIÓN ENTRE LA DIRECCIÓN Y EL CONSEJO DE ADMINISTRACIÓN
PROPORCIONA AL CONSEJO LA INFORMACIÓN NECESARIA PARA EJERCER SUS
RESPONSABILIDADES DE SUPERVISIÓN DE CONTROL INTERNO. LA INFORMACIÓN
RELACIONADA CON EL CONTROL INTERNO QUE SE COMUNICA AL CONSEJO,
GENERALMENTE INCLUYE ASPECTOS RELEVANTES RELACIONADOS CON EL
CUMPLIMIENTO DEL SISTEMA DE CONTROL INTERNO, POSIBLES CAMBIOS QUE SE
HAYAN PRODUCIDO EN ÉL O PROBLEMAS QUE TENGAN RELACIÓN CON EL MISMO.
LA FRECUENCIA Y EL NIVEL DE DETALLE DE LA COMUNICACIÓN ESTABLECIDA
ENTRE LA DIRECCIÓN Y EL CONSEJO DEBERÁN SER SUFICIENTES PARA PERMITIR
AL CONSEJO DE ADMINISTRACIÓN COMPRENDER LOS RESULTADOS DE LAS
EVALUACIONES CONTINUAS E INDEPENDIENTES EFECTUADAS POR LA DIRECCIÓN,
ASÍ COMO EL IMPACTO DE SUS RESULTADOS EN LA CONSECUCIÓN DE LOS
OBJETIVOS.
POR OTRO LADO, ES IMPORTANTE QUE EXISTA UNA COMUNICACIÓN DIRECTA
ENTRE EL CONSEJO DE ADMINISTRACIÓN Y EL RESTO DEL PERSONAL. LOS
MIEMBROS DEL CONSEJO DEBEN TENER ACCESO DIRECTO A LOS EMPLEADOS SIN
INTERFERENCIA DE LA DIRECCIÓN. POR EJEMPLO, ALGUNAS ORGANIZACIONES
ANIMAN A LOS MIEMBROS DE SU CONSEJO A REUNIRSE CON LA DIRECCIÓN Y EL
RESTO DEL PERSONAL SIN QUE LA ALTA DIRECCIÓN ESTÉ PRESENTE.
DE IGUAL MANERA, LA FRECUENCIA Y EL NIVEL DE DETALLE DEBEN SER
SUFICIENTES PARA PERMITIR QUE EL CONSEJO DE ADMINISTRACIÓN PUEDA
RESPONDER SIN DILACIÓN ANTE POSIBLES INDICIOS DE INEFICACIA EN EL SISTEMA
DE CONTROL INTERNO.
UN GOBIERNO CORPORATIVO SÓLIDO DEBE CONSTRUIRSE DESDE UN ACCIONAR DE
COORDINACIÓN Y COMUNICACIÓN FLUIDA Y DIRECTA, ENTRE:
1. EL CONSEJO
2. LA ALTA GERENCIA,
3. EL COMITÉ DE DIRECCIÓN,
4. EL COMITÉ DE AUDITORÍA,
5. LA AUDITORÍA INTERNA Y LA
AUDITORÍA EXTERNA.
6. LOS RESPONSABLES DE LAS
UNIDADES OPERATIVAS Y
ADMINISTRATIVAS
ESTO PERMITE QUE LOS MIEMBROS DEL CONSEJO PUEDAN HACER PREGUNTAS DE
MANERA INDEPENDIENTE Y EVALUAR ASPECTOS CLAVE QUE, DE LO CONTRARIO, LOS
EMPLEADOS QUIZÁ NO SE SINTIERAN CÓMODOS COMENTANDO, TALES COMO
CUESTIONES RELACIONADAS CON EL CUMPLIMIENTO DEL CÓDIGO DE CONDUCTA, LA
COMPETENCIA DEL PERSONAL, O POSIBLES CASOS DE ELUSIÓN DE CONTROLES POR
PARTE DE LA DIRECCIÓN.
DE IGUAL MANERA, EL SISTEMA DE CONTROL INTERNO EN SU CONJUNTO SE VERÁ
MEJORADO POR AQUEL DEPARTAMENTO DE AUDITORÍA INTERNA QUE SEA
INDEPENDIENTE DE LA DIRECCIÓN.
LA COMUNICACIÓN DEL ÁREA DE AUDITORÍA INTERNA CON EL CONSEJO DE
ADMINISTRACIÓN SERÁ GENERALMENTE DIRECTA, LIBRE DE INTERFERENCIA POR
PARTE DE LA DIRECCIÓN Y, EN CASO NECESARIO, CONFIDENCIAL.
COMUNICACIÓN INFORMACIÓN
VERDADERA COMUNICACIÓN
ENTRE PERSONAS
LA COMUNICACIÓN ES
MULTIDIRECCIONAL
TRANSMISIÓN DE DATOS O
INFORMACIONES
LA INFORMACIÓN ES
UNIDIRECCIONAL
PARA QUE LA INFORMACIÓN PUEDA FLUIR EN SENTIDO ASCENDENTE, DESCENDENTE Y A LOS
DISTINTOS NIVELES DE LA ORGANIZACIÓN, DEBEN EXISTIR CANALES DE COMUNICACIÓN
ABIERTOS Y UNA CLARA DISPOSICIÓN A INFORMAR Y A ESCUCHAR. LA DIRECCIÓN Y EL RESTO
DEL PERSONAL DEBEN TENER LA SEGURIDAD DE QUE SUS SUPERVISORES REALMENTE QUIEREN
CONOCER SUS PROBLEMAS Y AFRONTAR LOS CON ELLOS EN CASO NECESARIO. EN LA MAYORÍA
DE LOS CASOS, LAS LÍNEAS DE COMUNICACIÓN ORDINARIAS ESTABLECIDAS EN UNA
ORGANIZACIÓN SON EL CANAL DE COMUNICACIÓN MÁS ADECUADO.
SIN EMBARGO, EL PERSONAL SE DARÁ PRONTO CUENTA DE SI LA DIRECCIÓN NO TIENE EL
TIEMPO, EL INTERÉS O LOS RECURSOS NECESARIOS PARA AFRONTAR LOS PROBLEMAS QUE
ELLOS HAYAN PODIDO IDENTIFICAR. MÁS GRAVE AÚN SUELE SER EL HECHO DE QUE LOS
GERENTES· POCO RECEPTIVOS O ESCASAMENTE ACCESIBLES SUELEN SER LOS ÚLTIMOS EN
DARES CUENTA DE QUE UN CANAL DE COMUNICACIÓN ORDINARIO NO FUNCIONA 'DE MANERA
EFECTIVA U OPERATIVA.
EN ALGUNOS CASOS, LAS LEYES O LAS REGULACIONES PUEDEN EXIGIR QUE LAS EMPRESAS
DISPONGAN DE ÉSTE TIPO DE CANAL DE COMUNICACIÓN ALTERNATIVA (POR EJEMPLO, UN CANAL
DE DENUNCIAS). LOS SISTEMAS DE INFORMACIÓN DEBERÁN INCLUIR MECANISMOS PARA
COMUNICAR INFORMACIÓN DE MANERA ANÓNIMA Y CONFIDENCIAL. LOS EMPLEADOS DEBERÁN
COMPRENDER PLENAMENTE CÓMO FUNCIONAN ESTOS CANALES, CÓMO DEBEN UTILIZARSE Y EN
QUÉ MEDIDA SERÁN PROTEGIDOS PARA PODER UTILIZAR CON TOTAL CONFIANZA DICHOS
MECANISMOS.
EN ALGUNAS CIRCUNSTANCIAS, ES NECESARIO QUE EXISTAN LÍNEAS DE COMUNICACIÓN
INDEPENDIENTES QUE ACTÚEN COMO MECANISMOS A PRUEBA DE FALLOS PARA PERMITIR LA
COMUNICACIÓN DE INFORMACIÓN DE MANERA ANÓNIMA O CONFIDENCIAL EN AQUELLOS CASOS
EN LOS QUE LOS CANALES HABITUALES SE ENCUENTREN INOPERATIVOS O CAREZCAN DE
EFICACIA. MUCHAS ORGANIZACIONES DISPONEN DE UN CANAL PARA ESTE TIPO DE
COMUNICACIONES, E INFORMAN A LOS EMPLEADOS ACERCA DE SU EXISTENCIA, LO QUE PERMITE
TRASLADAR UN MENSAJE DIRECTAMENTE AL CONSEJO DE ADMINISTRACIÓN, A UN DELEGADO
DEL CONSEJO O A UN MIEMBRO DEL COMITÉ DE AUDITORÍA.
DEBEN EXISTIR POLÍTICAS Y PROCEDIMIENTOS EN LA ORGANIZACIÓN QUE EXIJAN
QUE TODAS LAS COMUNICACIONES EFECTUADAS A TRAVÉS DE ESTOS CANALES
SEAN EVALUADAS, PRIORIZADAS E INVESTIGADAS. PARA ELLO, DEBERÁN EXISTIR
PROCEDIMIENTOS DE COMUNICACIÓN ASCENDENTE QUE GARANTICEN QUE LA
INFORMACIÓN NECESARIA SE TRANSMITE A UN MIEMBRO ESPECÍFICO DEL
CONSEJO, QUE SERÁ RESPONSABLE DE GARANTIZAR QUE SE LLEVAN A CABO LAS
EVALUACIONES, INVESTIGACIONES Y ADOPCIÓN DE MEDIDAS ADECUADAS EN EL
MOMENTO OPORTUNO.
ESTOS MECANISMOS ALTERNATIVOS, QUE ANIMAN A LOS EMPLEADOS A
COMUNICAR SOSPECHAS DE POSIBLES INFRACCIONES DEL CÓDIGO DE CONDUCTA
DE UNA ORGANIZACIÓN SIN MIEDO A REPRESALIAS, ENVÍAN UN CLARO MENSAJE
DE QUE LA ALTA DIRECCIÓN ESTÁ PLENAMENTE COMPROMETIDA A ESTABLECER
CANALES DE COMUNICACIÓN ABIERTOS Y A ACTUAR CON RESPECTO A LA
INFORMACIÓN QUE SE LES COMUNIQUE.
LA CLARIDAD DE LA INFORMACIÓN Y LA EFICACIA
CON LA QUE SE COMUNIQUE SON IMPORTANTES
PARA GARANTIZAR QUE LOS MENSAJES SE
RECIBEN COMO SE HA PRETENDIDO. DE IGUAL
MANERA, LAS FORMAS ACTIVAS DE
COMUNICACIÓN, TALES COMO LAS REUNIONES
CARA A CARA, SON A MENUDO MÁS EFECTIVAS
QUE OTRAS ALTERNATIVAS MÁS PASIVAS, TALES
COMO LAS COMUNICACIONES GENERALES POR
EMAIL O LOS ANUNCIOS EN LA INTRANET. LA
EVALUACIÓN PERIÓDICA DE LA EFICACIA DE LA
COMUNICACIÓN AYUDA ADEMÁS A GARANTIZAR
QUE ESTOS MÉTODOS FUNCIONAN.
ESTO SE PUEDE CONSEGUIR A TRAVÉS DE
DISTINTOS PROCESOS EXISTENTES, TALES COMO
LAS EVALUACIONES DEL DESEMPEÑO DE LOS
EMPLEADOS, LAS REVISIONES ANUALES DE LA
DIRECCIÓN Y DEMÁS PROGRAMAS DE FEEDBACK O
RETROALIMENTACIÓN.
LA DIRECCIÓN DEFINIRÁ EL MÉTODO DE
COMUNICACIÓN QUE PREFIERA, TENIENDO EN
CUENTA EL PÚBLICO OBJETIVO, LA NATURALEZA
DE LA COMUNICACIÓN, EL MOMENTO EN QUE SE
TRATE, EL COSTE Y POSIBLES REQUISITOS
LEGALES O REGULATORIOS.
A LA HORA DE DEFINIR EL MÉTODO DE COMUNICACIÓN, LA DIRECCIÓN DEBERÁ TENER
EN CUENTA LOS SIGUIENTES ASPECTOS:
EN CUALQUIER CASO, LA MERA COMUNICACIÓN DE INFORMACIÓN RELATIVA A LAS
RESPONSABILIDADES DE CONTROL INTERNO PUEDE QUE NO SEA SUFICIENTE PARA
GARANTIZAR QUE LA DIRECCIÓN Y EL RESTO DEL PERSONAL RECIBAN DICHA
INFORMACIÓN Y RESPONDAN COMO DEBAN HACERLO.
A MENUDO, LA DIRECCIÓN DEBERÁ APLICAR MEDIDAS PUNTUALES QUE SEAN
COHERENTES CON ESTA COMUNICACIÓN PARA REFORZAR LOS MENSAJES
TRANSMITIDOS.