unidad tres ok

En alianza con

Colombia

!"#$%&'$(AuditoriaAuditoria

UNIDAD TRES

CONTROL INTERNO

SEMANA CUATRO

Objetivos específicos

Competencias

Desarrollo Temático

3.1. INTRODUCCIÓN

3.2. CONCEPTOS Y OBJETIVOS DEL CONTROL

•Definición de control

•Universalidad del control

•Principios del control

•Tipos de control

•Clases de control dentro de una organización

3.3. CONCEPTOS DE CONTROL INTERNO

•Definición del Control Interno

•Función del Control Interno

•Principios fundamentales del Control Interno

•Objetivos del Control Interno

•Elementos fundamentales del Sistema de Control Interno

•Relación entre los objetivos y los elementos del control Interno

•Características del Control Interno

•Responsables del Control Interno en la Organización

•Participantes del Control Interno

•Importancia de la presencia del control Interno

Lectura

En alianza con

Colombia


•Limitaciones del Control Interno

3.4. MODELOS ESTÁNDAR DE CONTROL

•COSO

•COCO

•COBIT

•SAC

3.5. ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

3.6. PRUEBAS DE CONTROLES

Propósito

3.7. MÉTODOS PARA EVALUAR EL CONTROL INTERNO

•Cuestionarios

•Diagramas de Flujo

•Narrativas

RESUMEN DE LA UNIDAD

GLOSARIO

BIBLIOGRAFÍA UTILIZADA

BIBLIOGRAFÍA COMPLEMENTARIA

3. CONTROL INTERNO

OBJETIVOS ESPECÍFICOS

•Definir lo que es el Control Interno

•Distinguir los principales componentes del Control Interno del Cliente: ambiente de control, Evaluación de Riesgo, Sistema de información contables, Actividades de control y Monitoreo de controles.

•Describir el examen del control interno por parte de los auditores.

•Explicar las técnicas con que se conocen el control interno.

•Describir la responsabilidad que tiene el auditor de comunicar todo lo relacionado con el control interno.

En alianza con

Colombia


•Explicar la actividad y la importancia del control interno en una empresa, la forma de identificar los controles y sus fortalezas y las técnicas existentes para su evaluación.

COMPETENCIAS

El estudiante estará en capacidad de explicar y analizar los principales componentes del Control Interno del Cliente: ambiente de control, Evaluación de Riesgo, Sistema de información contables, Actividades de control y Monitoreo de controles.

•Describe el examen del control interno por parte de los auditores.

•Explica las técnicas con que se conocen el control interno.

•Describe los estándares de control conocidos a nivel mundial: COSO, COCO, SAC Y COBIT.

DESARROLLO TEMÁTICO DE LA UNIDAD

3.1. INTRODUCCIÓN

La importancia del control hoy en día toma una gran importancia relevante ante cualquier actividad que a diario vivimos. El control es todo aquello que nos ayuda a disminuir un riesgo, por lo que debemos estar preparados para cualquier tipo de eventualidad que se nos pueda presentar en nuestras actividades diarias. Así como las personas están sujetas a una gran cantidad de riesgos*, lo mismo sucede con las organizaciones quienes no están exentas de que se les puede presentar una gran cantidad de riesgos que puedan afectar a la organización: pérdida de activos, disminución en sus ingresos, delincuencia común, fraudes, etc., por lo que debemos estar preparados para este tipo de eventualidades.

Entender el control como un elemento preventivo, es de gran importancia porque le permitirá evaluar desde antes las posibles causas del riesgo y así poder aplicar los controles correspondientes. Se debe entender que tipo de controles podemos aplicar y que clases de control podemos tener dentro de la organización es muy importante para los administradores para la implementación de los controles, que son otra cosa que las actividades que se desarrollan y se implementan, los cuales constituyen como el Control interno organizacional.

La explicación del control interno tiene tres grandes objetivos: primero explicar el significado y la importancia del control interno, segundo, describir los principales componentes del control interno del cliente, tercero, mostrar cómo el auditor obtiene y conoce el control interno con el propósito de cumplir lo establecido por la norma de auditoría, que habla sobre la ejecución del trabajo de auditoría. Hay diferencias de opinión en torno al significado y los objetivos del control interno.

* Riesgos: La probabilidad de que se presente una eventualidad que pueda afectar nuestra actividad normal.

En alianza con

Colombia


Para muchos la designación del control interno son los pasos que toma una compañía para prevenir el fraude, tanto la malversación de activos como los informes financieros fraudulentos. Otros admiten su importancia en la prevención del fraude, pero creen que contribuye además a garantizar el control de los procesos dentro de la organización.

El control interno varía mucho entre las organizaciones, según factores como el tamaño, la naturaleza de sus operaciones y los objetivos de las empresas. No obstante, existen ciertas características que son esenciales para un buen control en las empresas: ambiente de control, proceso de evaluación del riesgo, sistema de información y comunicación, las actividades de control y el monitoreo a los controles.

La eficiencia y eficacia del Control Interno dependerá exclusivamente de la administración, la cual es la responsable de su implantación, su evaluación y aplicación de las actividades de control. El Auditor deberá evaluar estos conceptos de eficiencia y eficacia del control a través de su evaluación, tal como lo contemplan las normas de auditoría y opinar sobre la efectividad del control en la empresa.

3.2. CONCEPTOS Y OBJETIVOS DEL CONTROL Definición y concepto de Control Control es la verificación, comprobación, intervención o fiscalización de una actividad o proceso, es todo aquello que nos ayuda a disminuir un riesgo o que tiende a causar la reducción de los mismos, ya sea en una persona o en una institución. El control también implica la medición de lo logrado en relación con lo previsto, así como la detección y corrección de las desviaciones, para asegurar el logro de las metas y objetivos propuestos.

UNIVERSALIDAD DE CONTROL

Es evidente que el control tiene como fundamento la planeación, la organización, la dirección y la operación, de las cuales dependerá la efectividad de los diferentes controles implantados. El control es una fase del proceso administrativo y consiste en evaluar lo realizado comparándolo con las normas o estándares establecidos de manera que se tomen las medidas necesarias cuando surja discrepancia o variación. Su objeto principal es vigilar que todas las operaciones o actividades que se realicen, se rijan estrictamente a los planes o normas establecidas, a fin de reducir, hasta donde sea posible, las desviaciones entre lo que se intentaba obtener y lo que realmente se obtuvo. Esto le da carácter de universal al control. PRINCIPIOS DE CONTROL El control es un principio que aplica a todo el ambiente que nos rodea, la naturaleza, el cosmos, la sociedad, el individuo, las empresas. El control ha existido siempre en todas las actividades como ayuda excepcional para realizarlas, siguiendo normas legales, personales o morales, proyectadas a la familia, la sociedad, la empresa o a la persona misma. La necesidad ingente de ejercer control sobre todas las actividades criticas, para una persona o una empresa, exige establecer una serie de

En alianza con

Colombia


controles que van desde un control estricto de cada individuo hasta un control global de la misma sociedad o institución. TIPOS DE CONTROL Dentro del contexto del control se puede observar tres formas de aplicar el control:

• Control Preventivo, • Control Detectivo y • Control Correctivo.

Preventivo: es aquel tipo de control que se aplica desde antes en que se realiza una actividad. Como ejemplo se tiene la práctica de efectuar mantenimiento previo a un vehículo antes de iniciar su actividad. Detectivo: es el tipo de control que sirve para detectar algún tipo de problema y se aplica desde el mismo momento en que se lleva a cabo la actividad. Continuando con el ejemplo del vehículo podemos decir que es el que se efectúa cuando el vehículo esta en funcionamiento y algún instrumento le indica al conductor una falla de la maquina. Correctivo: es el tipo de control que corrige. Es la acción de corregir, de enmendar los problemas presentados antes o durante las fases previas o inmediatas a la actividad. Si durante la actividad realizada por el vehículo este hubiese presentado fallas que no le permitieron continuar, las refacciones que se hagan al vehículo son de tipo correctivo.

CLASES DE CONTROL DENTRO DE UNA ORGANIZACIÓN

Dentro del contexto del control, las organizaciones también están relacionadas directamente con él. El control en su sentido más amplio, incluye procesos que pueden ser considerados como contables o administrativos: Contable Financiero y Administrativo.

Control Contable financiero. Son todos aquellos sistemas y procedimientos implantados por la organización y que giran en torno a la actividad financiera de la organización, éste control esta enfocado a la protección de sus activos y pasivos. Los controles contables comprenden el plan de organización, los procedimientos y registros relacionados con la salvaguardia de los activos y la fiabilidad de los registros contables, debiendo proporcionar, por tanto, una razonable seguridad de que:

• Las transacciones se ejecutan de acuerdo con la autorización específica de la administración.

• Las transacciones se registran debidamente: • Para facilitar la preparación de estados financieros de acuerdo con las normas

de contabilidad generalmente aceptadas. • Para procurar la salvaguardia de los bienes y derechos.

En alianza con

Colombia


• Para que exista información suficiente y oportuna, para una adecuada toma de decisiones.

• El acceso a los bienes sólo se permitirá dé acuerdo con autorización de la administración del ente.

• La existencia contable de los bienes se comprobará periódicamente con su existencia física, tomándose las medidas oportunas en caso de surgir diferencias.

Control administrativo Los controles administrativos se relacionan con las Normas y los procedimientos existentes en un ente vinculados a la eficiencia operativa y al acatamiento de las políticas de la administración. Estos controles normalmente, solo influyen indirectamente en los registros contables. Son todos aquellos sistemas y procedimientos implantados por la organización y que giran en torno a la actividad administrativa de la organización, éste control esta enfocado a lograr la eficiencia y eficacia de la entidad.

3.3. CONCEPTOS DE CONTROL INTERNO

Definición del control interno. El control interno comprende el plan de organización y el conjunto de métodos y procedimientos que aseguren que los activos están debidamente protegidos, que los registros contables son fidedignos y que la actividad de la entidad, se desarrolla eficazmente según las directrices marcadas por la administración.

Adicional a la anterior, a continuación se señalan algunas definiciones que sobre el control interno se tienen, presentando las que por su origen y características nos acercan a la interpretación del mismo:

Según el Consejo Técnico de la Contaduría Pública en Colombia El consejo técnico, determino en el pronunciamiento 7, sobre Revisoría Fiscal2, que: "Control interno es un proceso, ejecutado por la Junta Directiva o Consejo de administración de una entidad, por su grupo directivo y por el resto de personal, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres categorías de objetivos: efectividad y eficiencia en las operaciones, suficiencia y confiabilidad de la información financiera y el cumplimiento de las leyes y regulaciones aplicables.

2 Disposiciones Profesionales del Consejo Técnico de la Contaduría – Pronunciamiento 7 Revisoría Fiscal. Autor: Consejo Técnico de la Contaduría

http://www.jccconta.gov.co/consejot/publicaciones/Pronunciamientos/Pronunciamientas.htm

Consultado el 13 de abril de 2011

En alianza con

Colombia


Esta definición enfatiza ciertos conceptos fundamentales sobre el control interno, a saber:

• Es un proceso, esto es, un medio no un fin en sí mismo. • Se efectúa por personas. No lo constituyen simplemente los manuales de

políticas, los formatos, sino las personas en cualquier estrato de la organización.

• No puede esperarse que ofrezca más que una seguridad razonable. • Está dirigido al logro de objetivos comprendidos en uno o más grupos que

abarcan. Ley 87/93 La ley que entró a regular el ejercicio del control interno en las entidades del estado en Colombia, ha logrado introducir una de las definiciones más completas y modernas sobre control interno, haciéndola corresponder además con el propósito de la Carta Política: "Se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones, y actuaciones, así como la administración de la información y los recursos, se realicen dé acuerdo con las normas institucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos”.

Sugiere esta definición la necesidad de imprimir a los organismos y entidades del Estado en Colombia una administración Gerencial, seria, técnica y moderna, que dé al traste con los viejos esquemas administrativos.

Análisis General de la definición de la Ley 87 El control interno no consiste en un proceso secuencial, en donde alguno de los componentes afecta solo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros y conforman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes. De esta manera el control interno difiere por ente y tamaño y por sus culturas y filosofías de administración. Así, mientras todas las entidades necesitan de cada uno de los componentes para mantener el control sobre sus actividades, el sistema de control interno de una entidad generalmente se percibirá muy diferente al de otra.

El control está ubicado en diferentes puntos dentro de la organización, en el área financiera, donde se implantan controles para el manejo de la tesorería, la contabilidad, etc. en el área administrativa, donde se dan puntos de control para el manejo del personal, o en el área de producción donde se plasman controles como el control de calidad, eficiencia productiva, etc. Adicionalmente cada área apoya a las demás y se permiten los controles cruzados para efectos de darle una mayor seguridad a la organización de que lo previsto se esté aplicando tal como se planeó. De otra parte, existe un área encargada de evaluar el cumplimiento de los procesos y sus controles implantados, permitiendo a la gerencia tener una seguridad

En alianza con

Colombia


razonable de que lo ordenado por ella se está cumpliendo de acuerdo con lo previsto.

Desglosando la definición es posible obtener una comprensión más amplia sobre el alcance del sistema del control interno aquí previsto:

Es un sistema:

•En cuanto a que se presenta como toda una filosofía, un método, una forma, un modo, diseño o estilo especial de control, integrado por controles de gestión, financieros y administrativos.

•El control interno se ha definido como sistema, es decir, un conjunto de elementos que sé interrelacionan mediante determinadas reglas para lograr un objetivo específico, el cual no es otro que la observancia de los principios de la organización. Ese conjunto de elementos que sé interrelacionan son los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación, integrados a las prácticas administrativas y financieras que cotidianamente desarrollan los funcionarios en la ejecución de sus procesos de trabajo.

•Es un proceso, esto es, un medio no un fin en sí mismo. Es ejecutado por personas, no lo constituyen simplemente los manuales de políticas, los formatos, sino las personas en cualquier estrato de la organización. Está dirigido al logro de objetivos comprendidos en uno o más grupos.

Es interno:

•Porque surge como un control al interior de la misma administración a quien compete dicha responsabilidad, debiendo estar intrínseco en todos los procesos, instancias y facetas de la administración. Es un control de carácter preventivo, que, más que represivo es asesor y orientador. Es un sistema de ayuda para la administración.

•Es interno porque comprende su propio plan de organización, sus métodos coordinados, y sus propias medidas adoptadas con un propósito específico: proteger los activos de la organización. Es decir comprende sus propios controles.

Es un conjunto de planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación:

• Significa que es un modelo de administración Gerencial que comprende todo el conjunto de directrices, técnicas y elementos gerenciales no sólo de carácter financiero sino administrativo y operativo. • Abarca por tal motivo, todo el esquema organizacional y las diferentes instancias, facetas y dependencias de la estructura administrativa (planeación, organización, dirección y control) que constituyen e identifican a cada entidad. • La definición, además, señala el claro propósito u objetivo general del sistema de control interno, orientado no solamente a salvaguardar los bienes y recursos, sino a garantizar el cabal cumplimiento de las políticas, planes y metas propias de la entidad, cuidando de hacer efectivos los principios rectores de toda administración moderna.

En alianza con

Colombia


FUNCIÓN DEL CONTROL INTERNO Asegurar que las distintas operaciones que se realizan en la entidad se encuentren cumpliendo los planes, objetivos y programas determinados.

Este concepto nos remite a reconocer la estrecha y manifiesta analogía existente con las diferentes funciones que forman el proceso administrativo, de tal forma que no es posible considerarlo aisladamente, sino que forma parte de la administración en su conjunto. Es una parte integral del proceso administrativo, de ahí que insistamos en que es una responsabilidad Gerencial. De ahí, entonces, que al considerar los principios rectores y elementos fundamentales del sistema de control interno, se observa que necesariamente deben ser relativos a aquellos exigidos en el desarrollo de la función administrativa. Se busca así, igualar un buen control interno a una buena administración.

El control interno como función y parte integrante del proceso administrativo, intenta asegurar que las distintas operaciones que se realizan en la entidad se encuentren cumpliendo los planes, objetivos y programas previamente determinados por la organización.

PRINCIPIOS FUNDAMENTALES DEL CONTROL INTERNO Un principio es una proposición general que se sustenta, en este caso en la teoría del control y orienta la estructura del sistema, constituyendo un fundamento de conocimiento, con validez universal. Los principios siempre son pocos y tienden a simplificarse en un número cada vez menor, teniendo el carácter de general cuando se refieren a la globalidad del control y de específico cuando se orienta a un segmento del mismo, como es el caso del control interno.

A partir de los principios de control se determinan los principios fundamentales de control interno, los cuales guían sus objetivos, normas técnicas y procedimientos y son: los relativos al sistema de control interno, a su obligatoriedad, a la legalidad, a su permanencia, a su calidad, a su confiabilidad, a su oportunidad, a su responsabilidad, a la segregación de funciones, a la suficiencia de pruebas y a la productividad.

OBJETIVOS DEL CONTROL INTERNO Un objetivo es una aspiración que se pretende realizar a través de un conjunto de actividades. Los objetivos del control interno son aspiraciones que se deben satisfacer a través del proceso de planeación, ejecución, evaluación y comunicación de la estructura del sistema de control interno y las consecuencias de su funcionamiento.

Los objetivos del sistema de control interno de tipo contable se deben relacionar con cada una de las etapas por la que discurre una transacción. Las etapas más importantes relativas a una transacción comprenden su autorización, ejecución, registro y finalmente la responsabilidad respecto a la custodia y salvaguardia de los

En alianza con

Colombia


activos que resulten de dicha transacción, con el fin de que las mismas hayan sido ejecutadas y que se encuentren clasificadas en las cuentas apropiadas.

El objetivo del control interno en la organización es establecer el cumplimiento de lo previsto por la administración, igualmente es el de ayudar a la administración, dirección o gerencia al mejor desempeño de sus funciones.

Estos objetivos se pueden enumerar así:

• La protección de los activos de la empresa. • Asegurar que la información sea veraz, confiable y oportuna. • Garantizar la eficiencia, la eficacia y economía de las operaciones del

negocio. • Facilitar la correcta ejecución de funciones y actividades definidas y que la

ejecución de las operaciones se adhiera a las políticas establecidas por la administración de la empresa.

Los dos primeros objetivos cubren el aspecto de controles internos contables y los dos últimos se refieren a controles administrativos.

Es importante mirar que dentro de la normatividad, respecto a la ley de control interno en Colombia, en la ley 87/94 en su artículo 2 dice:

El control interno se orienta al logro de los siguientes objetivos:

• Garantizar que la entidad disponga de procesos de planeación y mecanismos adecuados para el diseño, desarrollo organizacional, de acuerdo con su naturaleza y características.

• Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten.

• Garantizar la eficacia, la eficiencia y economía en todas las operaciones promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión institucional

• Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad

• Garantizar la correcta evaluación y seguimiento de la gestión organizacional. • Asegurar la oportunidad y confiabilidad de la información y de sus registros. • Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las

desviaciones que se presentan en la organización y que pueden afectar el logro de sus objetivos.

• Garantizar que el sistema de control interno disponga de sus propios mecanismos de verificación y evaluación

• Velar porque la entidad disponga de procesos de planeación y mecanismos adecuados para el diseño y desarrollo organizacional, de acuerdo con su naturaleza y características.

En alianza con

Colombia


La información, la protección de los activos, garantizar la eficiencia, eficacia y economía de todas las operaciones, facilitar la correcta ejecución de funciones y actividades definidas.

ELEMENTOS FUNDAMENTALES DEL SISTEMA DE CONTROL INTERNO Se consideran fundamentos de control interno al conjunto de elementos, bases, características, objetos y consideraciones que sobre él deben incorporarse en el proceso de diseño, implementación y retroalimentación del sistema.

Se define como elementos del control interno al conjunto de actividades orientadas a su diseño, implementación y retroalimentación del sistema, para que este estructure de una manera flexible, dinámica y efectiva, en la realización de sus principios y objetivos.

Establecer un sistema de control interno implica establecer un plan de desarrollo para el mismo, para que este se instrumentalice y retroalimente a través del tiempo, este plan integra elementos normales de cualquiera de su naturaleza y por tanto incorpora un diagnostico sobre la condición actual, el establecimiento de metas y objetivos, la definición de políticas, adopción de un sistema de organización, delimitación de autoridad y responsabilidad, normas reguladoras y mecanismos de control de efectividad.

Concebido el sistema de control interno, como un conjunto de elementos que ayuda a la dirección o gerencia en el desempeño de sus funciones y a la consecución de sus objetivos, se hace preciso identificar los elementos fundamentales a los que debe orientarse la actividad empresarial en las distintas áreas, instancias o dependencias de la entidad. Si bien, pueden hacerse múltiples clasificaciones en el señalamiento de los elementos del sistema de control interno, se propone en este estudio, acoger una elemental formulación que se considera integra los aspectos centrales y de mayor trascendencia en la administración moderna.

Genéricamente, es posible entonces, señalar como elementos fundamentales del sistema de control interno:

• El plan de Organización • Procedimientos de operación • Sistema de autorización de operaciones y registro de la información • Administración y control del personal • Adecuada supervisión que consiste en la revisión, verificación y evaluación o

análisis critico de la organización.

En primera instancia un plan de organización que proporcione una separación apropiada de las responsabilidades funcionales, unos procedimientos adecuados de operación que le permitan a la organización eficiencia y eficacia en sus operaciones, un sistema de autorización operativo y los procedimientos de registro de la información suficientes para proporcionar un control razonable en la contabilización de las partidas del activo, pasivo, ingresos y gastos, una adecuada administración y control del personal con practicas correctas que deben seguir en la ejecución de sus obligaciones

En alianza con

Colombia


y funciones de cada uno de los departamentos de la organización con un determinado grado de competencia del personal en relación con sus actividades, y una adecuada supervisión de la ejecución del control interno que permita una vigilancia constante para que el personal desarrolle sus actividades acorde con lo previsto por la organización.

Plan de Organización El diseño y confección técnica de una estructura organizacional que identifique cada una de las dependencias y órganos de administración de la entidad y les señale sus competencias, funciones, responsabilidades, es también elemento fundamental en la implantación del sistema de control interno.

Se requiere establecer estructuras administrativas operantes y ágiles que en vez de complicar y entorpecer los procesos administrativos los simplifique e impulse hacia el logro de los objetivos y la instauración de una administración eficiente. Es innegable que el volumen o dimensión de la estructura administrativa se constituye en uno de los factores determinantes desde el punto de vista organizacional, que amerita un mayor análisis de acuerdo con las características y complejidad de cada entidad, en procura de una mayor racionalidad del recurso humano en términos de costo-beneficio.

Es imposible pensar en modernizar la organización con una planta de personal sobredimensionada y en veces infructuosa e ineficiente que en definitiva genere más costo que beneficio y que se constituye inevitablemente no sólo en un obstáculo para la modernización sino para alcanzar el nivel de moralización. Corresponde, entonces, al sistema de control interno, en razón de este elemento, organizarse de manera que su ejercicio sea parte esencial para el cumplimiento eficiente de todos los cargos existentes en la entidad y en especial de aquellos que tengan atribuciones y responsabilidades de dirección o de confianza. Una estructura apropiada de organización es, pues un paso previo indispensable para establecer métodos de control.

Los elementos del control interno en que interviene la organización son: Dirección, Coordinación, División de labores y Asignación de responsabilidades. Dirección: que asuma la responsabilidad de la política general de la empresa y de las decisiones tomadas en su desarrollo. Coordinación: que adapte las obligaciones y necesidades de las partes integrantes de la empresa a un todo homogéneo y armónico que prevea los conflictos propios de invasión de funciones o interpretaciones contrarías a las asignaciones de autoridad. División de labores: que defina claramente la independencia de las funciones de operación, custodia y registro, que ningún departamento debe tener acceso a los registros contables en que se controla su propia operación. Bajo el mismo principio, el departamento de contabilidad no debe tener funciones de operación o de custodia, sino que debe concretarse al registro concreto de datos, verificando sus respectivas autorizaciones y evidencias de controles aplicables, así como a la

En alianza con

Colombia


presentación de los informes y análisis que requiera la dirección para controlar adecuadamente las operaciones de la empresa. El principio de decisión de funciones impide que aquellos de quienes depende la realización de determinada operación puedan influir e la forma que ha de adoptar su registro o en la posesión de los bienes involucrados en la operación. Bajo este principio, una misma transacción debe pasar por diversas manos, Independientes entre sí. Asignación de responsabilidades: que establezca con claridad los nombramientos dentro de la empresa, su jerarquía y delegue facultades de autorización congruentes con las responsabilidades asignadas. El principio fundamental en este aspecto consiste en que no se realice transacción alguna sin la aprobación de alguien específicamente autorizado para ello. Debe, en todo caso, existir constancia de esta aprobación, con la posible excepción de actividades rutinarias de menor importancia en que la aprobación claramente pueda entenderse como tácita. Procedimientos de operación. La existencia de control interno no se demuestra sólo con una adecuada organización, pues es necesario que sus principios se apliquen en la práctica mediante procedimientos que garanticen la solidez de la organización. El establecimiento y definición de normas y procedimientos claros y precisos es también parte integrante y fundamental de la organización de toda entidad. La existencia consolidada y sistematizada de normas y procedimientos como parte integrante de normas de control interno garantiza que todas las actuaciones, transacciones u operaciones, tanto administrativas como financieras estén plenamente reconocidas y autorizadas acorde con los planes y objetivos de la organización. Su finalidad apunta a eliminar en lo posible la improvisación y el riesgo en el manejo de los recursos humanos, técnicos y financieros y a establecer con precisión las realizaciones y procedimientos propios de cada funcionario, dependencia o grupo. Es necesario fijar y definir normas y procedimientos durante la fase de planeación, de tal forma que involucren a todos los niveles de la entidad u organismo y que sirva de requisito previo a las distintas actuaciones administrativas y en especial a todo proyecto o tarea organizacional. Planeación y sistematización: La planeación entendida ésta como el diseño y formulación previa de políticas, metas, objetivos, programas y controles racionalmente definidos. Estudia los posibles cambios que pueden suceder y orienta a la entidad de acuerdo con ellos. En la concepción de un nuevo estilo Gerencial, resulta de suma importancia la clara percepción, al interior de la administración, de las formulaciones tendientes a señalar objetivamente las políticas trazadas, los objetivos propuestos, las acciones institucionales previstas, los programas a desarrollar y los controles correspondientes a

En alianza con

Colombia


implementar en una determinada entidad. La base de la administración eficiente es, sin duda, una lineación acertada. El establecimiento de políticas es la definición de los parámetros y principios llamados a distinguir y a guiar las principales acciones de la entidad. Estas políticas pueden ser generales, particulares o específicas, según abarque su campo de aplicación en la entidad en particular o alguna dependencia u organismo especial, pero lo más importante es que sean realistas en el sentido que sean de aplicación práctica. La configuración y confrontación permanente de las metas y de los planes de desarrollo social e institucional, de inversión y de organización administrativa, diseñados dentro de un marco de clara y lógica perspectiva, es elemento previo y fundamental en la implementación del sistema de control interno. El seguimiento y respeto a las directrices, delineamientos, metas y prioridades establecidas jerárquicamente por los planes de la dirección, estructurados acorde con los principios de coordinación, complementariedad y subsidiaridad, se constituye en la premisa fundamental para el logro eficiente de los fines de la organización. Por ello se afirma que la planeación reviste una vital importancia como elemento estructural dentro del sistema de control interno, hasta el punto de convertirse en la fuerza creadora de éste. Es quizá la esencia y columna vertebral dentro del sistema de control interno. El diseño de objetivos y programas racionalmente definidos, confiables y realizables, orientados al desarrollo de los fines, planes generales de la administración, se hace cada vez más necesario en el que-hacer directivo y Gerencial moderno. La administración por objetivos y programas se impone imperiosamente en el mundo moderno y la empresa Pública no ha sido ajena a este nuevo esquema. Un buen directivo o gerente identifica con claridad los objetivos que la entidad debe cumplir, genera un sólido compromiso institucional alrededor de los objetivos centrales de la entidad y garantiza el cumplimiento de los resultados propuestos, en forma eficaz y eficiente. No es posible que exista control si antes no se ha planeado y es claro, entonces, que mientras más completos y realizables sean los planes, se facilitará el establecer mejores procedimientos de control. De igual forma que los planes y objetivos están sujetos a una revisión periódica, las mediciones derivadas de los controles deben ajustarse periódicamente y tener la flexibilidad necesaria para adaptarse a las condiciones cambiantes. Una buena planeación y sistematización de procedimientos y un buen diseño de registros, formas e informes, permite la supervisión casi automática de los diversos aspectos del control interno. Es deseable encontrar en uso un instructivo general o una serie de instructivos sobre funciones de dirección y coordinación, la división de labores, el sistema de autorizaciones y fijación de responsabilidades. Estos instructivos usualmente asumen la forma de manuales de procedimientos y tienen por objeto asegurar el cumplimiento, por parte del personal, con las practicas que dan efecto a las políticas de la empresa, uniformar los procedimientos, reducir errores, abreviar el período de entrenamiento del personal y eliminar o reducir el número de

En alianza con

Colombia


ordenes verbales y de decisiones apresuradas. Por ejemplo: en el aspecto concreto de la contabilidad, la planeación y sistematización exigen al menos un catálogo de cuentas con su respectivo instructivo, una gráfica del trámite contable y un manual de procedimientos aplicables a las formas, registros e informes contables. Un grado más elevado de planeación requiere control presupuestal e implantación de estándares de producción, distribución y servicios. Registros y Formas: Un buen sistema de control interno debe procurar procedimientos adecuados para el registro completo y correcto de la información respecto a los activos, pasivos, ingresos y gastos que tiene la organización. Esto aplica a los diversos departamentos de la empresa: Contabilidad. Personal. Almacén, Ventas, Producción, etc. Informes: La información es sin duda alguna, en la actualidad un elemento fundamental e indispensable en el sistema de control interno, orientado a crear un ambiente propicio para que la dirección o gerencia tome las decisiones más convenientes para la entidad. Esta debe estar encaminada a facilitar la cooperación y coordinación al interior de toda entidad Pública. La información como ayuda para la coordinación es un aspecto esencial en el control interno, especialmente en entidades de cierta complejidad donde la responsabilidad se delega habitualmente con motivo de las dimensiones y proporciones considerables que las caracterizan. El énfasis en los aspectos coordinativos de la información, debe remitir, además, a insistir en el vínculo aglutinante de la comunicación en toda organización, que la convierte en un mecanismo oxigenante y lubricante en todo el sistema del control interno. Se hace necesario que la información esté caracterizada como un elemento periódico, rápido y eficaz que ayude tanto al más alto nivel directivo como al resto de colaboradores en la consecución de sus propósitos. La información ha de reunir, entonces, los siguientes requisitos:

• Debe ser útil, es decir, que supla o apunte a necesidades sentidas. • Debe ser oportuna, que se genere en el momento propicio y requerido y que

además sea fiable y confiable. • Debe ser comprensible, es decir, que sea inteligible para todo aquel a quien

vaya dirigido. Requiere presentarse en forma clara y en un lenguaje de fácil comprensión, que permita así mismo una adecuada interpretación.

• Debe ser completa y exacta, la información ha de contener todos los datos y aspectos necesarios sobre lo que intenta comunicar, ha de ser íntegra y así mismo exacta. La integridad y la exactitud de la información son condiciones indispensables para que pueda ser suficientemente valorada. Los informes de control por ejemplo, deben hacer resaltar los factores críticos o estrategias básicas para el éxito continuado de la entidad.

• Debe ser concisa, no debe estar sobre saturada de ideas o sobrecargado de datos secundarios de poca relevancia, sino que es preciso destacar la información más importante en forma clara y concisa. Se requiere una

•

En alianza con

Colombia


• ordenación de la información que lleve a presentar y a exponer en primer lugar lo esencial para continuar con lo menos significativo.

Es necesario establecer una distinción entre lo que son datos o cifras proporcionadas y lo que es propiamente información. Los primeros, son hechos conocidos o asequibles. Información, significa datos que han sido procesados, que se encuentran al día, es decir, oportunos, correctos y presentados de tal manera que puedan ser aprovechados en la mejor forma posible para percatarse de una situación dada y proceder a efectuar una decisión. Un sistema de información en una empresa implica un estudio cuidadoso de toda una serie de elementos que incluyen sistema de contabilidad, presupuestos, estadísticas y otro conjunto de información necesarias según las características y necesidades de la institución, además de la ayuda de aparatos mecánicos o electrónicos que coadyuven a que la información proporcionada sea correcta, oportuna y fácil de entender. El sistema de control interno requiere entonces garantizar la producción de la información como elemento fundamental, en el orden operativo y financiero, cuidando que sea útil, oportuna, comprensible, completa y exacta, concisa y confiable, respecto a la situación o condición financiera de la entidad, sus operaciones, programas y proyectos y los respectivos resultados y efectos alcanzados. Todo gerente o jefe de departamento debe tener la información necesaria para medir o calificar su propia labor y recibirla con la oportunidad suficiente para ejecutar los cambios o ajustes que sean necesarios a fin de obtener los resultados deseados. De esta manera se constituye el autocontrol y no un control desde arriba.

En lo que corresponde con la evaluación, examen y verificación del sistema de control interno es preciso resaltar que un sistema adecuado de comunicación que incluya informaciones veraces, precisas y oportunas, además de bases de comparación debidamente estudiadas, facilitará inmensamente evaluar y analizar las causas de los errores, imprecisiones o incoherencias encontradas en el desarrollo del proceso administrativo. Desde el punto de vista de la vigilancia sobre las actividades de la empresa y sobre el personal encargado de realizarlas, el elemento más importante de control es la información interna. En este sentido, desde luego, no basta la preparación periódica de informes internos, sino su estudio cuidadoso de personas con capacidad para juzgarlos y autoridad suficiente para tomar decisiones y corregir deficiencias.

Los informes contables constituyen en este aspecto un elemento muy importante de control interno desde la preparación de balances mensuales, hasta las hojas de distribución de la cartera de clientes por antigüedad o de obligaciones por vencimientos, etc.

Las actividades de producción y distribución pueden vigilarse de cerca mediante informes periódicos, analíticos y comparativos, informes de ventas de costos, análisis de variaciones de eficiencia y tiempo ocioso, etc. Un control interno de tipo más elevado probablemente incluirá informes periódicos sobre capital de trabajo, origen y aplicación de recursos, variaciones financieras presupuestales, etc. No por lo anterior

En alianza con

Colombia


pierde validez e importancia los informes administrativos relativos al personal de la institución sobre actividades propias de la parte administrativa.

Sistemas de autorización y registro de la Información Una vez que la administración ha determinado sus objetivos, ha proporcionado un apropiado plan de organización y delegado la responsabilidad para el logro de objetivos, debe tener los medios para establecer los registros de control de operaciones y transacciones consecuentes, estos son: Un sistema de autorizaciones adecuado, la fijación de responsabilidades administrativas, los procedimientos apropiados para el registro completo y correcto de la información, y finalmente la forma efectiva para la conservación de la información. Sistema de autorizaciones.: La autorización de las transacciones es una función de la administración del ente, asociada directamente con su responsabilidad para alcanzar objetivos. Dicha función constituye el ámbito de adecuación de los controles de tipo administrativo, pero es a su vez el punto de partida para establecer controles de tipo contable. Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administración, estas deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administración. Deben existir niveles apropiados para la aprobación de las transacciones dentro de la organización, pero este debe ser dinámico para evitar contratiempos que hacen engorroso el desarrollo normal de los procedimientos. De esta forma la responsabilidad queda en cabeza de quien autoriza la operación. Es importante aclarar que la persona que autoriza, o inicia una transacción, no debe formar parte en el registro o en el dominio y manejo del activo.

Fijación de responsabilidades.: El sistema de control interno se orienta a determinar responsabilidades de los funcionarios o de terceros, en caso de daños al patrimonio y demás recursos de la institución. En este proceso el sistema determina controles, los integra a los procedimientos y los asigna a las funciones de los cargos de tal forma que sea factible y obligante el establecimiento de responsabilidades cuando se presentan anomalías y en tal circunstancia lograr el restablecimiento de los perjuicios causados.

Como se ha mencionado anteriormente, las prácticas adecuadas deberán proporcionar los medios por los cuales la integridad de dichas autorizaciones, registro y responsabilidad por la custodia de los activos quede razonablemente garantizada. Esto se logra por medio de la división de deberes y responsabilidades. Lo adecuado de las prácticas seguidas en la ejecución de las obligaciones y funciones de cada uno de los departamentos de la organización, determinara la efectividad del control interno y la eficiencia resultante de las operaciones. Procedimientos apropiados para el registro completo y correcto de la información: Todas las operaciones deben registrarse para permitir la preparación de los estados financieros de conformidad con los principios de contabilidad generalmente

En alianza con

Colombia


aceptados o de cualquier otro criterio aplicable a dichos estados y para mantener en archivos apropiados datos relativos a los activos sujetos a custodia. Las transacciones deben ser validas para conocerse y someterse a su aceptación oportunamente. Todas y solamente aquellas transacciones que reúnan los requisitos establecidos por la administración deben reconocerse como tales y procesarse oportunamente, estas transacciones deben quedar registradas en el mismo período contable, cuidando específicamente aquellas que afectan mas de un ciclo. Las transacciones deben clasificarse en forma tal que permita la preparación de estados financieros acorde con el criterio contable y las necesidades de la organización.

Conservación de la información.: Los resultados del procesamiento de transacciones deben informarse oportunamente y estar respaldados por archivos adecuados que permitan tener la seguridad de la información. El contenido de los informes y las bases de datos y archivos debe verificarse y evaluarse periódicamente por parte de la organización.

Administración y control del personal. Por sólida que sea la organización de la empresa y adecuados los procedimientos implantados, el sistema de control interno no puede cumplir su objetivo si las actividades diarias de la empresa no están continuamente en manos de personal idóneo. Como ha quedado dicho, no es únicamente necesario el diseño de una buena organización, sino también la vigilancia constante para que el personal desarrolle los procedimientos a su cargo de acuerdo con los planes de la organización.

Los componentes de esta área que intervienen en el control interno son cuatro: Entrenamiento y Capacitación, Eficiencia, Moralidad y Retribución. Entrenamiento y Capacitación. : Mientras mejores programas se encuentren en vigor, más apto será el personal encargado de los diversos aspectos del negocio. El mayor grado de control interno logrado permitirá la identificación clara de las funciones y responsabilidades de cada empleado, así como la reducción de ineficiencia y desperdicio. Eficiencia: Después del entrenamiento y capacitación, la eficiencia dependerá del juicio personal aplicado e cada actividad. El interés del negocio por medir y alentar la eficiencia constituye un coayudante del control interno. Los negocios adoptan algún método para el estudio del tiempo y esfuerzo empleados por el personal que ofrecen a la organización y al auditor la posibilidad de medir comparativamente las cifras representativas de los costos. Moralidad: Es obvio que la moralidad del personal es una de las columnas sobre las que descansa la estructura del control interno. Los requisitos de admisión y el constante interés de los directivos por el comportamiento del personal son, en efecto,

En alianza con

Colombia


ayudas importantes al control. Las vacaciones periódicas y un sistema de rotación del personal deben ser obligatorios hasta donde lo permitan las necesidades del negocio. El complemento indispensable de la moralidad del personal como elemento de control interno se encuentra en las fianzas de fidelidad que deben proteger al negocio contra manejos indebidos. Retribución: Es indudable que un personal retribuido adecuadamente se presta mejor a realizar los propósitos de la empresa con entusiasmo y concentra mayor atención en cumplir con eficiencia que en hacer planes para desfalcar al negocio. Los sistemas de redistribución al personal, planes de incentivos y permisos, pensiones por vejez y oportunidad que se le brinda para plantear por sugestiones y problemas personales constituyen elementos importantes del control interno. Supervisión de las actividades y del control. Se constituye este elemento como el instrumento vital de todo el sistema de control interno que posibilita la permanente retroalimentación, enriquecimiento y fortalecimiento del sistema. Con suficiente razón y propiedad se le ha denominado el control de controles. Su principal propósito es constituirse en un elemento preventivo y prestar un servicio de asistencia a la administración con el fin de garantizar el éxito de las operaciones y de obtener un mayor beneficio económico para la entidad o un cumplimiento más eficaz de sus objetivos institucionales. No es únicamente necesario el diseño de una buena organización, de la implantación de un buen sistema de autorización y registro, de la implementación de adecuados procedimientos de operación y de un buen diseño de formas de registro e informes sino también la vigilancia constante para que el personal desarrolle los procedimientos a su cargo de acuerdo con los planes de la organización. La supervisión se ejerce en diferentes niveles, por diferentes funcionarios y empleados y en formas directa e indirecta. En organizaciones de mayor importancia, la supervisión del control interno amerita un auditor interno o un departamento de auditoría interna que actúe como vigilante constante del cumplimiento de la empresa con los otros elementos de control: organización, procedimiento y personal. Así, la función de auditoría interna que vigila la existencia constante del control interno, es a su vez un elemento muy importante del mismo control interno. La protección que proporciona un sistema de control interno que funciona adecuadamente, en contra de las debilidades humanas, es de sin igual importancia. La verificación y la revisión, que son esenciales para el buen funcionamiento de un sistema de control interno, reducen la posibilidad de que los errores o intentos de fraude queden sin ser descubiertos por un período prolongado. RELACION ENTRE LOS OBJETIVOS Y LOS ELEMENTOS DEL CONTROL INTERNO La característica que hace que exista una relación entre los objetivos y los elementos del control interno es la de que a través de los elementos se hace posible el cumplimiento del objetivo del control interno en la organización.

En alianza con

Colombia


CARACTERÍSTICAS DEL CONTROL INTERNO El sistema de control interno tiene una característica fundamental: Forma parte integrante de los sistemas contables, financieros, de planeación, de información y operacionales de la respectiva entidad. Otra característica hace referencia a la responsabilidad del mismo dentro de la institución sobre: ¿Quién lo implanta, quien lo aplica y quien lo evalúa?

RESPONSABLES DEL CONTROL INTERNO EN LA ORGANIZACIÓN El establecimiento y mantenimiento de un sistema de control interno es una responsabilidad de la administración del ente, que debe someterlo a una continua supervisión para determinar que funciona según está prescrito, modificándolo si fuera preciso, de acuerdo con las circunstancias.

Corresponde a la máxima autoridad del organismo o entidad, la responsabilidad de establecer, mantener y perfeccionar el sistema de control interno, el cual debe ser adecuado a la naturaleza, estructura y misión de la organización. En cada área de la organización, el funcionario encargado de dirigirla es responsable por el control interno ante su jefe inmediato de acuerdo con los niveles de autoridad establecidos en cada entidad. La oficina de Auditoría interna, en el sector privado, o la unidad de control interno, en las oficinas del Estado, o quien haga sus veces es la encargada de evaluar en forma independiente el sistema de control interno de la entidad y proponer al representante legal del respectivo organismo las recomendaciones para mejorarlo.

Todas las transacciones de la entidad debe registrarse en forma exacta, veraz y oportuna de forma tal que permita preparar informes operativos administrativos y financieros, sobre este aspecto la responsabilidad recae sobre los directos responsables de la operación.

PARTICIPANTES EN EL CONTROL INTERNO A continuación se plantean algunos puntos importantes sobre los participantes en el control interno, que aunque como ya se dijo anteriormente dentro de la organización todos participan en forma directa o indirecta, vale la pena observar los siguientes puntos: la administración y el control interno y La auditoría interna y el control interno.

La administración y el control interno. La responsabilidad de salvaguardar el activo de las empresas, prevenir y descubrir errores y fraudes, descansa primordialmente en la administración. El mantener un sistema adecuado de control interno es indispensable para descargar apropiadamente esa responsabilidad. El trabajo de todos los departamentos debe quedar estrechamente integrado y coordinado, para este fin la cooperación es esencial. La base para la separación de funciones e identificación de responsabilidades descansa en la premisa de que ningún departamento deberá controlar los registros contables relativos a sus propias operaciones, principio de que ninguna persona debe controlar todas las fases

En alianza con

Colombia


de una transacción sin la intervención de otra persona o personas que puedan proporcionar una comprobación cruzada.

La auditoría interna y el control interno. El personal de auditoría interna puede ser empleado no solo como supervisor de los datos de contabilidad y la salvaguardia del activo de la empresa, sino también puede utilizarse como un instrumento de la administración que determine el cumplimiento de las políticas prescritas.

El auditor interno debe tener libertad de informar a la gerencia de cualquier deficiencia que note. Su relación con cualquier departamento debe ser establecida por la administración.

IMPORTANCIA DE LA PRESENCIA DEL CONTROL INTERNO La presencia del control interno, dota indudablemente a la administración de elementos para la evaluación y retroalimentación de su gestión, fortalece el principio de responsabilidad en cabeza de los administradores y previene la posible e indebida coadministración por parte de los organismos de control, como la auditoría interna en el sector privado o la Oficina de control interno en el sector estatal.

Como resultado final del sistema de control interno, se logra positivamente una administración responsable y comprometida a la prevención del fraude, malgasto y abuso en el manejo de los bienes, alimentada con una decidida voluntad para la búsqueda del principio de economía, eficiencia, eficacia y celeridad en su gestión por parte del administrador, delegándolo, por demás, de una función de control externo universal y redundante, para poder permitir la independencia suficiente que deberá acudir a los organismos de control para el examen posterior que les compete.

LIMITACIONES DEL CONTROL INTERNO El Control Interno contribuye mucho a proteger contra los errores y fraude, además de garantizar la confiabilidad de los datos contables. Con todo, es muy importante reconocer la existencia de algunas limitaciones intrínsecas. El control tiene limitaciones por lo tanto, no es una panacea o un remedio absoluto. El control solo puede proporcionar una Garantía razonable de que los objetivos de la organización serán logrados.

En estas condiciones el logro de objetivos es afectado por las limitaciones inherentes al control. Tales limitaciones tienen que ver con fallas humanas, debido a juicios e interpretaciones erróneas, ignorancia y desconocimiento, actos intencionados contra la empresa, colusión de dos o más miembros y omisión intencionada de la gerencia, entre otros.

En alianza con

Colombia


El desempeño del control puede ser afectado por distintas causas en diferentes momentos. La supervisión inadecuada, el entrenamiento insuficiente del personal son factores que debilitan y/o producen rompimiento parcial o total de los controles y del cumplimiento de sus objetivos.

De otra parte la omisión de los controles por parte de la gerencia debido a las amplias facultades y autoridad que tiene esta, en ocasiones puede pasar por alto los controles, limitando con esto el cumplimiento de los objetivos del control.

Otros factores que se pueden observar son los siguientes: Falta de entendimiento de los controles, juicios erróneos, descuidos o distracción, personal temporal, implementación inadecuada de cambios y poco interés de la gerencia sobre lo apropiado del sistema de control.

Todo sistema de control interno tiene limitaciones que deben ser reconocidos. Siempre existe la posibilidad de que al aplicar los procedimientos de control surjan errores por una mala comprensión de las instrucciones, errores de juicio, falta de atención personal, falla humana, etc. además, los procedimientos cuya eficacia se basen en la segregación de funciones pueden eludirse como consecuencia de existir una confabulación de los empleados implicados en el control interno. Igualmente, los procedimientos basados en el objetivo de asegurar que las transacciones se ejecuten según los términos autorizados para la administración del ente, resultarían ineficaces si las decisiones de ésta se tomaran en una forma errónea o irregular.

Una buena planeación y sistematización de procedimientos, un buen diseño de registros, formas e informes, permite la supervisión automática de los diversos aspectos del Control Interno.

3.4. MODELOS ESTÁNDAR DE CONTROL

En un ambiente de evolución permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano económico soportadas por la evolución tecnológica, surge la necesidad de que la función de auditoría pretenda el mejoramiento de su gestión. En la evolución de la teoría del control interno se definió en principio a los controles como mecanismos o prácticas para prevenir o identificar actividades no autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan, la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organización. Dentro de esta evolución, surgen nuevos estándares de control que van a ayudar, tanto a la administración de una organización como a los entes de control de las mismas.

Modelos de control como COSO, COBIT, COCO, SAC permitirán tener los elementos necesarios para una nueva visión del Control Interno para las organizaciones.

En alianza con

Colombia


Modelo COSO

Este modelo de control nace en 1992, se conoce por su sigla COSO (Committee of Sponsoring Organitations of the Treadway Comisión) y brinda recomendaciones a la dirección sobre cómo evaluar, reportar y mejorar los sistemas de control. El nuevo enfoque de control interno puede verse un poco riguroso, pero por su actualidad, puede ser asimilado, de forma provechosa por la economía de las entidades. Los altos ejecutivos hace mucho han buscado mejores formas para controlar las empresas que dirigen. Implementan controles internos para mantener la compañía en curso hacia metas de ganancia, logro de sus misiones y minimizar sorpresas en el camino. Esto le permite a las gerencias tratar con los entornos económicos cambiantes y competitivos, la dinámica de la demanda y prioridades de los clientes y reestructurar para el crecimiento futuro. Los controles internos promueven eficiencia, reducen el riesgo de pérdida de activos y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de las leyes y regulaciones. El informe COSO, es el resultado de la investigación de un grupo de trabajo integrado por la Comisión TREADWAY (Committee of Sponsoring Organitations of the Treadway Comisión, formado por el American Institute of Certified Public Accountans, American Accounting Association, The Institute of Internal Auditors, Insitute of Management Accountans, Financial Executive Institute. La Firma de Contadores Coopers & Lybrand) con el objetivo de definir un nuevo marco conceptual de Control Interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema. El estudio ha tenido gran aceptación y difusión en los medios financieros y en los Consejos de Administración de las organizaciones, resaltando la necesidad de que los administradores y altos directores presten atención al Control Interno, tal como COSO lo define, enfatizando la necesidad de los Comités de Auditoría y de una calificada Auditoría Interna y Externa, recalcando la necesidad de que el Control Interno forme parte de los diferentes procesos y no de mecanismos burocráticos. En Estados Unidos de América, el Informe COSO ha permitido que académicos, legislativos, directores de empresas, auditores internos y externos y líderes empresariales tengan una referencia conceptual común de lo que significa el Control Interno, no obstante las diferentes definiciones y conceptos que sobre este tema existen. Sus cinco componentes son nuevos elementos que se aportan al sistema, se integran entre sí y se implementan de forma interrelacionada, influenciados por el estilo de dirección. Sirven para determinar si el sistema es eficaz. Marcan una diferencia con el enfoque tradicional de control interno dirigido al área financiera. Dichos componentes se enmarcan en el sistema de gestión. Permiten prever los riesgos y tomar las medidas pertinentes para minimizar o eliminar su impacto en el cumplimiento de los objetivos organizacionales.

En alianza con

Colombia


LO QUE SE ENTIENDE POR CONTROL INTERNO Los controles internos se diseñan e implantan con el fin de detectar, en un plazo deseado, cualquier desviación respecto a los objetivos de rentabilidad establecidos para cada empresa y de prevenir cualquier evento que pueda evitar el logro de los objetivos, la obtención de información confiable y oportuna y el cumplimiento de leyes y reglamentos. Los controles internos fomentan la eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la confiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes. No todas las personas entienden lo mismo por Control Interno, esto se agrava cuando sin estar claramente definido se utiliza en la normatividad. En sentido amplio, se define como: un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: -Eficacia y eficiencia de las operaciones.

-Confiabilidad de la información financiera.

-Cumplimiento de las leyes y normas aplicables.

La anterior definición refleja ciertos conceptos fundamentales:

• El Control Interno es un proceso, un medio utilizado para la consecución de un fin, no un fin en sí mismo.

• El Control Interno lo llevan a cabo las personas, no se trata solamente de manuales de políticas e impresos, sino de personas en cada nivel de la organización.

• El Control Interno sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la Dirección y al Consejo de Administración de la Entidad.

• El Control Interno está pensado para facilitar la consecución de objetivos propios de cada entidad.

COMPONENTES DEL CONTROL INTERNO El Control Interno consta de cinco componentes relacionados entre sí, se derivan de la manera en que la dirección dirige la empresa y están integrados en el proceso de dirección, los componentes del Control son:

1. Ambiente de Control 2. Evaluación de Riesgos 3. Actividades de Control 4. Información y Comunicación 5. Supervisión.

En alianza con

Colombia


Los cuales se detallan a continuación:

1. AMBIENTE DE CONTROL El entorno de control aporta el ambiente en el que las personas desarrollan sus actividades y cumplen con sus responsabilidades de control, marca la pauta del funcionamiento de una organización e influye en la percepción de sus empleados respecto al control. Es la base de todos los demás componentes del Control Interno, aportando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la entidad, la filosofía de dirección y el estilo de dirección, la manera en que la dirección asigna la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados así como la atención y orientación que proporciona el Consejo de Administración. El ambiente de control tiene una incidencia generalizada en la estructuración de las actividades empresariales, en el establecimiento de objetivos y en la evaluación de riesgos. 1.FACTORES DEL ENTORNO DE CONTROL Para evaluar el entorno de control, el evaluador debe considerar cada factor del ambiente de control a la hora de determinar si éste es positivo. Algunos aspectos son altamente subjetivos y obligan a que se formule una opinión subjetiva, generalmente inciden de forma significativa en la eficacia del ambiente de control. Estos factores son:

-Integridad y valores éticos.

-Competencia profesional.

-Consejo de Administración o Comité de Auditoría.

Situaciones que pueden incitar a los empleados a cometer actos indebidos. 2. EVALUACIÓN DE RIESGOS

Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno como externo que deben evaluarse. Una condición previa a la evaluación de los riesgos es el establecimiento de objetivos en cada nivel de la organización que sean coherentes entre sí. La evaluación del riesgo consiste en la identificación y análisis de los factores que podrían afectar la consecución de los objetivos y en base a dicho análisis, determinar la forma en que los riesgos deben ser administrados y controlados, debido a que las condiciones económicas, industriales, normativas continuarán cambiando, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio.

CATEGORÍAS DE OBJETIVOS

A pesar de su diversidad, pueden agruparse en tres grandes categorías:

-Objetivos relacionados con las operaciones.

-Objetivos relacionados con la información financiera.

-Objetivos de cumplimiento.

En alianza con

Colombia


Objetivos relacionados con las operaciones: se refieren a la eficacia y eficiencia de las operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y la salvaguarda de los recursos contra posibles pérdidas. Estos objetivos varían en función de la elección de la dirección respecto a estructuras y rendimiento.

Objetivos relacionados con la información financiera: se refieren a la preparación de estados financieros confiables y a la prevención de la falsificación de información financiera, a menudo, estos objetivos están condicionados por requerimientos externos.

Objetivos de cumplimiento: estos objetivos se refieren al cumplimiento de las leyes y normas a las que está sujeta la entidad, dependen de factores externos como: la reglamentación en materia de medio ambiente, tienden a ser parecidos en algunos casos, o en todo un sector.

RIESGOS

A nivel de empresa los riesgos pueden ser la consecuencia de factores externos como internos, se presentan algunos ejemplos:

Factores externos:

•Los avances tecnológicos.

•Las necesidades o expectativas cambiantes de los clientes pueden influir en el desarrollo de productos, el proceso de producción, el servicio a cliente, la fijación de precios etc.

•Los cambios económicos pueden repercutir en las decisiones sobre financiamiento, inversiones y desarrollo.

Factores internos:

•Problemas con los sistemas informáticos pueden perjudicar las operaciones de la entidad.

•Los cambios de responsabilidades de los directivos pueden afectar la forma de realizar determinados controles.

•Un Consejo de Administración o un Comité de Auditoría débil o ineficaz pueden dar lugar a que se produzcan fugas de información.

Se han desarrollado muchas técnicas para identificar riesgos, la mayoría desarrolladas por auditores internos y externos en el momento de determinar el alcance de sus actividades, comprenden métodos cualitativos o cuantitativos para identificar y establecer el orden de prioridad de las actividades de alto riesgo. Además, de identificar los riesgos a nivel de empresa debe hacerse a nivel de cada actividad de la empresa, esto ayuda a enfocar la evaluación de los riesgos en las unidades o funciones más importantes del negocio, como ventas, producción y desarrollo tecnológico. La correcta evaluación de los riesgos a nivel de actividad

En alianza con

Colombia


contribuye también a que se mantenga un nivel aceptable de riesgo para el conjunto de la entidad.

ANÁLISIS DE RIESGOS Una vez identificados los riesgos a nivel de entidad y por actividad deben llevarse a cabo un análisis de riesgos que puede ser:

• Una estimación de la importancia del riesgo. • Una evaluación de la probabilidad o frecuencia de que se materialice el

riesgo. • Que medidas deben adoptarse.

Existe una diferencia entre el análisis de los riesgos, que forman parte del Control Interno y los planes, programas y acciones resultantes que la dirección considere necesarios para afrontar dichos riesgos, estas acciones son parte del proceso de gestión, pero no son un elemento del Sistema de Control Interno.

ADMINISTRACIÓN DEL CAMBIO Los cambios en la economía, nuevos empleados, sistemas de información nuevos, crecimiento rápido o cambios en la reglamentación pueden hacer que un sistema de control eficaz ya no lo sea, en el contexto del análisis de riesgos resulta fundamental que exista un proceso para identificar las condiciones que hayan cambiado y tomar las acciones pertinentes. Deben existir mecanismos para identificar los cambios ocurridos, o susceptibles de ocurrir a corto plazo, en la medida de lo posible, los mecanismos deben estar orientados hacia el futuro, de manera que la entidad pueda prever los cambios significativos y elaborar los planes correspondientes.

COMO EVALUAR LOS RIESGOS El evaluador deberá concentrarse en el proceso por parte de la dirección, de fijar los objetivos, de análisis de los riesgos y gestión de cambios, incluyendo sus vinculaciones y su relevancia para las actividades del negocio.

3. ACTIVIDADES DE CONTROL Son las políticas y los procedimientos que ayudan a asegurar que se llevan a cabo las instrucciones de la dirección, ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la entidad. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones, incluyen una gama de actividades tan diversa como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos y segregación de funciones. Las actividades de control pueden dividirse en tres categorías, según el tipo de objetivo de la entidad con el

En alianza con

Colombia


que están relacionadas: las operacionales, la confiabilidad de la información financiera y el cumplimiento de la legislación aplicable.

TIPOS DE ACTIVIDADES DE CONTROL Existen muchas descripciones de tipos de actividades de control, que incluyen desde controles preventivos a controles detectivos y correctivos, controles manuales, controles informáticos y controles de dirección.

ALGUNOS EJEMPLOS: Análisis efectuados por la dirección. Los resultados obtenidos se analizan comparándolos con los presupuestos, las previsiones, los resultados de ejercicios anteriores y de los competidores, con el fin de evaluar en qué medida se están alcanzando los objetivos. Gestión directa de funciones por actividades. Los responsables de las diversas funciones o actividades revisan los informes sobre resultados alcanzados. Proceso de información. Se aplican una serie de controles para comprobar la exactitud, totalidad y autorización de las transacciones. Se controla el desarrollo de nuevos sistemas y la modificación de los existentes, al igual que el acceso a los datos, archivos y programas informáticos. Controles físicos. Los equipos de fabricación, las inversiones financieras, la tesorería y otros activos son objeto de protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las cifras que figuran en los registros de control.

Indicadores de rendimiento. El análisis combinado de diferentes conjuntos de datos (operativos o financieros) junto con la puesta en marcha de acciones correctivas, constituyen actividades de control.

Segregación de funciones. Con el fin de reducir el riesgo de que se cometan errores o irregularidades, las tareas se reparten entre los empleados.

INTEGRACIÓN DE LAS ACTIVIDADES DE CONTROL CON LA EVALUACIÓN DE RIESGOS.

De forma paralela a la evaluación de los riesgos, la dirección deberá establecer y aplicar el plan de acción necesario para afrontarlos. Una vez identificadas, estas acciones también serán útiles para definir las operaciones de control que se aplicarán para garantizar su ejecución de forma correcta y en el tiempo deseado.

En alianza con

Colombia


NECESIDADES ESPECÍFICAS

Dado que cada entidad tiene sus propios objetivos y estrategias de implantación, surgen diferencias en la jerarquía de objetivos y en las actividades de control correspondientes, incluso en el caso de que dos entidades tuvieran los mismos objetivos y jerarquía, sus actividades de control serían diferentes, en efecto, cada una está dirigida por personas diferentes que aplican sus propias ideas sobre el Control Interno, además, los controles reflejan el entorno de la entidad y el sector en el que opera, así como la complejidad de su organización, su historia y su cultura.

El entorno en el que una entidad opera influye en los riesgos a los que está expuesta, en particular, puede estar sujeta a requerimientos de información a terceros particulares o a cumplir exigencias legales o normativas específicas. La complejidad de una entidad, así como el tipo y el alcance de sus actividades, repercuten en sus actividades de control. Hay otros factores que influyen como la complejidad de una organización, la localización y dispersión geográfica, la importancia y la complejidad de las operaciones o los métodos de proceso de datos entre otros.

COMO EVALUAR LAS ACTIVIDADES DE CONTROL

Las actividades de control tienen que evaluarse en el contexto de las directrices establecidas por la dirección para afrontar los riesgos relacionados con los objetivos de cada actividad importante. La evaluación, por lo tanto, tendrá en cuenta si las actividades de control están relacionadas con el proceso de evaluación de riesgo y si son apropiadas para asegurar que las directrices de la dirección se cumplan. Dicha evaluación se efectuará para cada actividad importante, incluidos los controles generales de los sistemas informáticos. La evaluación deberá tener en cuenta no solamente si las actividades de control empleadas son relevantes en base al proceso de evaluación de riesgos realizando, sino también si se aplican de manera correcta.

4. INFORMACIÓN Y COMUNICACIÓN Hay que identificar, recopilar y comunicar información pertinente en tiempo y forma que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas de información generan informes, que contienen información operativa, financiera y la correspondiente al cumplimiento, que posibilitan la dirección y el control del negocio. Dichos informes contemplan, no sólo, los datos generados internamente, sino también información sobre incidencias, actividades y condiciones externas, necesaria para la toma de decisiones y para formular informes financieros. Debe haber una comunicación eficaz en un sentido amplio, que fluya en todas las direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa.

En alianza con

Colombia


Las responsabilidades de control han de tomarse en serio. Los empleados tienen que comprender cuál es su papel en el sistema de Control Interno y cómo las actividades individuales están relacionadas con el trabajo de los demás. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores, organismos de control y accionistas.

CALIDAD DE LA INFORMACIÓN

La calidad de la información generada por los diferentes sistemas afecta la capacidad de la dirección de tomar decisiones adecuadas al gestionar y controlar las actividades de la entidad. Resulta imprescindible que los informes ofrezcan suficientes datos relevantes para posibilitar un control eficaz. -Contenido ¿Contiene toda la información necesaria? -Oportunidad ¿Se facilita en el tiempo adecuado? -Actualidad ¿Es la más reciente disponible? -Exactitud ¿Los datos son correctos? -Accesibilidad ¿Puede ser obtenida fácilmente por las personas adecuadas? Por otra parte, los sistemas de información, si bien forman parte del sistema de Control Interno, también han de ser controlados. COMUNICACIÓN INTERNA Además, de recibir la información necesaria para llevar a cabo sus actividades, todo el personal, especialmente los empleados con responsabilidades importantes deben tomar en serio sus funciones comprometidas al Control Interno. Cada función concreta ha de especificarse con claridad, cada persona tiene que entender los aspectos relevantes del sistema de Control Interno, como funcionan los mismos, saber cuál es su papel y responsabilidad en el sistema. Al llevar a cabo sus funciones, el personal de la empresa debe saber que cuando se produzca una incidencia conviene prestar atención no sólo al propio acontecimiento, sino también a su causa. De esta forma, se podrán identificar la deficiencia potencial en el sistema tomando las medidas necesarias para evitar que se repita.

Asimismo, el personal tiene que saber cómo sus actividades están relacionadas con el trabajo de los demás, esto es necesario para conocer los problemas y determinar sus causas y la medida correctiva adecuada, El personal debe saber los comportamientos esperados, aceptables y no aceptables. Los empleados también necesitan disponer de un mecanismo para comunicar información relevante a los niveles superiores de la organización, los empleados de primera línea, que manejan aspectos claves de las actividades todos los días, generalmente son los mas capacitados para reconocer los problemas en el momento que se presentan. Deben haber líneas directas de comunicación para que esta información llegue a niveles superiores, y por otra parte debe haber disposición de los directivos para escuchar.

En alianza con

Colombia


COMUNICACIÓN EXTERNA

Además de una comunicación interna, ha de existir una eficaz comunicación externa. Los clientes y proveedores podrán aportar información de gran valor sobre el diseño y la calidad de los productos o servicios de la empresa, permitiendo que la empresa responda a los cambios y preferencias de los clientes. Por otra parte toda persona deberá entender que no se tolerarán actos indebidos, tales como sobornos o pagos indebidos.

COMO EVALUAR LA INFORMACIÓN Y COMUNICACIÓN

Se deberá considerar la adecuación de los sistemas de información y la comunicación a las necesidades de la entidad, a continuación se relacionan algunos aspectos posibles a considerar:

INFORMACIÓN La obtención de información externa e interna y el suministro a la dirección de los informes necesarios sobre la actuación de la entidad en relación a los objetivos establecidos.

-El suministro de información a las personas adecuadas, con el suficiente detalle y oportunidad.

-El desarrollo o revisión de los sistemas de información, basado en un plan estratégico para los sistemas de información.

-El apoyo de la dirección al desarrollo de los sistemas de información necesarios.

COMUNICACIÓN. La comunicación eficaz al personal, de sus funciones y responsabilidades de

control. • El establecimiento de líneas de comunicación para la denuncia de posibles

actos indebidos. • La sensibilidad de la dirección a las propuestas del personal respecto de

formas de mejorar la productividad, la calidad, etc. • La adecuación de la comunicación horizontal. • El nivel de apertura y eficacia de las líneas de comunicación con clientes,

proveedores y terceros. • El nivel de comunicación a terceros de las normas éticas de la entidad. • La realización oportuna y adecuada del seguimiento por parte de la

dirección de las informaciones obtenidas de terceros, clientes, organismos de control, etc.

En alianza con

Colombia


5. SUPERVISIÓN Los Sistemas de Control Interno requieren supervisión, es decir, un proceso que compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continua se da en el transcurso de las operaciones, incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y frecuencia de las evaluaciones dependerá de la evaluación de riesgos y de la eficiencia de los procesos de supervisión. Los Sistemas de Control Interno y en ocasiones, la forma en que los controles se aplican, evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse. Las causas pueden ser la incorporación de nuevos empleados, defectos en la formación y supervisión, restricciones de tiempo y recursos y presiones adicionales. Asimismo, las circunstancias en base a las cuales se configuró el Sistema de Control Interno en un principio también pueden cambiar, reduciendo su capacidad de advertir de los riesgos originados por las nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si el Sistema de Control Interno es en todo momento adecuado y su capacidad de asimilar los nuevos riesgos.

SUPERVISIÓN CONTINUA

Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia del Control Interno, como comparaciones, conciliaciones, actividades corrientes de gestión y supervisión así como otras actividades rutinarias.

ALCANCE Y FRECUENCIA

El alcance y la frecuencia de la evaluación del Control Interno variarán según la magnitud de los riesgos objeto de control y la importancia de los controles para la reducción de aquellos. Así los controles actuarán sobre los riesgos de mayor prioridad y los más críticos para la reducción de un determinado riesgo serán objeto de evaluación más frecuente. La evaluación del Control Interno forma parte de las funciones normales de auditoría interna y también resulta de peticiones especiales por parte del Consejo de Administración, la dirección general y los directores de filial o de división. Por otra parte, el trabajo realizado por los auditores externos constituye un elemento de análisis a la hora de determinar la eficacia del Control Interno. Una combinación del trabajo de las dos auditorías, la interna y la externa, posibilita la realización de los procedimientos de evaluación que la dirección considere necesarios.

En alianza con

Colombia


EL PROCESO DE EVALUACIÓN

La evaluación de un Sistema de Control constituye un proceso, si bien los enfoques y técnicas varían, debe mantenerse una disciplina en todo el proceso. El evaluador deberá entender cada una de las actividades de la entidad y cada componente del Sistema de Control Interno objeto de la evaluación. Conviene centrarse en el funcionamiento teórico del sistema, es decir en su diseño, lo cual implicará conversaciones previas con los empleados de la entidad y la revisión de la documentación existente. La tarea del evaluador es averiguar el funcionamiento real del sistema. Es posible que, con el tiempo determinados procedimientos diseñados para funcionar de un modo determinado se modifiquen para funcionar de otro modo, o simplemente se dejen de realizar.

A veces se establecen nuevos controles, no conocidos por las personas que en un principio, describieron el sistema, por lo que no se hallan en la documentación existente, a fin de determinar el funcionamiento real del sistema, se mantendrán conversaciones con los empleados que aplican y se ven afectados por los controles, se revisarán los datos registrados sobre el cumplimiento de los controles, o una combinación de estos dos procedimientos.

El evaluador analizará el diseño del Sistema de Control Interno y los resultados de las pruebas realizadas. El análisis se efectuará bajo la óptica de los criterios establecidos, con el objeto último de determinar si el sistema ofrece una seguridad razonable respecto a los objetivos establecidos.

METODOLOGÍA

Existe una gran variedad de metodologías y herramientas de evaluación, incluyendo hojas de control, cuestionarios y técnicas de flujogramación, técnicas cuantitativas, relaciones de objetivos de control, identificando los objetivos genéricos de Control Interno. Algunas empresas, comparan sus Sistemas de Control Interno con los de otras entidades, lo que se conoce generalmente como benchmarking.

DOCUMENTACIÓN

El nivel de documentación soporte del Sistema de Control Interno de la entidad varía según la dimensión y complejidad de la misma y otros aspectos análogos. Las entidades grandes normalmente cuentan con manuales de políticas, organigramas formales, descripciones de puestos, instrucciones operativas, flujogramas de los sistemas de información, etc.

En alianza con

Colombia


Muchos controles son suaves y no tienen documentación, sin embargo se aplican asiduamente, resultando muy eficaces, se puede comprobar este tipo de controles de la misma manera que los controles documentados. El hecho de que los controles no estén documentados no impide que el Sistema de Control Interno sea eficaz o que pueda ser evaluado.

PLAN DE ACCIÓN

Sugerencias básicas respecto a qué hacer y por dónde empezar:

• Determinar el alcance de la evaluación en términos de categoría de objetivos, componentes de Control Interno y actividades objeto de la evaluación.

• Identificar las actividades de supervisión continua que normalmente aseguran la eficacia del Control Interno.

• Analizar el trabajo de evaluación del control realizado por los auditores internos y reflexionar sobre las conclusiones relacionadas con el control presentadas por los auditores externos.

• Establecer las prioridades de las áreas de mayor riesgo, por unidad, componente de Control Interno u otros, para su atención inmediata.

• En base a lo anterior, elaborar un programa de evaluaciones que conste de actividades a corto y largo plazo.

• Reunir a las personas que efectuarán las evaluaciones y considerar juntos el alcance y el calendario a establecer, así como la metodología y las herramientas a utilizar, examinar las conclusiones de los auditores internos y externos y de los organismos públicos, definir la forma de presentación de las conclusiones y determinar la documentación a entregar a la finalización de la evaluación.

• Seguir el avance de la evaluación y revisar las condiciones obtenidas. • Asegurar que se tomen las acciones de seguimiento necesarias, modificando

los apartados correspondientes de las evaluaciones posteriores, según proceda.

DEFICIENCIAS

Las deficiencias en el Sistema de Control Interno pueden ser detectadas tanto a través de los procedimientos de supervisión continua realizados en la entidad como de las evaluaciones puntuales del Sistema de Control Interno, así como a través de terceros.

El término deficiencia se usa aquí en un sentido amplio como referencia a un elemento del Sistema de Control Interno que merece atención, por lo que una deficiencia puede representar un defecto percibido, potencial o real, o bien una oportunidad para reforzar el Sistema de Control Interno con la finalidad de favorecer la consecución de los objetivos de la entidad.

En alianza con

Colombia


FUENTES DE INFORMACIÓN

Una de las mejores fuentes de información relativa a las deficiencias de control es el propio Sistema de Control Interno. Las actividades de supervisión continua de una entidad, incluyendo las de gestión y supervisión diarias del personal, proporcionan la percepción de las personas directamente involucradas en las actividades de la entidad. El personal puede advertir aspectos de relevancia en tiempo real que pueden servir para identificar las deficiencias existentes rápidamente. Las evaluaciones puntuales del Sistema de Control Interno constituyen otra fuente de detección de las deficiencias de control, las evaluaciones realizadas por la dirección, los auditores internos u otros empleados pueden señalar áreas que necesiten mejoras.

¿QUÉ DEFICIENCIAS SE DEBEN INFORMAR?

Todas las deficiencias que puedan afectar la consecución de los objetivos de la entidad deben ponerse en conocimiento de las personas que pueden tomar las medidas necesarias, para determinar qué deficiencias se deben comunicar, conviene examinar el impacto de las mismas.

Al detectar una deficiencia del Control Interno, se debe comunicar el hecho a la persona responsable de la función o actividad implicada, que podrá tomar medidas correctivas, así como al nivel superior en la entidad. Este proceso permite que el responsable dé el apoyo y la supervisión necesarios para las acciones correctivas a tomar e informe a las otras personas en la organización cuyas actividades pueden verse afectadas.

En el caso de que la deficiencia tenga un efecto horizontal, la comunicación del hecho también debe ser horizontal y alcanzar el nivel suficiente para asegurar que se tomen las medidas correspondientes.

COMO EVALUAR LA SUPERVISIÓN

Para llegar a una conclusión sobre la eficacia de la supervisión del Control Interno, conviene considerar tanto las actividades de supervisión continua como las evaluaciones puntuales del Sistema de Control Interno, o de partes del mismo. A continuación se detallan algunos aspectos, sirviendo esta relación únicamente de punto de referencia.

Supervisión continúa.

• Hasta qué punto el personal al realizar sus actividades normales obtiene evidencia de que el Sistema de Control Interno está funcionando adecuadamente.

En alianza con

Colombia


• En qué medida las comunicaciones procedentes de terceros corroboran la información generada internamente o indican problemas.

• Comparaciones periódicas entre los importes registrados por el sistema contable con los activos físicos.

• Receptividad ante las recomendaciones del auditor interno y externo respecto de la forma de mejorar los controles internos.

• En qué medida las reuniones facilitan información a la dirección sobre si los controles operan eficazmente.

• Si se hacen encuestas periódicas al personal para que manifieste si entiende y cumple el código de conducta de la entidad y si se realizan normalmente las tareas de control críticas.

• Eficiencia de las actividades de auditoría interna.

La evaluación puntual.

-Alcance y frecuencia de las evaluaciones puntuales del Sistema de Control Interno.

Idoneidad del proceso de evaluación

-Si la metodología para evaluar el sistema es lógica y adecuada

-Adecuado volumen y calidad de la documentación

Comunicación de deficiencias.

-Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada en el -Control Interno.

-Idoneidad de los procedimientos de comunicación.

-Idoneidad de las acciones de seguimiento. LIMITACIONES DEL CONTROL INTERNO Lo que se puede lograr con el Control Interno. El Control Interno puede ayudar a que una entidad consiga sus objetivos de rentabilidad y a prevenir la pérdida de recursos, puede ayudar a la obtención de información financiera confiable, puede reforzar la confianza de que la empresa cumple con la normatividad aplicable. LO QUE NO SE PUEDE LOGRAR CON EL CONTROL INTERNO Un Sistema se Control Interno, no importa lo bien concebido que esté y lo bien que funcione, únicamente puede dar un grado de seguridad razonable, no absoluta, a la dirección y al consejo en cuanto a la consecución de los objetivos de la entidad. El Control Interno no puede hacer que un gerente malo se convierta en un buen gerente. Asimismo, los cambios en la política o en los programas gubernamentales, las acciones que tomen los competidores o las condiciones económicas pueden estar fuera de control de la dirección. El Control Interno (incluso un Control Interno eficaz)

En alianza con

Colombia


funciona a diferentes niveles con respecto a los diferentes objetivos. En el caso de los objetivos relacionados con la eficacia y eficiencia de las operaciones (consecución de su misión básica, de los objetivos de rentabilidad y análogos) el Control Interno puede ayudar a asegurar que la dirección sea consiente del progreso o del estancamiento de la entidad. JUICIO HUMANO La eficacia de los controles se verá limitada por el riesgo de errores humanos en la toma de decisiones, estas decisiones se tienen que tomar basadas en el juicio humano, dentro de unos límites temporales, en base a la información disponible y bajo la presión diaria de la actividad laboral. DISFUNCIONES DEL SISTEMA A pesar de estar bien diseñados, los controles internos pueden fallar, puede que el personal comprenda mal las instrucciones o que se cometan errores de juicio. ELUSIÓN DE LOS CONTROLES POR LA DIRECCIÓN El Sistema de Control Interno no puede ser más eficaz que las personas responsables de su funcionamiento, incluso aquellas entidades que tienen un buen ambiente de control (aquellas que tienen elevados niveles de integridad y conciencia del control) existe la posibilidad de que el personal directivo eluda el Sistema de Control Interno. El término elusión de los controles por la dirección en el sentido en que se emplea en éste documento se refiere a la omisión de políticas o procedimientos establecidos con finalidades ilegítimas, con ánimo de lucro personal o para mejorar la presentación de la situación financiera o para disimular el incumplimiento de obligaciones legales. La elusión incluye prácticas tales como actos deliberados de falsificación ante bancos, abogados, contadores y proveedores, así como la emisión intencionada de documentos falsos entre otras. La elusión no se debe confundir con la intervención, términos que se refiere a los actos de la dirección efectuados con finalidades legítimas, que se desvían de las políticas y procedimientos establecidos. La intervención de la dirección es necesaria para hacer frente a transacciones o acontecimientos puntuales y no recurrentes que, de otra forma no serían procesados correctamente por el Sistema de control. Las intervenciones se hacen de manera abierta y tienen su correspondiente soporte documental, mientras que la elusión normalmente ni se documenta ni se comunica, en un claro intento de encubrir los hechos. CONFABULACIÓN La confabulación de dos o más personas puede provocar fallas en el Sistema de control. Cuando las personas actúan de forma colectiva para cometer y encubrir un acto, los datos financieros y otras informaciones de gestión pueden verse alterados de un modo no identificable por el Sistema de Control.

En alianza con

Colombia


RELACIÓN COSTO / BENEFICIO Las entidades deben considerar los costos y beneficios relativos a la implantación de controles. A la hora de decidir si se ha de implantar un determinado control, se considerarán tanto el riesgo de fracaso como el posible efecto en la entidad, junto a los costos correspondientes a la implantación del nuevo control.

Existen distintos niveles de precisión en cuanto a la determinación del costo y el beneficio de la implantación de controles. Generalmente resulta mas fácil determinar el costo, pudiéndose cuantificar de forma bastante precisa, normalmente se tienen en cuenta todos los costos directos correspondientes a la implantación de un control, así como los costos indirectos si resultan cuantificables. Algunas empresas también incluyen los costos de oportunidad asociados al uso de recursos.

FUNCIONES Y RESPONSABILIDADES

Todos los miembros de la organización son responsables del Control Interno.

La Dirección. O cualquier denominación para el máximo ejecutivo, en el cual recae en primer lugar la responsabilidad del control, el cual debe liderar y revisar la manera en que los miembros controlan el negocio, estos a su vez designan responsables de cada función y establecen políticas y procedimientos de Control Interno más específicos. La responsabilidad se organiza en cascada.

Responsables de las Funciones Financieras. Los directores financieros y sus equipos tienen una importancia vital porque sus actividades están estrechamente vinculadas con el resto de unidades operativas y funcionales de una entidad. Normalmente están involucrados en el desarrollo de presupuestos y en la planificación financiera. Controlan, siguen y analizan el rendimiento, no sólo desde una perspectiva financiera sino también, en muchas ocasiones, en relación al resto de operaciones de la entidad y al cumplimiento de requisitos legales. El director financiero, el jefe de contabilidad, el controller y otros responsables de las funciones financieras de una entidad son claves para determinar la forma en que la dirección ejerce el control.

El Consejo de Administración. La dirección es responsable ante el Consejo el cual debe de ofrecer asesoría, pautas de actuación y conocer a profundidad las actividades de la entidad. Debe de estar preparado para una posible falla de la dirección a través de una comunicación con los niveles altos, con los responsables financieros, jurídicos y de auditoría. Muchos consejos de administración llevan a cabo sus tareas a través de comités. Sus funciones y la importancia de sus trabajos varían de una entidad a otra, pero suelen incluir las áreas de auditoría, remuneraciones, finanzas, nombramientos etc. Cada comité puede poner un énfasis específico en determinados elementos del Control Interno.

En alianza con

Colombia


Comité de Auditoría. El Comité de Auditoría o en su defecto el consejo, está en una posición privilegiada, tiene la autoridad para interrogar a los directivos sobre la forma en que están asumiendo sus responsabilidades en cuanto a la información financiera y para asegurar que se tomen medidas correctivas. El Comité de Auditoría, junto con, o además de una función de auditoría interna fuerte, está muchas veces en la mejor posición dentro de una entidad para identificar situaciones en que los altos directivos intentan eludir los controles internos o tergiversar los resultados financieros y actuar en consecuencia. Por ello, existen situaciones en las que el Comité de Auditoría o el consejo deben afrontar directamente asuntos o circunstancias graves. La Comisión TREADWAY ha emitido directrices generales sobre el tamaño del Comité de Auditoría, los plazos de nombramiento, calendarios de reuniones y participantes, información al consejo, el conocimiento por parte de cada miembro de las operaciones de la empresa, la revisión de los planes de los auditores internos y externos, la adopción de nuevos principios de contabilidad, estimaciones importantes, reservas, contingencias y las variaciones de un ejercicio a otro.

Auditores Internos. Desempeñan un papel importante en la evaluación de la eficiencia de los Sistemas de control y recomiendan mejoras a los mismos. Según las normas emitidas por el Institute of Internal Auditors los auditores internos deberían:

• Revisar la confiabilidad y la integridad de la información financiera y operativa y los procedimientos empleados para identificar, medir, clasificar y difundir dicha información.

• Revisar los sistemas establecidos para asegurar el cumplimiento de aquellas políticas, planes, procedimientos, leyes y normativas susceptibles de tener un efecto importante sobre las operaciones e informes, así como determinar si la organización cumple con los mismos.

• Revisar los medios utilizados para la salvaguarda de activos y verificar la existencia de los mismos.

• Valorar la eficiencia en el empleo de los recursos. • Revisar las operaciones o programas para cerciorarse de si los resultados son

coherentes con los objetivos y las metas establecidas y si se han llevado a cabo según los planes previstos.

• Todas las actividades de una entidad recaen, potencialmente, dentro del ámbito de responsabilidad de los auditores internos. Los auditores internos sólo pueden ser imparciales cuando no están obligados a subordinar su juicio sobre asuntos de auditoría al juicio de otros.

• El principal medio de asegurar la objetividad de la auditoría interna es la asignación de personal adecuado para la función de auditoría, evitando posibles conflictos de intereses y prejuicios. Debería haber una rotación periódica en el personal asignado y los auditores internos no deberían asumir responsabilidades operativas. Igualmente, no deberían estar asignados a la auditoría de actividades en las cuales hubiesen tenido alguna responsabilidad operativa reciente debe recordarse que la función de auditoría interna, en contra de lo que cree algún sector de opinión, no tiene

•

En alianza con

Colombia


• como responsabilidad principal el establecimiento o mantenimiento del Sistema de Control Interno.

Otros Empleados. El Control Interno es hasta cierto punto responsabilidad de todos los empleados, casi todos producen información utilizada en el Sistema de Control o realizan funciones para efectuar el control. Auditores Externos. Algunos terceros como los auditores externos contribuyen al logro de los objetivos, aportan opinión independiente y objetiva, contribuyen directamente mediante la auditoria a los estados financieros. IMPORTANCIA DEL CONTROL INTERNO Para este modelo, el control interno es:

• El corazón de una organización • La cultura, las normas sociales y ambientales que la gobiernan. • Los procesos del negocio (Los mecanismos por medio de los cuales una

organización proporciona bienes y/o servicios de valor agregado). • La infraestructura, la tecnología de la información, las actividades, las políticas

y los procedimientos.

Modelo COCO

Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre control. El consejo denominado The Criteria of Control Board emitió, el modelo comúnmente conocido como COCO. PROPOSITOS DEL MODELO El modelo busca proporcionar un entendimiento del control y dar respuesta a las tendencias que se observan en los desarrollos siguientes:

• En el impacto de la tecnología y el recorte a las estructuras organizacionales, que han propiciado un mayor énfasis sobre el control a través de medios informales, como la visión empresarial compartida, comunión de valores y una comunicación mas abierta.

• En la creciente demanda de informar públicamente acerca de la efectividad del control, respecto de ciertos objetivos.

• En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los accionistas. Algunas autoridades financieras han establecido procedimientos y protocolos de información, aplicables a las instituciones bajo su jurisdicción.

• El modelo pretende proporcionar bases consistentes para dichos requerimientos reguladores, de tal manera que permitan a las autoridades cumplir sus objetivos, sin que con ello se establezcan requerimientos excesivos que pudieran atentar contra la eficiencia de la gestión.

• El propósito del modelo es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los sistemas de control dentro de las

En alianza con

Colombia


organizaciones, incluyendo asuntos gubernamentales en el sector público y privado.

CRITERIOS En la estructura del modelo, los criterios son elementos básicos para entender y en su caso, aplicar el sistema de control que se comenta. Se requieren adecuados análisis y comparaciones para interpretar los criterios en el contexto de una organización en particular y para una evaluación efectiva de los controles implantados.

El modelo prevé 20 criterios agrupados en cuanto al:

•Propósito.

•Compromiso.

•Aptitud.

•Evaluación y Aprendizaje.

PROPÓSITO

1. Los objetivos deben ser comunicados.

2. Se deben identificar los riesgos internos y externos que afecten el logro de objetivos.

3. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuación.

4. Se deben establecer planes para guiar los esfuerzos.

5. Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño. COMPROMISO 1. Se deben establecer y comunicar los valores éticos de la organización.

2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos.

3. La autoridad y responsabilidad deben ser claramente definidos y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado.

4. Se debe fomentar una atmósfera de confianza para apoyar el flujo de la información. APTITUD 1. El personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos.

En alianza con

Colombia


2. El proceso de comunicación debe apoyar los valores de la organización.

3. Se debe identificar y comunicar información suficiente y relevante para el logro de objetivos.

4. Las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas.

5. Las actividades de control deben ser diseñadas como una parte integral de la organización. EVALUACION Y APRENDIZAJE -Se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación de objetivos. -El desempeño debe ser evaluado contra metas e indicadores. -Las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente. -Los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la información. -Debe comprobarse el cumplimiento de los procedimientos modificados. -Se debe evaluar periódicamente el sistema de control e informar de los resultados. PARTICIPACION DEL PERSONAL Las guías sobre control establecen criterios para un efectivo control en una organización. Un control efectivo puede apoyar el éxito de una organización en diferentes formas: -Al personal, al desarrollar sus funciones puede ejercitar su juicio y creatividad, al tiempo que administra o controla los riesgos de que ocurran acciones indebidas. -El personal tiene la flexibilidad de impulsar cambios en la organización o gestión, al tener un adecuado conocimiento de los riesgos. -El personal posee información confiable y está en aptitud de usarla al momento oportuno y al más adecuado nivel en la organización. -La organización puede lograr mejoras en la efectividad y eficiencia y obtener mayor confianza por parte de terceros interesados. Las organizaciones que pretendan aplicar los lineamientos de COCO, deberán tener un claro conocimiento y consideración de los cinco componentes que conforman el Marco Integrado de Control Interno publicado por COSO. -Estos factores son iguales al modelo americano COSO, pero con una propuesta diferente en la manera de la aplicación práctica. -Se parte de la idea de que la unidad más pequeña en una organización es la persona, tomada individualmente. Una persona ejecuta una tarea guiada por el entendimiento de: •Su propósito (objetivo). •El apoyo en su capacidad o aptitud para alcanzarlo (información, herramientas y habilidades). •El sentido de compromiso e involucramiento para realizar debida y oportunamente su tarea. •Que la misma persona deba vigilar y evaluar su desempeño.

En alianza con

Colombia


•Finalmente, es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, así como para introducir los cambios necesarios.

•En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar puede ser toda la entidad, una agencia o dependencia de la misma, o subunidades como pueden ser divisiones o departamentos.

El control comprende los elementos de una organización que tomados en conjunto, apoyan al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las categorías generales siguientes:

•Efectividad y eficiencia de las operaciones.

•Incluye objetivos relacionados con metas de la organización, tales como:

•Servicios al cliente.

•Salvaguarda y uso eficiente de recursos.

•Cumplimiento de obligaciones sociales.

•Protección de recursos contra pérdida o uso indebido.

Confiabilidad de los reportes internos y externos.

-Adecuado mantenimiento de registros contables.

-Información confiable para uso de la organización y la publicada para información de terceros.

-Protección de los registros contra accesos indebidos.

Cumplimiento de leyes, disposiciones y políticas internas.

En esta definición del control se entiende que el mismo conlleva la responsabilidad de identificar y reducir los riesgos, con mayor énfasis en aquellos que pudieran afectar la viabilidad y éxito de la organización, tales como:

•Deficiente capacidad para identificar y explotar oportunidades.

•Deficiente capacidad para responder a riesgos inesperados.

•Ausencia de información definitiva e indicadores confiables para toma de decisiones.

•La estructura del modelo canadiense requiere de creatividad para su interpretación y aplicación y es adaptable a cualquier organización una vez que se adecua a las

En alianza con

Colombia


necesidades de sus propios intereses, o usarla de referencia para desarrollar un modelo propio.

Modelo COBIT

El estándar de control COBIT (Control Objectives for Information and related Technology) de la Information Systems Audit and Control Foundation, (1996) es una estructura que provee una herramienta para los propietarios de los procesos del negocio para descargar eficiente y efectivamente sus responsabilidades de control sobre los sistemas informáticos.

La Information Systems Audit and Control Foundation (ISACF) desarrolló los Objetivos de Control para la Información y Tecnología relacionada (COBIT) para servir como una estructura generalmente aplicable y prácticas de seguridad y control de SI para el control de la tecnología de la información. Esta estructura COBIT le permite a la gerencia comparar (BENCHMARK) la seguridad y prácticas de control de los ambientes de TI, permite a los usuarios de los servicios de TI. Asegurarse que existe una adecuada seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre materias de seguridad y control de TI.

La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una política clara y buenas prácticas para el control de TI a través de toda la industria en todo el mundo.

La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el control de TI, una lista de Objetivos de Control, y un conjunto de Guías de Auditoría. (Los objetivos de control y las guías de auditoria están referenciados a la estructura).

Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e identificarán objetivos nuevos o actualizados mediante incorporación de otros estándares globales de control que se identifiquen. Además, agregar guías de control e identificar indicadores claves de desempeño.

Definición: COBIT adaptó su definición de control a partir de COSO: las políticas, procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y que se prevendrán, detectarán y corregirán los eventos no deseables. COBIT adapta su definición de un objetivo de control de TI del SAC: una declaración del resultado deseado o propósito a lograr implementando procedimientos de control en una actividad particular de TI. COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del negocio. El documento describe objetivos de control de TI independientes de plataformas y aplicaciones.

Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicación, tecnología, instalaciones y gente. Los datos son definidos en su sentido más amplio e incluyen no sólo números, textos y fechas, sino también objetos tales como gráficos y sonido. Los sistemas de aplicación son entendidos como la suma de procedimientos manuales y programados. La tecnología se refiere al hardware, sistemas operativos,

En alianza con

Colombia


equipos de redes y otros. Instalaciones son los recursos utilizados para albergar y soportar los sistemas de información. Gente comprende las capacidades y habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de información.

Requerimientos: para satisfacer los objetivos del negocio, la información necesita conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del negocio respecto de la información. COBIT combina los principios incorporados en los modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categorías superpuestas de criterios para evaluar cuan bien están satisfaciendo los recursos de TI los requerimientos de información del negocio. Estos criterios son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.

Procesos y Dominios: en base al análisis de un documento del Reino Unido sobre prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL), COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son 1. Planeamiento y organización, 2. Adquisición e implementación, 3. Entrega y soporte y 4. Monitoreo. El agrupamiento natural de procesos en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier ambiente de TI.

COBIT presenta una estructura de control para los propietarios de los procesos del negocio. Cada vez más, la dirección está totalmente facultada con responsabilidad y autoridad completa por los procesos del negocio.

COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI, cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control referenciados a esos 32 procesos y guías de auditoría vinculadas a los objetivos de control.

Estructura: la estructura COBIT provee declaraciones de control de alto nivel para los procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por la declaración de control, identifica los recursos de TI administrados por los procesos, establece los controles habilitados y lista los principales objetivos de control aplicables.

Modelo SAC

El modelo de control SAC (Systems Auditability and Control) del Institute of Internal Auditors Research Foundation (1991, revisado en 1994), ofrece asistencia a los auditores internos sobre el control y auditoria de los sistemas y tecnología informática.

El informe SAC define el sistema de control interno, describe sus componentes, provee varias clasificaciones de los controles, describe objetivos de control y riesgos, y define el rol del auditor interno. El informe provee una guía sobre el uso, administración y

En alianza con

Colombia


protección de los recursos de tecnología informática y discute los efectos de la computación de usuario final, las telecomunicaciones y las tecnologías emergentes.

Definición: el informe SAC define a un sistema de control interno como: un conjunto de procesos, funciones, actividades, subsistemas y gente que son agrupados o conscientemente segregados para asegurar el logro efectivo de los objetivos y metas. El informe enfatiza el rol e impacto de los sistemas computarizados de información sobre el sistema de control interno. El mismo acentúa la necesidad de evaluar los riesgos, pesar los costos y beneficios y construir controles en los sistemas en lugar de agregarlos luego de la implementación.

Componentes: el sistema de control interno consiste en tres componentes: el ambiente de control, los sistemas manuales y automatizados y los procedimientos de control. El ambiente de control incluye la estructura de la organización, la estructura de control, las políticas y procedimientos y las influencias externas. Los sistemas automatizados consisten en sistemas y software de aplicación. SAC discute los riesgos de control asociados con los sistemas de usuarios finales y departamentales pero no describe ni define los sistemas manuales. Los procedimientos de control consisten en controles generales, de aplicaciones y compensatorios.

Clasificaciones: SAC provee cinco esquemas de clasificación para los controles internos en los sistemas informáticos: 1. preventivos, detectores y correctivos, 2. discrecionales y no-discrecionales, 3. voluntarios y obligatorios, 4. manuales y automatizados y 5. controles de aplicaciones y generales. Estos esquemas se enfocan en cuándo se aplica el control, si el control puede ser evitado, quién impone la necesidad del control, cómo se implementa el control, y dónde se implementa el control en el software.

Objetivos de Control y Riesgos: los riesgos incluyen fraudes, errores, interrupción del negocio y el uso ineficiente e inefectivo de los recursos. Los objetivos de control reducen estos riesgos y aseguran la integridad de la información, la seguridad, y el cumplimiento. La integridad de la información es resguardada por los controles de calidad del input, procesamiento, output y software. Las medidas de seguridad incluyen los controles de seguridad de los datos, física y de programas. Los controles de cumplimiento aseguran conformidad con las leyes y regulaciones, los estándares contables y de auditoría, y las políticas y procedimientos internos.

Rol del Auditor Interno: las responsabilidades de los auditores internos incluyen asegurar la adecuación del sistema de control interno, la confiabilidad de los datos y el uso eficiente de los recursos de la organización. A los auditores internos también les concierne la prevención y detección de fraudes y la coordinación de actividades con los auditores externos. Para los auditores internos es necesaria la integración de las habilidades de auditoria y sistemas de información y una comprensión del impacto de la tecnología informática sobre el proceso de auditoria. Estos profesionales realizan ahora auditorias financieras, operativas y de los sistemas de información.

En alianza con

Colombia


3.5. ESTUDIO Y EVALUACIÓN DEL SISTEMA CONTROL INTERNO

La revisión del sistema es principalmente un proceso de obtención de información respecto a la organización y de los procedimientos prescritos y pretende servir como base para las pruebas de control y para la evaluación del sistema. La información requerida para este objeto normalmente se obtiene a través de entrevistas con el personal apropiado del cliente y referencia a la documentación tal como manuales de procedimientos, descripción de puestos, diagramas de flujo y cuadros de decisión.

En una auditoría financiera se deben evaluar cada uno de los componentes del control interno. (Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Supervisión y Monitoreo.

Uno de los componentes que se acepta más en la teoría y practica de la auditoría es la importancia de la estructura del control interno del cliente para salvaguardar los activos, registros y generar información financiera confiable. Si el auditor esta convencido de que el cliente tiene un excelente sistema de control interno, que incluye sistemas adecuados para proporcionar información confiable, la cantidad de evidencia de auditoria que debe acumularse puede ser significativamente menor que cuando existen controles que no son los adecuados.

El Pronunciamiento 4 Normas de Auditoria Generalmente aceptadas, del Consejo Técnico de la Contaduría, define que en la segunda norma Relativa a la Ejecución del Trabajo es: “Debe hacerse un apropiado estudio y una evaluación del sistema de control interno existente, de manera que se pueda confiar en él como base para la determinación de la extensión y oportunidad de los procedimientos de auditoría”.

En la NIA 400-Evaluaciones del riesgo y control interno la norma provee guías para que el auditor pueda obtener una comprensión de los sistemas contables y de control interno del ente que sean suficientes para planear la auditoría y desarrollar una estrategia efectiva en la ejecución. Señala la norma, que el auditor debe usar su juicio profesional para evaluar el riesgo de auditoría y diseñar procedimientos que le aseguren que tal riesgo queda reducido a un nivel aceptable. Trata las diferentes clases de riesgo a los que clasifica en riesgo inherente, riesgo de control y riesgo de detección, sus interrelaciones y su impacto en las pequeñas auditorías. Finalmente, establece la forma de comunicación a las autoridades de la empresa de las debilidades detectadas.

Alcance del Estudio del Sistema

Independiente del enfoque de auditoria que se utilice, siempre es imprescindible efectuar un relevamiento de los sistemas de información, contabilidad y control al comenzar una labor de auditoría. Una vez comprendido y analizado el sistema de información, contabilidad y control, corresponde evaluarlo. La evaluación de controles se basa fundamentalmente en el criterio profesional. El proceso de evaluación de los controles generalmente implica la realización de varias actividades por parte del auditor. Los controles internos contables se encuentran dentro del

En alianza con

Colombia


alcance del estudio y evaluación del control interno según las normas de auditoría, mientras que los controles administrativos, en principio, no lo están en las auditorías externas pero sí en las revisorías fiscales.

El estudio de la evaluación del control interno incluye dos fases:

•Conocimiento y comprensión de los procedimientos y métodos establecidos por la administración del ente.

•Seguridad razonable de que se encuentran en uso y que están operando tal como se planificaron.

Revisión del Sistema.

La revisión del sistema es principalmente un proceso de obtención de información respecto a la organización y a los procedimientos establecidos, con objeto de que sirva como base para las pruebas de cumplimiento y para la evaluación del sistema. La información requerida para este objetivo se obtiene normalmente a través de entrevistas con el personal apropiado del ente y mediante el estudio de documentos tales como manuales de procedimientos e instrucciones al personal. La información relativa al sistema es documentada en forma de cuestionarios, resúmenes de procedimientos, flujogramas o cualquier otra forma de descripción de un circuito administrativo y adaptándose a las circunstancias o preferencias del contador público. Con el objeto de verificar la información obtenida, a veces se adopta el procedimiento de seguir el ciclo completo de una o varias transacciones a través del sistema. Esta práctica, además de ser útil para el propósito indicado, permite que las partidas seleccionadas puedan ser consideradas como parte de las pruebas de cumplimiento.

3.6 PRUEBAS DE CONTROLES

Propósito.

• La evaluación del riesgo de control requiere que el auditor considere el diseño y la operación de controles para evaluar si es probable que sean efectivos cuando se cumplen los objetivos de auditoria relacionados con las operaciones.

• El auditor entonces debe obtener evidencia adicional referente a la eficacia de su operación a lo largo de todo, o al menos de la mayoría, del periodo que se esta auditando. Los procedimientos para comprobar la eficacia de los controles en apoyo a un riesgo de control evaluado reducido se llaman pruebas de control.

• Si los resultados de las pruebas de control respaldan el diseño y operación de los controles como era esperado, el auditor utiliza el mismo riesgo evaluado como evaluación preliminar.

En alianza con

Colombia


• Es probable que el auditor utilice cuatro tipos de procedimientos para sustentar la eficacia del funcionamiento de los controles internos:

• Hacer consultas con el personal adecuado del cliente • Examinar documentos, registros e informes • Observar las actividades relacionadas con el control • Repetición de procedimientos del cliente.

3.7 MÉTODOS PARA EVALUAR EL CONTROL INTERNO

Para la obtención y documentación del conocimiento del control interno, el auditor utiliza procedimientos para obtener un conocimiento, lo cual incluye la reunión de evidencia sobre el diseño de controles internos y si se han puesto en operación, y después utiliza la información como base para la auditoria integrada. Por lo general se utilizan tres métodos para obtener y documentar su conocimiento y diseño de control Interno: 1. Las narrativas, 2. Los diagramas de flujo y 3. Los cuestionarios de control interno.

Cuestionarios de control interno.

En un cuestionario de control interno se hace una serie de preguntas referentes a los controles en cada área de la auditoria como medio para indicar al auditor los aspectos de la estructura del control interno que puedan ser inadecuados. En la mayoría de los casos, los cuestionarios requieren una respuesta como si o no, en donde una respuesta con NO indica deficiencias potenciales de control interno.

Diagramas de Flujo.

Un diagrama de flujo de control interno es una representación simbólica y en diagrama de los documentos del cliente y su flujo secuencial en la empresa. Un diagrama de flujo adecuado incluye las mismas cuatro características identificadas para las narrativas. Los diagramas de flujo representan una ventaja, principalmente porque proporcionan una idea concisa del sistema del cliente, lo cual es útil para el auditor como instrumento analítico en la evaluación.

Narrativas.

Es una descripción por escrito de la estructura del control interno del cliente. Una narrativa adecuada de un sistema de contabilidad y los procesos de control relacionados incluye cuatro características:

• El origen de cada documento y registro en el sistema. • Como se lleva a cabo todo el procesamiento. • La disposición de cada documento y registro del sistema.

En alianza con

Colombia


• Una indicación de los procedimientos de control pertinentes a la evaluación del riesgo de control.

RESUMEN DE LA UNIDAD

La importancia del control hoy en día toma una gran importancia relevante ante cualquier actividad que a diario vivimos. El control es todo aquello que nos ayuda a disminuir un riesgo, por lo que debemos estar preparados para cualquier tipo de eventualidad que se nos pueda presentar en nuestras actividades diarias.

Control es la verificación, comprobación, intervención o fiscalización de una actividad o proceso, es todo aquello que nos ayuda a disminuir un riesgo o que tiende a causar la reducción de los mismos, ya sea en una persona o en una institución. El control también implica la medición de lo logrado en relación con lo previsto, así como la detección y corrección de las desviaciones, para asegurar el logro de las metas y objetivos propuestos.

El control es un principio que aplica a todo el ambiente que nos rodea, la naturaleza, el cosmos, la sociedad, el individuo, las empresas. El control ha existido siempre en todas las actividades como ayuda excepcional para realizarlas, siguiendo normas legales, personales o morales, proyectadas a la familia, la sociedad, la empresa o a la persona misma.

El control interno comprende el plan de organización y el conjunto de métodos y procedimientos que aseguren que los activos están debidamente protegidos, que los registros contables son fidedignos y que la actividad de la entidad, se desarrolla eficazmente según las directrices marcadas por la administración. La función del control interno es la de asegurar que las distintas operaciones que se realizan en la entidad se encuentren cumpliendo los planes, objetivos y programas determinados. Se consideran fundamentos de control interno al conjunto de elementos, bases, características, objetos y consideraciones que sobre él deben incorporarse en el proceso de diseño, implementación y retroalimentación del sistema.

Se define como elementos del control interno al conjunto de actividades orientadas a su diseño, implementación y retroalimentación del sistema, para que este estructure de una manera flexible, dinámica y efectiva, en la realización de sus principios y objetivos. Genéricamente, es posible entonces, señalar como elementos fundamentales del sistema de control interno: el plan de Organización, Procedimientos de operación, Sistema de autorización de operaciones y registro de la información, Administración y control del personal, Adecuada supervisión que consiste en la revisión, verificación y evaluación o análisis crítico de la organización.

La presencia del control interno, dota indudablemente a la administración de elementos para la evaluación y retroalimentación de su gestión, fortalece el principio de responsabilidad en cabeza de los administradores y previene la posible e indebida coadministración por parte de los organismos de control, como la auditoría interna en el sector privado o la Oficina de control interno en el sector estatal.

En alianza con

Colombia


El Control Interno contribuye mucho a proteger contra los errores y fraude, además de garantizar la confiabilidad de los datos contables. Con todo, es muy importante reconocer la existencia de algunas limitaciones intrínsecas. El control tiene limitaciones por lo tanto, no es una panacea o un remedio absoluto. El control solo puede proporcionar una Garantía razonable de que los objetivos de la organización serán logrados. En estas condiciones el logro de objetivos es afectado por las limitaciones inherentes al control. Tales limitaciones tienen que ver con fallas humanas, debido a juicios e interpretaciones erróneas, ignorancia y desconocimiento, actos intencionados contra la empresa, colusión de dos o más miembros y omisión intencionada de la gerencia, entre otros.

En un ambiente de evolución permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano económico soportadas por la evolución tecnológica, surge la necesidad de que la función de auditoría pretenda el mejoramiento de su gestión. En la evolución de la teoría del control interno se definió en principio a los controles como mecanismos o prácticas para prevenir o identificar actividades no autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan, la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organización. Dentro de esta evolución, surgen nuevos estándares de control que van a ayudar, tanto a la administración de una organización como a los entes de control de las mismas.

Modelos de control como COSO, COBIT, COCO, SAC permitirán tener los elementos necesarios para una nueva visión del Control Interno para las organizaciones.

La revisión del sistema es principalmente un proceso de obtención de información respecto a la organización y de los procedimientos prescritos y pretende servir como base para las pruebas de control y para la evaluación del sistema. La información requerida para este objeto normalmente se obtiene a través de entrevistas con el personal apropiado del cliente y referencia a la documentación tal como manuales de procedimientos, descripción de puestos, diagramas de flujo y cuadros de decisión.

En una auditoría financiera se deben evaluar cada uno de los componentes del control interno. (Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Supervisión y Monitoreo.

Para la obtención y documentación del conocimiento del control interno, el auditor utiliza procedimientos para obtener un conocimiento, lo cual incluye la reunión de evidencia sobre el diseño de controles internos y si se han puesto en operación y después utiliza la información como base para la auditoria integrada. Por lo general se utilizan tres métodos para obtener y documentar su conocimiento y diseño de control Interno: Las narrativas, los diagramas de flujo y los cuestionarios de control interno.

En alianza con

Colombia


GLOSARIO

DIAGRAMAS DE FLUJO: es una representación simbólica y en diagrama de los documentos del cliente y su flujo secuencial en la empresa.

CONTROL: es la verificación, comprobación, intervención o fiscalización de una actividad o proceso, es todo aquello que nos ayuda a disminuir un riesgo o que tiende a causar la reducción de los mismos, ya sea en una persona o en una institución.

CONTROL ADMINISTRATIVO: los controles administrativos se relacionan con las normas y los procedimientos existentes en un ente vinculados a la eficiencia operativa y al acatamiento de las políticas de la administración. Estos controles normalmente, solo influyen indirectamente en los registros contables. CONTROL CONTABLE FINANCIERO: son todos aquellos sistemas y procedimientos implantados por la organización y que giran en torno a la actividad financiera de la organización, éste control esta enfocado a la protección de sus activos y pasivos.

CONTROL CORRECTIVO: es el tipo de control que corrige. Es la acción de corregir, de enmendar los problemas presentados antes o durante las fases previas o inmediatas a la actividad.

CONTROL DETECTIVO: es el tipo de control que sirve para detectar algún tipo de problema y se aplica desde el mismo momento en que se lleva a cabo la actividad. Continuando con el ejemplo del vehículo podemos decir que es el que se efectúa cuando el vehículo esta en funcionamiento y algún instrumento le indica al conductor una falla de la máquina.

CONTROL INTERNO: se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen dé acuerdo con las normas institucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.

CONTROL PREVENTIVO: es aquel tipo de control que se aplica desde antes en que se realiza una actividad. Como ejemplo se tiene la práctica de efectuar mantenimiento previo a un vehículo antes de iniciar su actividad.

CUESTIONARIOS DE CONTROL INTERNO: es un formato donde se hace una serie de preguntas referentes a los controles en cada área de la auditoria como medio para indicar al auditor los aspectos de la estructura del control interno que puedan ser inadecuados.

INFORME COSO: es el resultado de la investigación de un grupo de trabajo integrado por la Comisión TREADWAY con el objetivo de definir un nuevo marco

En alianza con

Colombia


conceptual de Control Interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema.

MODELO COCO: el Consejo denominado The Criteria of Control Board emitió, el modelo comúnmente conocido como COCO, dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre control.

NARRATIVAS: es una descripción por escrito de la estructura del control interno del cliente. Una narrativa adecuada de un sistema de contabilidad y los procesos de control relacionados incluye cuatro características.

BIBLIOGRAFIA UTILIZADA.

ARENS, Alvin A.; ELDER, Randal J. y BEASLEY, Mark S. Auditoria. Un Enfoque Integral. 11ª Edición. México Pearson-Prentice Hall, 2007.

ESTUPIÑÁN GAITÁN, Rodrigo. Control Interno y Fraudes. Segunda edición. Bogotá. Ecoe, 2006.

……...Papeles de Trabajo en Auditoría Financiera. Bogotá. Ecoe, 2004.

GAVIRIA CORREA, Gonzalo. El control Interno. Bogotá. Dike, 1994.

MANTILLA B., Samuel A. Control Interno Estructura Conceptual Integrada: COSO. Segunda Edición. Bogotá. Ecoe, 2000.

……...Traducción del Documento del Committee of Sponsoring Organizations of the Tread way Commission: COSO. Informe de Control Interno. Segunda edición. Bogotá. Ecoe. 1995.

PEÑA BERMÚDEZ, Jesús María. El control, la auditoría y la revisoría fiscal. Bogotá. Ecoe, 2000.

WHITTINGTON, O. Ray y PANY, Kurt. Principios de Auditoria. 14ª edición. México. McGraw Hill, 2008.

BIBLIOGRAFIA COMPLEMENTARIA

Régimen Contable Colombiano. Jaime E. Santos Mera. Bogotá. Legis Editores S.A 1999. Hojas sustituibles.

Código de Comercio. Hildebrando Leal Pérez. 26 Ed. Bogotá, Leyer, 2010. ISBN: 9789587116120.

En alianza con

Colombia


CONGRESO NACIONAL DE LA REPUBLICA DE COLOMBIA: Ley 43 de 1990. Por la cual se adiciona la ley 145 de 1960, reglamentaria de la profesión de contador público y se dictan otras disposiciones. Bogotá. Diciembre 13 de 1990.

CONGRESO NACIONAL DE LA REPUBLICA DE COLOMBIA: Ley 87 de 1990. Ley de Control Interno para entidades del Estado. Bogotá. Diario Oficial 41.120 Noviembre 1990.

Disposiciones Profesionales del Consejo Técnico de la Contaduría - Pronunciamientos 1 al 7 del Consejo Técnico de la Contaduría. Autor: Consejo Técnico de la Contaduría



Disposiciones Profesionales del Consejo Técnico de la Contaduría - Pronunciamientos 4 Normas de Auditoria. Autor: Consejo Técnico de la Contaduría



Normas Internacionales de Auditoria- International Auditing and Assurance Standards Board (IAASB)-Consejo de Normas Internacionales de Auditoría y Aseguramiento

‐ NORMA INTERNACIONAL DE AUDITORIA 240, Responsabilidad del auditor de considerar el fraude en una Auditoría de estados financieros ‐ NORMA INTERNACIONAL DE AUDITORIA 400, Evaluaciones de Riesgo y Control Interno

http://www.coso.org


http://es.ifac.org/


http://www.actualicese.com/


www.jccconta.gov.co

Consultado en Abril 21 de 2011

unidad tres ok

Education