Módulo 2 Evaluación de los

elementos de

control

1

Introducción

A los efectos del estudio de este tema, además de la bibliografía básica (Informe Nº 5, Manual de Auditoría, capítulo 4) nos basaremos en el libro “Los nuevos conceptos del control interno.” incluidos en el “Informe COSO” que fuera realizado en el año 1992 por el “Comimittee of Sponsoring Organizations of Tradway Commission” (“COSO”). Este comité (grupo de trabajo) fue organizado en 1985 en Estados Unidos de América por los representantes de la “National Commission on Fraudulent Financial Reporting” que está constituida por 5 grandes asociaciones: i) American Accounting Association (AAA), ii) American Institute of Certified Public Accountants (AICPA), iii) Financial Executive Institute (FEI), iv) the Institute of Internal Auditors (IIA) y v) Institute of Management Accountants (IMA), la que fue creada con la finalidad de identificar los factores que originan la presentación de información financiera falsa o fraudulenta y emitir la recomendaciones que garantizasen la máxima transparencia informativa en tal sentido. El objetivo de este informe era que los administradores y altos directivos presten especial atención al control interno y se resalte la importancia de que este sea un proceso integrado que forme parte de los procesos de negocio y no constituya en un mecanismo burocrático añadido al mismo. Los conceptos vertidos en este informe son de suma importancia para ser aplicados por los auditores internos y externos.

En mayo de 2013, COSO publicó una actualización al “Internal Control – Integrated Framework” (Marco de Referencia de Control Interno). Esta actualización está orientada a: i) clarificar los requerimientos de un sistema de control interno efectivo, ii) actualizar el contexto para la aplicación del control interno a la luz de los cambios globales en negocios y entornos operacionales, y iii) ampliar su aplicación expandiendo los objetivos de las operaciones y reporte.

El nuevo “Framework” (Marco de Referencia) no modifica sustancialmente los fundamentos centrales del marco original, pero formaliza conceptos fundamentales incluidos en el marco original.

2

5. Evaluación de los

elementos de control

5.1. Conceptos generales

Antes de iniciar el estudio conceptual de este tema es importante mencionar que la evaluación del control interno NO es el objetivo principal que persigue el auditor externo, sino que su principal objetivo es la emisión de una opinión sobre los estados contables. La evaluación del sistema de control interno de la organización surge entonces como una necesidad para que el auditor defina si realiza una auditoría con un enfoque de “confianza en controles” o de “no confianza en controles”. En este sentido, podemos destacar las siguientes ideas:

El conocimiento de los sistemas y sus controles nos permite conocer el objeto a auditar.

El Entendimiento de los Controles nos permite diseñar un adecuado Plan de Pruebas considerando el riesgo de control.

La Confianza en los Controles nos permite reducir las pruebas sustantivas.

Los controles internos se llevan a cabo con el objetivo de detectar, en un determinado plazo, cualquier desvío respecto a los objetivos de rentabilidad inicialmente determinados por la empresa. Dichos controles permiten a la Dirección hacer frente a la rápida evolución del entorno económico y competitivo, así como a las necesidades cambiantes de clientes permitiendo de esta manera la adaptabilidad de la empresa para su crecimiento futuro.

Dicho esto, pasaremos a definir el sistema de control interno como el proceso llevado a cabo por la dirección, la gerencia y el resto de los integrantes de una organización, donde se aplican métodos, políticas y procedimientos a los efectos de otorgar una seguridad razonable para el

3

cumplimiento de los objetivos de la empresa dentro de las siguientes (tres) categorías:

Operacionales: Eficacia y eficiencia de las operaciones. Se dirige a los objetivos empresariales operacionales básicos de la entidad y se refiere al uso eficiente de recursos, incluyendo su rentabilidad y previniendo la pérdida de bienes y recursos (salvaguarda de activos), en adhesión a las políticas de la Dirección.

Información Financiera: Confiabilidad de la información financiera. Incluye la preparación de sus estados contables y cualquier información que tome estado público, que sea informada o presentada por la empresa. Evitando fraudes y errores potenciales que pudieren afectar su reputación.

Cumplimiento: Cumplimiento de las leyes y normas aplicables. Este es un aspecto que suele ser muy dinámico. En el caso de las grandes organizaciones, asimismo, puede ser complejo.

Analizando detalladamente esta definición podemos destacar los siguientes conceptos relevantes:

Proceso: es un medio utilizado para la consecución de un fin, no un fin en sí mismo. Constituye una serie de acciones que se extienden por todas las actividades (de planificación, ejecución y supervisión) que son inherentes a la gestión de un negocio o empresa formando parte de dichas actividades y posibilitando establecer objetivos de calidad en la gestión del ente. Cuando el sistema de control interno funciona adecuadamente sus elementos son “incorporados” y no “añadidos” a los procesos dado que en tales circunstancias resultan pesados mecanismos burocráticos o una carga inevitable impuesta por los organismos de contralor.

Las personas: son las que llevan adelante el proceso mediante sus acciones y palabras. Son las personas quienes implantan los objetivos de la entidad y establecen los mecanismos de control y es necesario tener en cuenta que cada individuo tiene necesidades y prioridades diferentes por lo cual cada empleado debe conocer sus responsabilidades y límites de autoridad. Son el motor que impulsa la entidad y los cimientos sobre los que descansa todo. Esto es importante porque significa que el control interno no se trata solo de manuales de políticas impresos, lo más importante son las personas.

Seguridad razonable: el sistema de control interno, por muy bien diseñado e implantado que esté, no otorga seguridad absoluta acerca de la consecución de los objetivos de la entidad, ya que

4

existen limitaciones propias (inherentes) a todos los Sistemas de Control Interno).

Objetivos: Las entidades tienen múltiples objetivos y habitualmente pueden diferir entre una entidad y otra pero en términos generales pueden sintetizarse en los tres aspectos mencionados en la definición del sistema de control interno, esto es:

i) Operacionales: alcanzar la mayor eficacia y eficiencia en sus operaciones.

ii) Información financiera: la presentación y publicación de estados contables fiables.

iii) Cumplimiento: el cumplimiento de las normas y leyes que le son aplicables.

Con relación a los objetivos 2° y 3°, están basados en normas aplicadas por terceros, externos a la entidad, establecidas independientemente de las metas de la entidad y dependen de cómo se llevan a cabo las actividades desarrolladas bajo el control de la entidad y por lo tanto un buen sistema de control interno adecuadamente diseñado e implantado otorga un nivel de seguridad razonable en relación a su consecución.

Por el contrario, la consecución de objetivos operacionales (rendimiento de una inversión que se efectuó, la cuota de mercado o el éxito de un lanzamiento de nuevas líneas de productos que se lanzan al mercado) no siempre está bajo el control de la entidad y por lo tanto su consecución es más difícil (una entidad puede desarrollar todas sus actividades según tenía planeado pero puede verse superada por un competidor, asimismo puede verse afectada entre otras cosas por cambios gubernamentales y condiciones climatológicas adversas y todos estos factores no son factibles de ser controlados). El control interno no es capaz de prevenir las opiniones o decisiones equivocadas o los acontecimientos externos que pueden evitar que se alcancen las metas operativas que han sido fijadas.

Analizada la definición de control interno en detalle es importante resumir cuál es la importancia para una organización independientemente de su tamaño de estar dotada de un buen sistema de control interno y en tal sentido podemos decir que los controles internos:

1) Fomentan la eficiencia

2) Reducen el riesgo de pérdida de valor de los activos

3) Contribuyen a asegurar la fiabilidad de los estados financieros y la observancia de las leyes y normas vigentes.

5

5.2. Necesidad de evaluación de

control por el auditor. Secuencia de

evaluación

El auditor realiza su trabajo sobre muestras y en muchos casos no es factible asegurar que no existan omisiones, por este motivo es necesario que evalúe primeramente el control interno de la entidad. Este control le permitirá tomar confianza sobre los propios controles del sistema auditado.

Se recomienda ampliar este punto en la bibliografía básica, Informe Nº 5 Manual de Auditoría, capítulo 4, punto 2.

A continuación se detallarán para mayor comprensión del tema los componentes del sistema de control interno:

Componentes del sistema de control interno de una organización

A manera de resumen, se presenta el siguiente gráfico, donde en las barras horizontales contienen los componentes del sistema de control interno de la organización (es lo que se necesita para alcanzar los objetivos), mientras que en la parte superior se encuentran los tres objetivos (que es lo que la entidad se esfuerza por alcanzar) que el correcto funcionamiento de estos componentes permitirá alcanzar:

Fuente: Instituto Auditores Internos de España - Coopers & Lybrand, SA.

(1997). Los nuevos conceptos del control interno- Informe COSO.

6

Los cinco componentes que se detallan en el cuadro precedente se encuentran interrelacionados entre sí y los desarrollaremos a continuación:

1) Ambiente de control: es la base de los otros componentes del control interno, marca la pauta definida por la Dirección referida al funcionamiento y comportamiento de una organización, es el que establece la cultura de la organización con respecto a los controles, influenciando la concientización de su gente con respecto al control, es lo que define la estructura del sistema de control interno. Aporta el ambiente en que las personas desarrollan sus actividades. Los factores del ambiente de control incluyen:

i) La honradez, la integridad, la ética en los negocios y la competencia del personal de la organización y

ii) La filosofía de la gerencia y su estilo, la forma en que delega su autoridad y responsabilidad y cómo gestiona y desarrolla profesionalmente su gente.

Tiene una incidencia generalizada en la estructura de las actividades empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos. También influye en las actividades de control, los sistemas de información y comunicación y las actividades de supervisión. Esta influencia se da tanto sobre el diseño de los otros componentes como sobre su funcionamiento diario. Las entidades que cuentan con un SCI (sistema de control interno eficaz) se esfuerzan por mantener y desarrollar personal competente e inculcan un sentido de integridad e importancia en relación al control. En este sentido las entidades que valoran positivamente el control establecen políticas y procedimientos adecuados plasmados en un código de conducta y en manuales de procedimientos y puestos de trabajo y hacen hincapié en los valores compartidos de la organización y en el trabajo en equipo.

Se desarrollan a continuación los distintos factores del ambiente de control:

Integridad y valores éticos: Los objetivos de una entidad y la manera en que se alcanzan están basados en diferentes prioridades y juicios de valor. Debido a que la buena reputación de una entidad es sumamente valiosa las normas de comportamiento de la organización deben ir más allá del estricto respeto a la ley. La eficacia de los controles internos no puede estar por encima de la integridad y los valores éticos de las personas que los diseñan, ejecutan y administran. Los valores de la alta dirección deben encontrar un equilibrio entre los intereses de la empresa, sus empleados, proveedores, clientes, competidores y el público en

7

general por más que estos intereses muchas veces se encuentren enfrentados. Por ejemplo una empresa cuyo proceso productivo tiene efectos en el medioambiente debe preocuparse por minimizar y reparar estos daños al medioambiente lo cual afectará su rentabilidad (ejemplo: una empresa minera o petrolera) y esto debe ser independiente de lo que les exige la ley. Esto está relacionado con una dirección de la empresa que se fija metas equilibradas a largo plazo; fijarse únicamente en resultados inmediatos puede ser perjudicial inclusive en el corto plazo. “Las tácticas de ventas agresivas, la inflexibilidad en las negociaciones o las ofertas implícitas de sobornos, por ejemplo, pueden provocar reacciones con efectos tanto inmediatos como duraderos” (Coopers & Lybrand, 1997, p. 29). Algunos de los motivos por los que se cometen fraudes o se cometen otro tipo de comportamiento poco éticos al momento de presentar información financiera son los siguientes:

i) presiones para alcanzar objetivos de rendimiento poco realistas (…),

ii) gratificaciones en las que el rendimiento tiene un peso específico muy importante,

iii) límites máximos y mínimos en los sistemas de gratificaciones,

iv) falta de controles o controles ineficaces, (…) de forma que resulta tentador cometer un fraude (…),

v) alto nivel de descentralización que impide que la dirección esté al corriente de las acciones llevadas a cabo en los niveles más bajos de la organización (…),

vi) una función de auditoría interna débil que no es capaz de detectar e informar acerca de no cumplimiento de políticas o comportamientos indebidos,

vii) sanciones por comportamientos indebidos insignificantes o que no se hacen públicas por lo que pierden su valor disuasorio (Coopers & Lybrand, 1997, p. 30).

Por último, un factor que también influye en las prácticas fraudulentas a la hora de presentar información financiera es la ignorancia. En muchas empresas en las que se detectaron fraudes con información contable se observa que las personas involucradas no sabían que estaban actuando incorrectamente o creían que lo estaban haciendo en interés de la organización. Por lo tanto, no solo deben comunicarse valores éticos sino darse instrucciones

8

precisas de lo que es correcto e incorrecto. En este sentido es de gran importancia:

i) el ejemplo predicado por la alta dirección,

ii) las sanciones impuestas a los empleados que violan códigos de conducta,

iii) la existencia de mecanismos para alentar al personal a denunciar comportamientos sospechosos y posibles infracciones,

iv) la existencia de medidas disciplinarias para los empleados que nos informen sobre infracciones.

Compromiso con la competencia profesional: La dirección debe establecer el nivel de competencia para cada puesto de trabajo buscando un equilibro entre el nivel de supervisión y la capacidad exigida para el individuo y el nivel de competencia deseado y el costo para la función específica.

Comité de auditoría: tiene una alta influencia en el ambiente de control. Los factores a tener en cuenta son:

i) su grado de independencia del directorio,

ii) la experiencia y calidad de sus miembros,

iii) el grado de involucramiento de sus miembros,

iv) el acierto de sus acciones y

v) el grado de interacción con auditores internos y externos.

El comité de auditoría debe tener el grado de formación necesaria para supervisar y de ser necesario cuestionar la actividad de la dirección teniendo entre sus integrantes a miembros independientes.

La filosofía de dirección y el estilo de gestión: influye en la manera en que la empresa es gestionada y en el tipo de riesgo empresarial que se asume. Una empresa pequeña o mediana puede controlar las operaciones llevadas a cabo básicamente a través del contacto cara a cara con los directores claves. En cambio, una empresa grande será gestionada generalmente de una manera más formal basada en políticas escritas, indicadores de rendimiento e informes de excepciones.

9

Otro componente de la filosofía de la dirección es la actitud adoptada ante la presentación de información financiera cuando existe más de una alternativa disponible, la escrupulosidad o prudencia con que obtienen las estimaciones contables y la actitud del directorio hacia las funciones contables e informática.

Estructura organizativa: proporciona la estructura sobre la cual se planifican, elaboran, controlan y supervisan las actividades para la consecución de los objetivos de la empresa. Entre los factores más relevantes en su definición se incluyen:

i) la definición de las áreas claves de autoridad y responsabilidad y

ii) el establecimiento de adecuados canales de comunicación.

La adecuación de la estructura organizativa de una organización dependerá de su tamaño y de la naturaleza de las actividades que desarrolla.

Asignación de autoridad y responsabilidad: se refiere a la manera en que se autoriza y alienta al personal, tanto a nivel personal como grupal, a hacer uso de su iniciativa al momento de tratar temas, buscar soluciones a problemas y establecer límites de autoridad. Actualmente, existe una tendencia a delegar la autoridad hacia niveles inferiores (en materia de poderes para vender productos a precios reducidos, negociar contratos de suministro o suscribir alianzas con competidores u otras empresas del segmento de negocio). Un desafío importante es delegar únicamente en la medida necesaria para alcanzar los objetivos; otro desafío importante es asegurarse de que todo el personal que toma decisiones comprende los objetivos de la entidad y sepa cómo su actuación se relaciona con la de los demás y en qué medida él está contribuyendo a la consecución del objetivo. Una mayor delegación suele exigir un mayor nivel de competencia del personal así como mayor responsabilidad y también exige de procedimientos adecuados para una correcta supervisión dado que la delegación puede aumentar el número de decisiones no deseadas.

Políticas y prácticas en materia de RRHH: las prácticas en este ámbito indican a los empleados los niveles de integridad, comportamiento ético y competencia que se espera de ellos. Estas prácticas se refieren a las acciones de contratación, formación, evaluación, promoción, remuneración y corrección. Ejemplos de buenas prácticas son:

10

i) reclutamientos que incluyen entrevistas formales y detalladas y presentaciones informativas e indagaciones sobre antecedentes, cultura y estilo operativo de la entidad (…),

ii) políticas de formación (…) tales como escuelas de formación y seminarios, y cursos de habilidades gerenciales basados en juegos,

iii) (…) ascensos basados en evaluaciones periódicas, demuestran el compromiso de la entidad con el progreso del personal cualificado.

iv) Los programas de remuneración competitiva que incluyen incentivos que sirven motivar y reforzar actuaciones sobresalientes,

v) Las acciones disciplinarias transmiten el mensaje de que no se tolerarán comportamientos que no estén en la línea con lo esperado (Coopers & Lybrand, 1997, p. 36).

Es importante que la empresa tenga un programa de formación que prepare a su personal para hacer frente a un entorno cambiante, dinámico y con cambios tecnológicos y un aumento significativo de la competencia.

2) Evaluación de los riesgos: toda entidad, independientemente de su tamaño o sector donde opere, debe enfrentar una variedad de riesgos externos e internos que deben ser evaluados. Deben identificarse y analizarse aquellos riesgos relevantes relacionados con el logro de los objetivos, formando una base para determinar cómo deben gerenciarse. Debido a esto, una condición previa es la fijación de los objetivos en los diferentes niveles de la empresa. Dado que las condiciones económicas, industriales, regulatorias y operativas son cambiantes, se necesitan mecanismos para identificar, analizar y gerenciar los riesgos asociados con el cambio.

Los objetivos pueden agruparse en tres grandes categorías:

i) Objetivos relacionados con las operaciones: se refiere a la eficacia y eficiencia de las operaciones incluyendo los objetivos de rentabilidad y salvaguarda de activos. Estos objetivos están relacionados con la consecución del objeto social, y deberán contemplar: a) las presiones ejercidas por la gerencia en materia de calidad y b) los cambios tecnológicos.

ii) Objetivos relacionados con la información financiera: se refiere a la presentación de Estados Contables (EECC) fiables y a la prevención de la falsificación de la información financiera publicada. Esto es imprescindible a la hora de obtener capital inversor o

11

créditos bancarios y puede ser fundamental a la hora de obtener determinados contratos significativos con proveedores o clientes.

iii) Objetivos de cumplimiento: se refieren al cumplimiento de leyes y normas a las que está sujeta la entidad. Estas regulaciones pueden referirse a mercados, precios, impuestos, medioambiente, comercio internacional y beneficios a los empleados.

Como puede apreciarse, estos objetivos son los mismos que forman parte de la definición del sistema de control interno como proceso. Un aspecto importante de considerar es que la consecución de todos los objetivos establecidos en cada una de las actividades de la empresa podría requerir una utilización desproporcionada de los recursos disponibles. Una manera de liberar recursos es plantearse qué objetivos por actividades no son fundamentales para los objetivos globales de la empresa, es decir que deberán establecerse que objetivos de cada área o actividad son prioritarios a efectos de la consecución de los objetivos globales de la entidad.

Los riesgos afectan la capacidad de la empresa para sobrevivir, competir con éxito dentro de su segmento de negocios, mantener solvencia patrimonial y financiera. El riesgo puede gerenciarse y manejarse prudentemente pero es imposible eliminarlo dado que el riesgo es inherente a los negocios. La dirección entonces debe definir cuáles son los límites aceptables dentro de los cuales quiere mantener el riesgo y deberá esforzarse y tomar acciones y medidas para mantenerlo dentro de dichos límites.

El nivel de riesgo se incrementa en la medida que los objetivos fijados por la entidad se distancian de las pautas de comportamiento pasado. La identificación de los riesgos es un proceso iterativo y suele estar vinculado con el proceso de planificación. Algunos de los factores que merecen especial consideración son:

i) el incumplimiento de los objetivos en el pasado,

ii) la calidad del personal,

iii) cambios en los competidores, normas, personal,

iv) la disposición geográfica de las actividades,

v) la importancia relativa de una actividad para la entidad y

vi) la complejidad de la actividad del ente.

12

A continuación, se resume de manera genérica (esto puede variar en función de las características particulares de cada empresa) y a nivel macro los riesgos más comunes que suelen enfrentar las empresas:

Riesgos internos Riesgos externos

1- Averías en los sistemas informáticos que pueden perjudicar las operaciones de la entidad

1- Necesidades o expectativas cambiantes de los clientes pueden influir en el desarrollo de productos, fijación de precios, garantías solicitadas, entre otros.

2- Calidad de los empleados y los métodos de formación y motivación que influyen en el nivel de concientización sobre el control interno de la empresa

2- La competencia que puede provocar cambios de actividades de marketing o servicios

3- Cambios de responsabilidades de los directivos pueden afectar la forma de realizar determinados controles

3- Nuevas normas y reglamentaciones que obligan a modificar políticas y estrategias

4- La naturaleza de las actividades de la entidad y el nivel de acceso de las personas a los activos pueden ser causas de apropiación indebida de recursos.

4- Desastres naturales que pueden causar alteraciones o deterioros en los sistemas de operaciones e información

5- Un Departamento de Auditoría Interna débil o ineficaz puede dar lugar a que se produzcan desvíos a las políticas establecidas por la Dirección

5- Cambios económicos que pueden repercutir en las decisiones sobre financiación e inversión

6- Avances tecnológicos que influyen en la naturaleza y evolución de los trabajos de investigación y desarrollo o provocar cambios respecto de los bienes y servicios.

Fuente: Instituto Auditores Internos de España - Coopers & Lybrand, SA. (1997). Los nuevos conceptos del control interno- Informe COSO- Madrid: Ed. Díaz de Santos SA.

13

Por otra parte, los procesos de negocios de la empresa están sujetos a riesgos que en términos generales podemos resumir del siguiente modo:

En Ventas y Marketing: a) contar con información errónea o insuficiente sobre la competencia y clientes, b) contar con información incorrecta sobre márgenes de beneficio.

Contrataciones con proveedores de bienes y servicios: a) Inadecuado seguimiento de los proveedores en cuanto a su capacidad para cumplir especificaciones del pedido entre otras referidas a cantidad y calidad, fechas de entrega, b) cuentas a pagar fraudulentamente creadas por compras inexistentes.

Recursos humanos: a) Desconocimiento del personal de gestión de la legislación y normativa laboral y de los registros que han de archivarse para acreditar el cumplimiento de leyes laborales y previsionales, b) Presiones gremiales por incrementos salariales, c) Inexistencia de medidas de seguridad adecuadas sobre archivos de documentación, d) divulgación de información confidencial por parte de personal de RRHH, d) retribuciones inferiores a las de mercado lo que genera un nivel de rotación que excede el deseable, e) accidentes de trabajo.

Créditos: a) Error en la facturación por incorrecto cómputo del precio de venta (tasa de interés), b) falta de información para evaluar la solvencia de clientes y establecer políticas referidas a garantías.

Tesorería: a) Información inexacta sobre flujos de entrada y salidas presupuestadas, b) inexistencia de fuentes de financiación alternativas, c) retraso en el pago por parte de clientes, inexistencia o desconocimiento de inexistencia de alternativas de inversión que resguarden los fondos de los efectos de la inflación y d) Fraudes.

Gestión de la empresa – Continuidad de operaciones: a) Información inadecuada sobre cambios que afectan a la empresa vinculados a competencia, productos, preferencias de clientes o cambios normativos, b) Recursos humanos, tecnológicos y materiales insuficientes o inadecuados, c) Inadecuada atención de relaciones con accionistas, acreedores e inversores, d) inexistencia de plan de contingencias informático, e) inexistencia de código de conducta.

Finalmente, es importante mencionar las circunstancias que exigen una atención especial para gestionar los riesgos que se relacionan con cambios:

14

Cambios en el contexto operacional (cambios en las normas o el contexto económico).

Nuevos colaboradores: una alta rotación del personal junto con la falta de mecanismos eficaces de formación y supervisión suelen ocasionar problemas de control.

Nuevos sistemas de información.

Rápido crecimiento de las operaciones.

Nuevas tecnologías en los procesos de producción o en los sistemas de información.

Nuevos productos y mercados.

Reestructuraciones internas que suelen afectar la supervisión o la segregación de funciones.

Actividades en otros países.

Una vez identificados los riesgos, los mismos deben ser analizados. Las metodologías de análisis de riesgos pueden variar pero un proceso estándar básicamente incluirá los siguientes pasos:

Una estimación de la importancia del riesgo.

Una evaluación de la probabilidad de que se materialice el riesgo.

Un análisis de cómo ha de gestionarse el riesgo, es decir de las medidas que convendrá adoptar en cada circunstancia.

Un riesgo que no tiene efectos significativos y cuya probabilidad de materialización es baja no será motivo de preocupación. Por el contrario, un riesgo de efectos importantes y de alta probabilidad de materialización requerirá un profundo análisis y la fijación de políticas y procedimientos concretos para afrontarlo. Entre estos dos extremos se presentan riesgos de diversa posibilidad de materialización y de impactos más difíciles de estimar lo cual hace que el proceso de evaluación de los riesgos sea tan complejo como crítico para la entidad. Asimismo, como la gestión y manejo de todo riesgo implica la necesidad de asumir costos la dirección del ente deberá buscar el equilibro y por tanto analizar la relación costo / beneficio presente en cualquier decisión empresarial. En este caso nos referimos a costo como el sacrificio económico de establecer políticas y procedimientos para gestionar y acotar los riesgos y el beneficio estaría representado por la reducción del riesgo y de sus potenciales efectos sobre los objetivos de la entidad.

15

3) Actividades de control: implica los mecanismos y procedimientos que contribuyen a cerciorar de que se elaboren las directivas de la dirección y la gerencia, y que se lleven a cabo las acciones necesarias para gerenciar los riesgos que afectan el logro de los objetivos de la empresa. Las actividades de control se realizan en toda la organización, en todos los niveles y en todas las funciones y pueden incluir actividades tan variadas como:

Autorizaciones.

Verificaciones

Revisión de rentabilidad operativa: incluyen por ejemplo:

i) fluctuaciones de precio de compra,

ii) el porcentaje de pedidos urgente,

iii) la proporción de devoluciones sobre el total de pedidos,

iv) investigación de resultados inesperados o tendencias anómalas.

Análisis efectuados por la Dirección: consiste en el cotejo de los resultados obtenidos con los presupuestos, los resultados de ejercicios anteriores y de los competidores. Asimismo, con la finalidad de evaluar en qué medida se están alcanzando los objetivos, la dirección realiza un seguimiento de las principales iniciativas como campañas publicitarias o puesta en marcha de planes de desarrollo de nuevos productos.

Conciliaciones

Separación de funciones: disminuye sustancialmente el riesgo de que se cometan fraudes, errores o comportamientos fraudulentos. Se deben separar las funciones de autorización y registro de transacciones, y gestión de los activos correspondientes.

Inspecciones oculares: los equipos de fabricación, las inversiones financieras, los fondos y otros activos son objeto de protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las cifras que figuran en los registros.

Al igual que los objetivos las actividades de control se dividen en 3 categorías según estén relacionadas con:

i) las operaciones,

ii) la fiabilidad de la información financiera o

16

iii) el cumplimiento de la legislación aplicable; aunque es importante mencionar que muchas veces una actividad de control sirve para alcanzar más de un objetivo.

Las actividades de control generalmente se apoyan en dos elementos: las políticas (que determinan lo que debería hacerse) y los procedimientos necesarios para llevar adelante las políticas. Asimismo, es importante que las condiciones identificadas como resultado de la aplicación de los procedimientos se investiguen y que se lleven a cabo las acciones correctivas necesarias.

Un aspecto que requiere mención especial es el referido a los controles sobre los sistemas de información. Este aspecto es crítico dado que los sistemas de información desempeñan un papel clave en la gestión de las empresas.

Las actividades de control de los sistemas de información pueden agruparse en dos categorías:

i) controles generales susceptibles de ser aplicados a muchas o todas las operaciones y

ii) controles de aplicación que nuclean los mecanismos programados y manuales para cerciorar el control del proceso de los diversos tipos de transacciones.

Estos controles sirven en forma conjunta para asegurar la integridad, exactitud y autorización de la información financiera y otra información almacenada en el sistema. A continuación reseñaremos algunas particularidades de estos tipos de controles:

Controles generales: incluyen controles sobre las operaciones del centro de proceso de datos, la adquisición y mantenimiento de software, los controles de acceso a los módulos de información y el desarrollo y mantenimiento de las aplicaciones. Se desarrollan a continuación:

i) Controles sobre las operaciones del centro de proceso de datos: incluyen la organización y planificación de trabajos, las intervenciones del operador, los procesos de back up y recuperación de datos, así como los planes de emergencia

ii) Controles sobre el software: se refiere a su adquisición, implantación y mantenimiento del software necesario para funcionar y sobre la ejecución de las aplicaciones que incluyen sistemas de explotación, sistemas de gestión de base de datos, software de telecomunicaciones y de

17

seguridad. Asimismo incluye funciones de acceso y de utilización de recursos, es decir, el software de sistemas puede facilitar información sobre la utilización que hacen los usuarios de modo que si alguien accede a una posición de responsabilidad que le permite alterar los datos, este hecho quede registrado para su revisión.

iii) Controles sobre la seguridad de acceso: permiten proteger a sistema contra el acceso y uso no autorizado. Si están bien diseñados protegen la piratería informática. Las actividades de control que se pueden implantar son por ejemplo: cambio frecuente de códigos de acceso o la implantación de un sistema de rellamada. Estos controles de acceso limitan el acceso de los usuarios autorizados a las aplicaciones o funciones que necesitan para su trabajo y en tal carácter contribuyen enormemente con la segregación de funciones. La integridad de los datos y programas se protege a través de la restricción de la utilización del sistema a personas no autorizadas.

iv) Controles sobre el mantenimiento y desarrollo de las aplicaciones: estas actividades suelen generar costos elevados y por ese motivo se implantan controles para supervisar el estado de la implantación y su grado de documentación.

Controles de aplicación: permiten asegurar la integridad y exactitud en el proceso de transacciones, su autorización y validez. Especial consideración merecen en este punto las interfaces de las aplicaciones entre un subsistema y otro.

Las necesidades de actividades de control más o menos sofisticadas dependerá entre otras cosas de:

i) el estilo de la dirección que esté dispuesta a asumir mayores o menores niveles de riesgo,

ii) las normativas específicas a que esté expuesta (una empresa minera tendrá muchas mayores exigencias desde el punto de vista del medioambiente que una empresa de servicios),

iii) el hecho de que se trate de una empresa con múltiples actividades (ejemplo Arcor que se dedica entre otras actividades a los negocios de golosinas, alimentos, cartón, esencias, energía) o monoproducto (ejemplo una tarjeta de crédito) dado que la primera deberá atender una diversidad de riesgos mucho más amplia,

18

iv) si se trata de una entidad descentralizada o con procesos centralizados en lo referido a la toma de decisiones y el manejo de la información.

4) Información y comunicación: La información relevante debe ser recopilada y comunicada de forma y plazos tales que permita a cada integrante de la empresa cumplir con las responsabilidades asignadas. La información a recoger debe ser de la naturaleza que la Dirección haya considerado como relevante para la gestión del negocio. Los sistemas de información producen información operativa, financiera y la correspondiente al cumplimiento con la que se hace posible dirigir y controlar el negocio en forma adecuada. Estos sistemas no solo se refieren a la información generada internamente sino también a la información externa que se necesita a la hora de la toma de decisiones de gestión o la presentación de información a terceros. Asimismo, la comunicación de la información debe hacerse de forma eficaz y en todas las direcciones por toda la organización (tanto de arriba hacia abajo como a la inversa y también transversal). En tal sentido el mensaje de la Dirección al personal debe ser claro: Las responsabilidades de control deben tomarse en serio.

Los colaboradores, por su parte, deben comprender su papel en el sistema de control interno y como su actividad particular se relaciona con las de los demás y con la consecución de los objetivos de la organización y además deben contar con los medios para transmitir información relevante a los niveles superiores.

Finalmente, debe haber también una adecuada comunicación externa con terceros, clientes, proveedores, organismos de control y accionistas.

La gestión de la empresa y la consecución de los objetivos (sean relativos a las operaciones, a información financiera o al cumplimiento de reglas y normas) de la entidad requiere contar con información pertinente en todos los niveles de la empresa.

En este sentido, la información financiera no se utiliza únicamente para confeccionar estados contables para su divulgación a terceros, sino también en la toma de decisiones relativas a la explotación incluyendo las correspondientes al control de rendimiento y la asignación de recursos. La información presentada a la Dirección relativa a cuestiones de índole financiera facilita el seguimiento de la rentabilidad de una gama de productos, la evolución de deudores por tipo de clientes, la cuota de mercado, el índice de reclamos de clientes. Por otra parte es indispensable contar con fiables datos financieros a efectos de que la Dirección pueda planificar, confeccionar presupuestos, fijar precios y evaluar la performance de los vendedores.

19

De igual manera los datos relativos a las operaciones son fundamentales para la formulación de estados financieros. Dicha información incluye tanto la que se genera diariamente como compras, ventas y otras transacciones como las relativas al contexto económico y a los nuevos productos lanzados por la competencia, que pueden impactar sobre la valuación de los stocks de la Cía. De igual modo determinada información de carácter operacional relativa a emisiones contaminantes o datos de personal puede resultar necesaria para el objetivo de cumplimiento de normas y leyes. Es decir que la información, ya sea generada internamente o externamente, sea de carácter financiera o no lo sea será relevante para el cumplimiento de las 3 categorías de objetivos.

La información indicada precedentemente es identificada, recogida y procesada por los sistemas de información. Dichos sistemas de información procesan los datos generados internamente relativos a las transacciones (compras y ventas) y a las actividades operativas internas (entres otros incluye los procesos de producción, de liquidación de haberes, de gestión de cobranzas) y a la información sobre hechos, actividades y factores externos (los datos correspondientes a un mercado que señalan los cambios en la demanda de productos, información sobre bienes y servicios necesaria para el proceso productivo, investigaciones de mercado sobre la evolución de las preferencias de los clientes, información sobre los productos de la competencia, información sobre nuevas leyes y normas que afectan la actividad de la empresa).

Los sistemas de información pueden ser de soporte informático, manual, o bien una conjunción de ambos. También pueden ser formales o informales, debido a que el contacto con clientes, proveedores, organismos de control y el personal, en numerosas ocasiones es lo que brinda la información más pertinente a la hora de reconocer riesgos y oportunidades. Dado que la actuación de la empresa se encuentra en un entorno de cambios constantes, con competidores muy innovadores y ágiles y donde la demanda evoluciona muy rápidamente los sistemas de información deben adaptarse rápidamente para dar soporte a los objetivos de la entidad. Los sistemas de información eficaces son aquellos que no solo identifican y recogen la información necesaria sino que también deben ser capaces de procesar dicha información y comunicarla en un plazo y de una forma que resulte útil para el control de las actividades de la entidad.

La uso estratégico de los sistemas deja entrever la evolución desde sistemas puramente financieros a sistemas integrados con la explotación de la actividad del ente (ejemplo: sistema de reservas creado por una aerolínea que permitió que las agencias de viaje tuvieran acceso inmediato a la información sobre vuelos y efectuar reservas ONLINE). Estos sistemas sirven para controlar los procesos de negocio, realizando un seguimiento y registro de los movimientos en tiempo real, englobando una serie de

20

actividades de la sociedad en un complejo entorno de sistemas integrados. En una planta fabril estos sistemas de información integrados apoyan todo el proceso productivo:

i) recepción y control de calidad de las materias primas,

ii) selección y mezcla de los componentes,

iii) control de calidad y distribución de los productos terminados,

iv) actualización de stocks de inventarios y de las cuentas corrientes de los clientes. La utilización de estos sistemas puede tener consecuencias muy importantes como se aprecia en el sistema de gestión de stocks denominado “just in time” que permiten reducir al mínimo los stocks almacenados reduciendo enormemente los costos. Este sistema de gestión de stocks se apoya necesariamente en sistemas integrados de información. Asimismo en la actualidad la mayoría de los sistemas integrados contemplan un alto grado de integración con los sistemas financieros de la organización actualizando datos contables y registros financieros de manera automática. Obviamente que la evolución hacia sistemas de información más sofisticados requerirá contar con una tecnología moderna y actualizada por lo que será necesario que la organización haga las inversiones necesarias en materia de tecnología.

Para que el sistema produzca información de calidad debe cubrir los siguientes interrogantes:

Contenido: ¿Contienen los reportes generados por el sistema de información toda la información necesaria?

Oportunidad: ¿Se generan los reportes en tiempo oportuno?

Actualidad: La información que generan los sistemas, ¿es la más reciente que se encuentra disponible?

Exactitud: Los datos que contienen los reportes, ¿son correctos y precisos?

Accesibilidad: ¿La información del sistema puede ser obtenida fácilmente por las personas con el grado de responsabilidad adecuado?

Poder disponer de información adecuada, oportuna y disponible es esencial para dirigir el negocio y para implantar el control.

Finalmente, es importante mencionar el papel de la comunicación. Deben existir canales abiertos de comunicación para informar cualquier problema observado desde abajo hacia arriba. Esto es porque los empleados de los

21

niveles operativos con quienes más contacto tienen con los problemas o irregularidades y por ende la dirección debe estar dispuesta a escuchar (ejemplos: un empleado del área contable es quien mejor conoce si puede existir un problema de sobrevaloración de inventarios o de defectos en la constitución de previsiones para contingencias; los responsables comerciales pueden apreciar las necesidades en lo referente a las especificaciones de los productos; los empleados de la planta fabril podrán apreciar defectos en el proceso productivo que incrementan sustancialmente los costos; el personal de compras quizás reciba propuestas de incentivos indebidos de proveedores). Indudablemente que es muy importante para la dirección tomar conocimiento de estos aspectos pero para ello es necesario que existan adecuadas líneas de comunicación y que los directivos estén DISPUESTOS A ESCUCHAR. Asimismo, deben existir líneas de comunicación abiertas con clientes y proveedores que aportarán información de gran valor agregado sobre el diseño y calidad de los productos y servicios de la empresa permitiendo que la entidad responda a los cambios de exigencias y preferencias de los clientes. Por una parte es importante que quienes tomen contacto con la entidad sepan que no se tolerarán actos indebidos como sobornos y pagos ilegítimos y por otro lado, será muy importante para le entidad tener en cuenta lo que aporten los auditores externos y de organismos de contralor.

5) Monitoreo: Los sistemas de control deben funcionar adecuadamente a través del tiempo, esto se logra mediante actividades de monitoreo o supervisión que comprueban que el funcionamiento adecuado y el rendimiento del sistema se mantienen a lo largo del tiempo. Existen actividades de supervisión denominadas:

i) de supervisión continuada y

ii) evaluaciones periódicas.

La supervisión continuada se da en el transcurso de las actividades cotidianas incluyendo las actividades normales de dirección y supervisión (son los controles regulares efectuados por la dirección así como determinadas tareas que realiza el personal en cumplimiento de sus funciones) en tanto que el alcance y frecuencia de las evaluaciones periódicas dependerán especialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada.

Todas las deficiencias de control interno detectadas por medio de estos procesos de supervisión continuada o de evaluación periódica que puedan afectar la consecución de los objetivos deberán ser informadas a los supervisores para poder tomar las medidas correctivas. La Gerencia y la Dirección también deberán ser informados de las debilidades de control interno más significativas observadas. El suministro de la información

22

necesaria con respecto a las deficiencias en el control interno a la persona adecuada es imprescindible para mantener la eficiencia del sistema de control interno. Es recomendable establecer procedimientos para identificar la información necesaria a cada nivel jerárquico para la toma de decisiones para conseguir los resultados de las actividades bajo su responsabilidad.

Los sistemas de control interno y la manera en la que los mecanismos de control se aplican van evolucionando a través del tiempo, es por ello que los procedimientos que fueron eficaces en un determinado momento quizás pierdan su eficacia o directamente dejen de utilizarse. Esto puede darse por la incorporación de personal nuevo, defectos en la formación y supervisión, limitaciones en cuanto al tiempo y los recursos y presiones por la obtención de resultados. Asimismo las circunstancias en las cuales fue diseñado el sistema de control interno pueden también haberse modificado reduciendo la capacidad del sistema de advertir los riesgos. El proceso de supervisión asegura que el sistema de control interno siga siendo eficaz en el tiempo. Este proceso incluye la evaluación por parte de empleados de nivel adecuado respecto de la forma en la que se han elaborado y llevado a cabo los controles, de su funcionamiento y de la manera en que se adoptan las medidas necesarias.

Usualmente, los sistemas de control interno aseguran su propia supervisión, mientras mayor sea el nivel y eficacia de la supervisión continuada menor será la necesidad de evaluaciones periódicas de carácter puntual. La frecuencia necesaria de evaluaciones puntuales será siempre un juicio de valor de la dirección. A la hora de determinar dicha frecuencia la Dirección deberá considerar: i) la naturaleza e importancia de los cambios, ii) los riesgos que conllevan los cambios, iii) la competencia y experiencia de las personas que aplican los controles, iv) si los controles a testear se relacionan con riesgos críticos para el logro de los objetivos y v) también los resultados obtenidos de los procesos de supervisión continuada. Una adecuada combinación de supervisión continuada y evaluaciones periódicas asegura la eficiencia del sistema de control interno. Los procedimientos de supervisión continuada ejecutados en tiempo real y arraigados en la entidad responden de manera dinámica a las circunstancias de cada momento y en consecuencia resultan más eficaces que los procedimientos de evaluación periódica. Estas últimas se realizan a posteriori por lo cual los de supervisión continuada permiten identificar los problemas con mayor rapidez, no obstante, algunas entidades con procesos de supervisión continuada eficaces realizan evaluaciones independientes en su sistema de control interno o parte del mismo de forma regular. “Si la entidad advierte la necesidad de frecuentes evaluaciones puntuales, deberá centrar sus esfuerzos en mejorar las

23

actividades de supervisión continuada, poniendo más énfasis en los ‘controles integrados’…” (Coopers & Lybrand, 1997, p. 94).

Las actividades de evaluación periódica son realizadas generalmente por el departamento de auditoría interna de la entidad dentro de sus funciones habituales (recordar del módulo 1 que justamente esta es la función primordial del departamento de auditoría interna) y también puede resultar necesaria una evaluación periódica a petición del directorio, el Comité de Auditoría o algún director de área. También resulta importante en este sentido el trabajo realizado por los auditores externos. Una combinación del trabajo de las 2 auditorías (interna y externa) genera el entorno más eficiente para la realización de las tareas de evaluación periódica.

Los cinco componentes antes descriptos vinculados entre sí generan una sinergia y forman un sistema integrado que responden de una manera dinámica a las circunstancias cambiantes del entorno. El sistema de control interno se encuentra entrelazado a las actividades operativas de la entidad y existe por razones empresariales fundamentales. El sistema de control interno aumenta su efectividad cuando los controles se incluyen a las actividades de la sociedad, es decir, en la propia naturaleza de la empresa. Mediante estos mecanismos de control “incorporados” se promueven la calidad y las iniciativas de delegación de responsabilidades, se evaden gastos innecesarios y se originan respuestas rápidas ante eventualidades del entorno cambiante.

Como síntesis de lo mencionado concluimos que el control interno puede colaborar para que una entidad cumpla sus objetivos (de rentabilidad y rendimiento y a evitar la pérdida de recursos y de obtención de información confiable y acatamiento de leyes y normas aplicables evitando efectos perjudiciales para su reputación y otros efectos), es decir que puede ayudar a una entidad a llegar donde quiere evitando peligros y sorpresas, pero NO asegura el cumplimiento de los objetivos empresariales ni asegura que la entidad sobreviva, mientras que tampoco asegura la fiabilidad de la información financiera, sino que solo brinda seguridad razonable.

Secuencia de evaluación:

La Resolución Técnica Nº 37 plantea los siguientes pasos, para efectuar las actividades de control:

1. Relevar las actividades formales de control de los sistemas que son pertinentes a su revisión.

2. Comprobar que esas actividades formales de control de los sistemas se aplican en la práctica

24

3. Evaluar las actividades reales de control de los sistemas, comparándolas con las que se considere razonables en las circunstancias.

4. Determinar el efecto de la evaluación mencionada sobre la planificación, de modo de replantear, la naturaleza, extensión y oportunidad de los procedimientos de auditoría seleccionados previamente1.

5.3. Oportunidad de las pruebas

En general, las pruebas de auditoría se realizan durante el período en que se está examinando la razonabilidad de los Estados Contables, pero en muchos casos el auditor se puede anticipar y realizar controles previos.

Por otro lado, si el auditor también es un consultor permanente de la empresa puede distribuir las pruebas durante todo el ejercicio.

5.4. Relevamiento (cursogramas,

cuestionarios y diagramas de sistemas

descriptivos)

Los métodos que puede utilizar el auditor para el relevamiento de las actividades de control de los sistemas pueden clasificarse en:

a) Descriptivo: consiste en la narración o relato escrito de las distintas operaciones que se realizan en cada área de la empresa.

b) Cuestionarios: implica realizar un listado de preguntas que cubran todos los aspectos significativos de las áreas a relevar.

c) Cursogramas: implican una representación gráfica secuencial del total de actividades que pertenecen a un área.

1 Resolución Técnica 37 – Normas de Auditoría, Revisión, otros Encargos de

Aseguramiento, Certificación y Servicios Relacionados. Federación Argentina de Consejos

Profesionales de Ciencias Económicas.

25

5.5. Determinación de los controles

clave.

Los controles claves de una entidad se los puede clasificar, según sus objetivos, de la siguiente manera:

Administrativo u Operativo:

i) promueven la eficiencia en las operaciones,

ii) estimulan la adhesión a prácticas ordenadas por la Gerencia y la Dirección,

iii) reducen costos y riesgos y maximizan resultados optimizando el uso de los recursos.

Contables o Controles Básicos: sirven para verificar la exactitud y confiabilidad de la información contable/financiera.

Preventivo o Disciplinas de Control: Protegen los activos de la organización Ejemplos de este tipo de control son los siguientes:

i) Separación de Funciones

ii) Restricciones en el acceso físico en determinadas áreas

iii) Custodia de determinados activos

iv) Controles de supervisión (auditoría interna y externa)

5.6. Determinación de fallas de control

interno y su efecto en los estados

contables

El sistema de control interno no asegura el éxito ya que, por bueno que sea, siempre está limitado por las siguientes restricciones:

i) Juicios erróneos en la toma de decisiones o simples errores humanos (el sistema de control interno no puede hacer que un gerente intrínsecamente malo se convierta en bueno). Las decisiones se deben tomar basadas en juicios de valor dentro de

26

límites temporales y con la información disponible y estas decisiones no están exentas de errores.

ii) Pueden influir sobre la eficiencia del sistema de control interno el hecho de que los controles pueden esquivarse mediante el complot de dos o más personas y además, la dirección puede esquivar el sistema. El SCI no puede ser más eficaz que las personas responsables de su funcionamiento. El sentido de la palabra elusión se refiere a la “omisión de políticas o procedimientos establecidos con finalidades ilegítimas, con ánimo de lucro personal o para mejorar la presentación de la situación financiera o para disimular el incumplimiento de obligaciones legales” (Coopers & Lybrand, 1997, p. 109). Los objetivos de la manipulación de registros para mejorar la información financiera podrían ser, por ejemplo: para mejorar artificialmente las cifras mostrando el cumplimiento de presupuestos poco realistas, para hacer subir el valor de mercado de la empresa antes de un proceso de oferta pública, para disimular una situación que podría implicar a la sociedad tener que reembolsar la totalidad de un préstamo (incumplimiento de covenants).

iii) Los cambios en las políticas gubernamentales o las acciones de los competidores o las condiciones económicas en general del entorno donde el ente desempeña sus actividades puedan afectar a la Compañía y con ello a la consecución de los objetivos de la empresa. Determinados acontecimientos o situaciones no son ajenos al control de la dirección y como consecuencia de ello habrán de impactar en la consecución de los objetivos de la entidad.

iv) Finalmente, influye la restricción sobre los recursos a la hora de diseñar un sistema de control interno dado que los beneficios de los controles deben ser evaluados en relación con los costos que esos controles generarán (ejemplo: quizás no sería conveniente implantar un sistema muy sofisticado de control de existencias de materias primas si el costo de la materia prima utilizada en el proceso productivo no es realmente significativo o las materias primas son perecederas. Generalmente, resulta más fácil la determinación del costo de implantar un control que los beneficios que se obtienen con el mismo cuestión esta última que siempre es subjetiva. En última instancia, siempre deberá tenerse en cuenta el equilibrio justo dado que un control excesivo resulta costoso y contraproducente.

Todos estos factores son los que hacen que el sistema de control interno solo brinde un grado de seguridad razonable pero nunca seguridad en cuanto al logro de los objetivos planteados. El

27

concepto de seguridad razonable no lleva implícito el concepto de que el sistema falle con frecuencia. Muchos controles en forma individual o complementariamente con otros refuerzan el concepto de seguridad razonable.

5.7. Relación con pruebas de

cumplimientos y sustantivas y

programas detallados de auditoría

Un buen sistema de control interno debería asegurar que:

Solo se inician, ejecutan y registran transacciones autorizadas.

Todas las transacciones autorizadas se inician, ejecutan y registran.

Errores en la ejecución y registración se detectan y corrigen.

Funciones y responsabilidades en el sistema de control interno

Todos los miembros de la organización tienen alguna responsabilidad en relación con el sistema de control interno. Las siguientes son las funciones que cada miembro de la empresa o terceros externos tiene en relación con el control interno:

1. LA DIRECCIÓN: Responsable último y quien debe asumir la “titularidad” del sistema dado que la responsabilidad se organiza en cascada. Una de sus responsabilidades más importantes es que establece las directrices en los niveles más altos de la organización, las cuales tienen influencia en la integridad, la ética y los demás factores que hacen a un entorno de control positivo. Esto debería complementarse con vías efectivas de comunicación con las funciones financiera y de auditoría interna. La dirección de una entidad es responsable de todas las actividades que esta lleva a cabo. Las responsabilidades de la dirección incluyen asegurarse que todos los componentes del sistema de control interno estén funcionando y lo cumple de la siguiente manera: i) Dirigiendo y orientando las actividades de los altos cargos (incluye la fijación de objetivos, principios y políticas operativas, define la estructura organizativa, los sistemas de información a utilizar, el contenido y

28

comunicación de las políticas claves) y ii) Reuniéndose periódicamente con los responsables de las áreas funcionales más importantes para revisar sus responsabilidades y la manera en que supervisan sus actividades. En general los directivos asignan la responsabilidad de definir procedimientos de control interno más específicos al personal encargado de las funciones de cada unidad.

2. AUDITORES INTERNOS: cumplen una función importante como evaluadores de la eficiencia del sistema de control interno. Por su posición jerárquica y autoridad tiene un papel de supervisión (5to componente del sistema de control interno). Las funciones de la auditoría interna incluyen:

I. Revisar la confiabilidad y la integridad de la información financiera y operativa y los procedimientos empleados para identificar, medir, clasificar y difundir dicha información.

II. Revisar los sistemas establecidos para asegurar el cumplimiento de aquellas políticas, planes, procedimientos, leyes y normativas susceptibles de tener un efecto importante sobre las operaciones e informes, así como determinar si la organización cumple con los mismos.

III. Revisar los medios utilizados para la salvaguarda de activos y verificar la existencia de los mismos.

IV. Valorar la eficiencia en el empleo de los recursos.

V. Revisar las operaciones o programas para cerciorarse de si los resultados son coherentes con los objetivos y las metas establecidas y si se han llevado a cabo según los planes

previstos (Coopers & Lybrand, 1997, p. 120)

Todas las actividades que se realizan dentro de la organización están en el ámbito de responsabilidad de los auditores internos siendo de especial relevancia respetar el principio básico según el cual los auditores internos deben ser independientes de las actividades que auditan. Esta independencia resulta de su posición y autoridad dentro de la entidad. Los auditores internos solo pueden ser imparciales cuando no tienen la obligación de subordinar su dictamen sobre cuestiones de auditoría al juicio de otros. El principal medio para asegurar la objetividad de auditoría interna es la asignación de personal adecuado para la función de auditoría, asimismo debería existir una rotación periódica del personal asignado y el personal de auditoría interna no debiera asumir responsabilidades operativas. El Departamento de Auditoría Interna no tiene por responsabilidad el establecimiento o

29

mantenimiento del sistema de control interno, esta responsabilidad le incumbe en forma indelegable al directorio. El auditor interno, como también se ha dicho, tiene una función importante en la evaluación de la eficacia del sistema de control interno.

3. COLABORADORES: El control interno es responsabilidad de todos los miembros de la organización y por lo tanto debe ser una parte de la descripción del puesto de trabajo de cada empleado. Todo el personal ocasiona información necesaria para el funcionamiento del sistema de control interno o realiza funciones para efectuar el control (realización de conciliaciones, el seguimiento de informe por excepciones, la realización de recuentos físicos, el análisis de variaciones de costos y otros indicadores de rendimiento); asimismo toda persona dentro de la organización es responsable de comunicar al nivel superior los problemas surgidos en el transcurso de las operaciones, así como incumplimientos al código de conducta u otros incumplimientos de políticas u acciones ilegales. Dentro de esta categoría de colaboradores merecen destacarse a los responsables de las áreas de contabilidad y finanzas dado que son personas claves en cuanto a la forma en que la dirección ejerce el control de las actividades dado que sus actividades tienen estrecha relación con el resto de las unidades operativas y funcionales de la entidad.

4. AUDITORES EXTERNOS: Aportando al Directorio una opinión objetiva e independiente contribuyen a la efectividad del sistema de control interno, sin embargo no son responsables del sistema de control interno de la empresa ni forman parte de él. En relación con la auditoría de EECC los auditores externos expresan una opinión sobre la razonabilidad con que los mismos presentan la situación patrimonial, los resultados de las operaciones, la evolución del patrimonio neto y el flujo de efectivo de la sociedad conforme a las normas contables en vigencia y de esta manera contribuye a alcanzar el objetivo de presentación de información financiera fiable de la entidad. Además el auditor externo suele brindar a la Dirección información útil para llevar a cabo sus responsabilidades en materia de control. No obstante en relación con esto debe considerarse que la existencia de un sistema de control interno INEFICAZ no significa que el auditor no pueda emitir una opinión sobre los estados contables en su conjunto. Sin embargo, los controles inadecuados podrían en determinados casos afectar la auditoría e incrementar sus costos debido a la necesidad del auditor de realizar un mayor número de pruebas sobre los saldos contables (pruebas sustantivas) para poder formarse una opinión. Asimismo, es importante considerar que el auditor externo deberá adquirir un

30

adecuado conocimiento del sistema de control interno para planificar su auditoría.

5. ORGANISMOS DE CONTRALOR Y TERCEROS RELACIONADOS CON LA ENTIDAD: los organismos de contralor tienen incidencia en algunos casos controlando directamente a las organizaciones (el Banco Central de la República Argentina en el caso de entidades financieras o la Superintendencia de Seguros de la Nación en el caso de Compañías de Seguro) y en otros casos obligándolas a establecer sistemas de control interno. Esto sucede especialmente en sociedades que cotizan sus títulos valores (acciones u obligaciones negociables) en relación a la necesidad de establecer sistemas de control contables que satisfagan determinados objetivos. Por otra parte los terceros relacionados con la entidad (entre otros clientes, proveedores, abogados) son una fuente importante de información (un cliente puede por ejemplo informar sobre la demora en la entrega de un producto, el empeoramiento en la calidad de los productos recibidos o cualquier otro aspecto que no satisfaga sus necesidades; un proveedor puede informar sobre intentos de corrupción por parte de empleados del Departamento de compras de la entidad.

5.8. Control interno y fraude

Las políticas de control interno que se desarrollen en una empresa también facilitarán la detección o prevención de los fraudes. El fin último de este control no es la erradicación del fraude, ilícitos o hurtos, pero en gran medida, el ejercicio de buenas prácticas de control, ayudarán a su minimización.

31

6. Papeles de trabajo

6.1. Concepto

Los papeles de trabajo son la base en la cual el auditor deja la evidencia comprobatoria de la tarea realizada. Los mismos incluyen las tareas realizadas, los métodos y procedimientos que siguió y las conclusiones a las que llegó.

6.2. Objetivos que se persiguen con su

preparación

Los papeles de trabajo constituyen un instrumento de gran importancia en el desarrollo del trabajo de auditoría, ya que constituyen el respaldo de las tareas realizadas y por lo tanto sustentan la opinión que luego se dará en el Informe. Por otro lado, tal como lo indica el Manual de Auditoría, los otros objetivos que persigue el realizar estos papeles son:

Facilitar el desarrollo del trabajo y la supervisión de los colaboradores

Constituir un antecedente valioso para la programación de revisiones del mismo cliente o de entes similares.

Permitir informar al cliente sobre deficiencias observadas.

6.3. Propiedad, conservación y

exhibición

Los papeles de trabajo son propiedad del auditor, es decir de su redactor, aunque su utilización debe ser medida para no excederse del secreto profesional.

32

De acuerdo a lo que establece la Resolución Técnica N° 37, los papeles de trabajo deben conservarse por el plazo que fijen las normas legales o por diez años, el que fuera mayor.

La exhibición de los papeles quedará sujeta solo a pedido del cliente, o bien cuando constituyan una prueba necesaria para la defensa personal del auditor.

6.4. Aspectos a tener en cuenta en su

preparación

Los puntos que deberían incluirse en los papeles de trabajo son los siguientes:

1. Nombre del ente auditado

2. Fecha de cierre del ejercicio o período sujeto a auditoría

3. Identificación del rubro y de la cuenta auditada

4. En las planillas llaves, incluir saldos anteriores a efectos comparativos

5. Indicación del cruce de los saldos de las cuentas trabajadas con el balance de comprobación

6. Se debe indicar con claridad el criterio utilizado para determinar el tamaño de las muestras y la documentación analizada

7. Se debe evitar todo comentario o dato que resulte confuso y sin relevancia

8. Incluir una nota en donde se exprese cualquier desvío o problema detectado

9. Codificación que permita su clasificación

10. Las firmas de las personas que han trabajado en cada revisión y si existiera, la firma de quien ha controlado el trabajo

11. La fecha en que se terminó la revisión

12. Todo comentario u observación que permita comprender la tarea realizada y las conclusiones arribadas

33

6.5. Legajos de papeles de trabajo

Los legajos son las carpetas que se preparan con todos los papeles que intervienen en la auditoría de un ejercicio o período.

Los mismos se pueden clasificar en:

1. Legajos del ejercicio: son los que agrupan los papeles relacionados con una auditoría específica, ya sea de un ejercicio o período. Entre estos se encuentran:

Papeles generales: Son comunes a varios rubros y por lo tanto se agrupan en un solo legajo. Por ejemplo, entre estos se pueden encontrar:

Carta de la gerencia

Carta de los asesores legales

Ajustes sugeridos y aceptados

Ajustes sugeridos y no aceptados

Programa de trabajo

Sugerencia para futuros exámenes

Conclusiones sobre las actividades de control

Papeles específicos: se relacionan con una cuenta o rubro particular, por ejemplo:

Planilla llave

Trabajo realizado

Confirmaciones de saldos

Comentarios o notas

Otros.

2. Permanentes o continuos: Se archivan documentos que contienen información trascendente a varios años, por ejemplo:

Datos específicos del ente: nombre, domicilio, tipo societario, copia del estatuto, etc.

34

Datos del contexto: competidores, productos sustitutos, porción del mercado abarcada, etc.

Datos específicos de un rubro o cuenta: copia de contratos de leasing, planilla de bienes inmuebles, entre otros.

3. Legajos especiales: Agrupan documentos no incluidos en los tipos anteriores y que se refieren a un tema particular. Por ejemplo:

Evaluación de los controles de sistemas

Evaluación de control interno

Resumen de observaciones detectadas

Otros.

6.6. Revisión de papeles de trabajo

Para una correcta revisión de las tareas realizadas, es importante la adecuada utilización de las referencias cruzadas y las codificaciones de cada una de las hojas.

35

Bibliografía Lectura 2

Instituto Auditores Internos de España - Coopers & Lybrand, SA.

(1997). Los nuevos conceptos del control interno- Informe COSO-.

Madrid: Díaz de Santos SA.

Lattuca A. y Mora Cayetano, A. (2001). Manual de Auditoría.

Buenos Aires: Federación Argentina de Consejos Profesionales de

Ciencias Económicas.