De la estrategia amplia de la entidad fluyen objetivos más específicos. A nivel d la entidad están enlazados e integrados con los objetivos mas específicos establecidos para actividades varias, tales como ventas, producción e ingeniería, asegurando que ellos Sean consistentes. Tales sub-objetivos u objetivos de nivel de actividad incluyen el establecimiento de metas y deben relacionarse con los objetivos de línea de producto, mercado, financiación y utilidades.
Definiendo objetivos en los niveles de la entidad y de actividad, una entidad puede identificar los factores críticos de éxito. Esos son asuntos claves que deben se correctos si las metas se planearon para ser alcanzadas. Los factores críticos de éxito se aplican para la entidad, para una unidad de negocios, una función, un departamento o un individuo. La definición de objetivos le facilita a la administración identifica los criterios de medición del desempeño, centrándose en los factores críticos de éxito Categorías de objetivos.
A pesar de la diversidad de objetivos, pueden establecerse ciertas categorías principales:
Objetivos de operaciones. Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad, incluyendo objetivos de desempeño y rentabilidad así como recursos de salvaguardia contra las perdidas. Varían dependiendo de la selección d los administradores respecto de estructura y desempeño.
Objetivos de información financiera. Hacen referencia a la preparación de "esta dos financieros publicados" que Sean confiables, incluyendo la prevención de información financiera publica fraudulenta. Están orientados principalmente por requerimientos externos.
Objetivos de cumplimiento. Estos objetivos hacen referencia a la adhesión a la leyes y regulaciones a las cuales la entidad esta sujeta. Dependen de factores externos, tales como regulaciones ambientales, y tienden a ser similares para todas las entidades en algunos casos y para toda una industria en otros casos.
Ciertos objetivos se derivan de la participación de una entidad en los negocios. Un fondo mutuo puede valer sus participaciones diarias, mientras otros negocios pueden hacerlo trimestralmente. Todos los negocios comerciales publicitados deben tener cierto registro en la SEC'-4. Esos objetivos impuestos externamente son establecidos por ley o regulación, se ubican en la categoría de cumplimiento y pueden ser de información financiera.
Los objetivos de operaciones están basados mas en preferencias, juicios y estilos administrativos. Existe una amplia variedad entre las entidades simplemente porque la gente informada, competente y honesta puede seleccionar diferentes objetivos. Mirando el desarrollo del producto, por ejemplo, una entidad puede escoger ser un adaptador tempranero, otra un seguidor rápido, y otra un rezagado silencioso. Tales selecciones afectaran la estructura, las habilidades, el personal y los controles de la investigación y de la función de desarrollo. En consecuencia, ninguna formulación de objetivos puede ser óptima para todas las entidades.
Objetivos de operaciones. Los objetivos de operaciones se relacionan con la consecución de la misión básica de una entidad, razón fundamental de su existencia. Incluyen sub-objetivos relacionados con las operaciones, dirigidos a engrandecer la efectividad y la eficiencia, orientando la empresa hacia sus metas ultimas.
Los objetivos de operaciones necesitan reflejar el ambiente particular de negocios, industria y economía en el cual funciona la entidad. Los objetivos requieren, por ejemplo, ser relevantes frente a las presiones competitivas por calidad, ciclos de tiempo reducidos para ofrecer el producto al mercado o cambios en la tecnología. La administración debe ver si tales objetivos están basados en la realidad y demandas del mercado y están expresados en términos que permitan conocer completamente las mediciones de desempeño.
Una definición clara de los objetivos y estrategias de operación, enlazada con los sub-objetivos, es fundamental para el éxito. Proporciona un punto central mediante el cual la entidad comprometerá sus recursos sustanciales. Si los objetivos de operaciones de una entidad no son claros o no están bien concebidos, sus recursos pueden malgastarse.
Objetivos de información financiera. Los objetivos de información financiera se orientan a la preparación de estados financieros publicados que sean confiables, incluyendo estados financieros interinos y condensados y datos financieros seleccionados derivados de tales estados,'tales como ganancias realizadas, de conocimiento público. Las entidades necesitan conseguir objetivos de información financiera para cumplir obligaciones extremas. Estados financieros confiables son un requisito previo para obtener capital proveniente de inversionistas o de acreedores, y pueden ser crediticios para la asignación de ciertos contratos o para negociar con algunos proveedores. Los inversionistas, acreedores, clientes y proveedores a menudo se relacionan con los estados financieros para valorar el desempeño de los administradores y para comparar con pares y con inversiones alternativas.
El termino confiabilidad, tal y como se usa con los objetivos de información financiera involucra la preparación de estados financieros presentados razonablemente de acuerdo con principios contables generalmente aceptados u otros relevantes y apropiados y con los requerimientos reguladores para propósitos externos. La presentación confiable es definida como:
Los principios contables seleccionados y aplicados tienen general aceptación.
Los principios contables son apropiados para las circunstancias.
Los estados financieros son informativos de asuntos que pueden afectar su uso, entendimiento e interpretación.
La información presentada es clasificada y sumarizada de manera razonable, esto es, no es ni totalmente detallada no totalmente condensada, y
Los estados financieros reflejan las transacciones y los eventos fundamentales de manera tal que presentan la posición financiera, los resultados de las operaciones y los flujos de efectivo definidos en un rango de límites aceptables, esto es, límites que son razonables y prácticos para conseguir en los estados financieros. También es inherente en la presentación razonable el concepto de materialidad de los estados financieros.
El soporte de esos objetivos es una serie de aserciones que fundamentan los estados financieros de una entidad.
Existencia u ocurrencia: activos, pasivos e intereses de los propietarios existen en una fecha específica, y las transacciones registradas representan eventos que ocurrieron durante un periodo determinado.
Totalidad: todas las transacciones y los otros eventos y circunstancias que ocurrieron durante un periodo específico, y que han sido reconocidos en ese periodo tienen, de hecho, que haber sido registrados.
Derechos y obligaciones: los activos son los derechos, y los pasivos son las obligaciones, de la entidad en una fecha determinada.
Valuación o asignación: los componentes de activos, pasivos, ingresos y gastos se registran en las cantidades apropiadas de conformidad con principios contables relevantes y apropiados. Las transacciones son matemáticamente correctas y sumadas adecuadamente, y registradas en los libros y registros de la entidad.
Presentación y revelación: los ítems en los estados son descritos, ordenados y clasificados.
Como ocurre con las otras categorías de objetivos, existe una serie de objetivos y sub-objetivos relacionados. Los factores que representan la presentación razonable pueden ser vistos como los objetivos de la información financiera básica. Ellos pueden soportarse mediante sub-objetivos representados por las aserciones de los estados financieros, los cuales a su turno están relacionados con los objetivos identificados con las diversas actividades de una entidad.
Puesto que esas definiciones de representación y aserciones razonables son descritas adelante para los estados financieros, también, al menos conceptualmente, fundamentan el desarrollo de otros informes financieros difundidos, derivados de los estados financieros, tales como información financiera interina y presionan la liberación de ganancias reportadas. Ciertos de esos factores, sin embargo, podrán no ser aplicables a otros informes financieros difundidos. Por ejemplo, la presentación y revelación de información generalmente no será aplicable a unas ganancias realizadas.
Objetivos de cumplimiento. Las entidades deben conducir sus actividades, y a menudo tomar acciones específicas, de acuerdo con leyes y regulaciones aplicables. Esos requerimientos se pueden relacionar, por ejemplo, con mercados, precios, impuestos, el ambiente, bienestar de los empleados y comercio internacional. Esas leyes y regulaciones establecen los niveles mínimos de comportamiento los cuales son integrados por la entidad en su cumplimiento de objetivos. Por ejemplo, las regulaciones se seguridad y salud ocupacional pueden hacer que una compañía defina sus objetivos como, embalaje y etiquetado de todos los químicos de acuerdo con las regulaciones. En este caso, las políticas y los procedimientos se relacionaran con programas de comunicaciones, inspecciones en el lugar y entrenamiento.
El registro del cumplimiento de una entidad con las leyes y regulaciones puede afectar de manera significativa tanto positiva como negativamente su reputación en la comunidad.
Cobertura de objetivos.
Un objetivo en una categoría; puede cubrir o soportar un objetivo en otra. Por ejemplo, cerrar trimestralmente con 10 días de trabajo puede ser un objetivo que soporta primariamente unos objetivos de operaciones, apoyar las reuniones de la administración para revisar el desempeño de los negocios. Pero también soporta oportunamente la información financiera al mismo tiempo que cumple con las agencia reguladoras. Un objetivo, proporcionar a los administradores de planta de dato pertinentes sobre producción de materias primas mezclada en una base oportuna puede relacionarse con todas las tres categorías de objetivos. Las decisiones soporta das en datos sobre los cambios deseados de la mezcla (operaciones), facilitan e monitoreo de sustancias riesgosas (cumplimiento) y provee entradas para la contabilidad de costos (información financiera lo mismo que operaciones).
Otro conjunto de objetivos hace referencia a la salvaguardia de recursos. Si bien se trata principalmente de objetivos de operación, ciertos aspectos de salvaguarda pueden ubicarse en las otras categorías. Bajo la categoría de operaciones está el uso eficiente de los activos registrados de una entidad y de otros recursos, y la prevención de sus perdidas mediante hurto, desperdicio, ineficiencia o aquello que los saca fuera simplemente por malas decisiones de negocios, tales como vender productos a muy bajo precio, extensión del crédito a riesgos dañinos, falla en la retención de emplea dos clave o prevención de la violación de patentes, o incurrir en obligaciones imprevistas. Cuando aplican requerimientos legales o reguladores, ellos se convierten e asuntos de cumplimiento. De otra manera, la meta de asegurar que cualquier pérdida de activos es reflejada adecuadamente en los estados financieros de la entidad representa un objetivo de información financiera.
La categoría en la cual un objetivo se ubica, puede algunas veces depender de la circunstancias. Continuando la discusión sobre salvaguardia de activos, los controle para prevenir los hurtos de activos -tales como mantener una valla alrededor de lo inventarios, y un celador verificando la autorización adecuada de requisiciones par movimiento de bienes– se ubican en la categoría de operaciones. Esos controle normalmente no serian relevantes para la confiabilidad de la preparación de estado financieros, puesto que cualquier perdida de inventarios podría ser detectada mediante la inspección física periódica y registrada en los estados financieros. Sin embargo, si para propósitos de información financiera los administradores confían únicamente en registros de inventario perpetuo, como puede ser el caso para información interina, los controles de seguridad física también se podrían ubicar dentro de la categoría de información financiera.
La distinción e interrelación entre las categorías puede ilustrarse además en el contexto de la actividad de préstamos de un banco comercial. Para propósitos de ilustración, asúmase que los controles existen para asegurar que los archivos de crédito contienen las historias de crédito de los clientes actuales y datos sobre desempeño. Además, asúmase en este ejemplo que los ejecutivos de crédito del banco no usan esa información en la toma de decisiones de crédito. En lugar de ello, dan aprobaciones de giros contra líneas de crédito existentes, y de la misma manera incrementan el límite, lo cual se hace intuitivamente. Los administradores financieros, sin embargo, realizan revisiones periódicas para determinar los niveles apropiados de reservas contra pérdidas en préstamos. Bajo este escenario, los controles sobre las operaciones tienen debilidades significativas, mientras que los controles sobre la información financiera no lo hacen. Prácticamente hablando, tal control laxo sobre las operaciones seguramente derivar en desempeño inaceptable de las utilidades. La primera evidencia aparecerá en los indicadores de desempeño y luego en las bajas utilidades reportadas o eventualmente perdidas, solicitando a la alta administración y, si es suficientemente serio, al consejo, investigación y acción necesarios. De esta manera, los controles de información financiera pueden ayudar a orientar la debilidad de las operaciones, evidenciando sus interrelaciones, pero la debilidad está en el control de las operaciones únicamente.
Vinculación
Los objetivos pueden ser complementarios y estar vinculados. Los objetivos globales de la entidad no solamente deben ser consistentes con las capacidades y posibilidades de la entidad, también deben ser consistentes con los objetivos de sus unidades de negocio y funciones. Los objetivos globales deben dividirse en sub-objetivos, consistentes con la estrategia global, y vinculados con las actividades a través de la organización.
Cuando los objetivos globales son consistentes con la practica principal y el desempeño, la vinculación con las actividades es conocida. Cuando, sin embargo, los objetivos surgen de las practicas pasadas de una entidad, la administración debe orientar los vínculos u operar los riesgos crecientes. Dado que ellos surgen de la practica pasada, la necesidad de unidades de negocios o sub-objetivos funcionales que son consistentes con la nueva dirección, es igualmente importante.
Un objetivo para llenar más roles administrativos internamente mediante promociones dependerá fuertemente de los sub-objetivos vinculados para los procesos de recursos humanos relacionados con la plantación de la sucesión, valuación, entrena-miento y desarrollo. Los sub-objetivos pueden cambiarse sustancialmente si la practica pasada descansaba en fuerte escrutinio externo.
Los objetivos de actividades también necesitan ser claros, esto es, fácilmente comprensible por la gente que realiza acciones para su consecución. También deben ser medibles. El personal y la administración deben tener un entendimiento mutuo de lo que debe cumplirse y de los medios para determinar la extensión en que se deben cumplir.
El alcance y el esfuerzo implicados en los objetivos de una actividad también son relevantes. La mayoría de entidades establece un número de objetivos para cada actividad, los cuales fluyen de los objetivos globales de la entidad y de los estándares relacionados con el cumplimiento y con los objetivos de información financiera. Para procurar, por ejemplo, objetivos de operaciones debe establecerse:
Compra de bienes que cumplan las especificaciones de ingeniería establecidos;
Negociar precios aceptables y otros términos;
Revisar y re-certificar anualmente a todos los vendedores clave.
La consecución total de los objetivos que pueden definirse para una actividad puede imponer los recursos comprometidos para ello; es útil relacionar, entonces, e l, conjunto de objetivos globales de una entidad con los recursos disponibles. Una forma de aliviar la obligación de recursos adicionales es cuestionar los objetivos d actividades que no apoyan los objetivos globales de la entidad y el proceso de negocios de la misma. A menudo, una función tendrá un objetivo irrelevante que es extraído de las prácticas pasadas (produciendo rutinas además de reportes mensuales inutilizados, por ejemplo).
Otra manera de balancear objetivos y recursos es identificar aquellos de actividad' que son muy importantes o críticos, para la consecución de los objetivos globales. N todos los objetivos son iguales, algunas entidades los priorizan. Las entidades puede identificar ciertos objetivos de actividad que Sean críticos, y prestar cuidadosa atención a las actividades de monitoreo relacionadas con esos objetivos. Esta noción refleja el concepto de factores críticos de éxito discutidos atrás, donde las cosas deberá ser correcta para conseguir los objetivos de la entidad.
Consecución de los objetivos
Como se anoto, el establecimiento de objetivos es un requisito previo para el control interno efectivo. Los objetivos proporcionan los blancos medibles hacia los cu a-, les la entidad se mueve en la conducción de sus actividades. Sin embargo, aunque, una entidad pueda tener una seguridad razonable respecto a que ciertos objetivos serán conseguidos, ello no necesariamente es común para todos los objetivos.
Como se analizo en el Capitulo 1, un sistema de control interno efectivo deberá proveer una seguridad razonable sobre que los objetivos de información financiera se están consiguiendo. Similarmente, deberá existir una seguridad razonable respecto a que los objetivos de cumplimiento se están consiguiendo. Esas dos categorías están basadas primariamente en estándares externos establecidos independientemente de los propósitos de la entidad, y obtenerlos depende del control de la entidad.
Pero hay una diferencia cuando ello se da en los objetivos de operaciones. Primero, ellos no están basados en estándares externos. Segundo, una entidad puede desempeñarse como lo programo, pero también ser sacada del mercado por un competidor. Puede también ser sujeto de eventos externos -un cambio en el gobierno, mal tiempo y cosas parecidas- que no puede controlar. Puede haber considerado algunos de esos eventos en su proceso de definición de objetivos y haberlos tratado como de poca probabilidad, con un plan de contingencia en caso de que ocurrieran. Sin embargo, tal plan solamente mitiga el impacto de eventos externos. No asegura que se consigan los objetivos. Buenas operaciones que tengan consistencia con el interno de los objetivos no aseguran el éxito.
La meta del control interno en esta área se centra principalmente en: desarrollo consistente de objetivos y metas por todas las secciones de la organización, identificación de los factores claves de éxito e información oportuna a la administración sobre el desempeño y las expectativas. Aunque el éxito no se puede asegurar, la administración deberá tener una seguridad razonable de ser alertada cuando los objetivos están en peligro o no están siendo conseguidos.
RIESGOS
El proceso de identificación y análisis de riesgos es un proceso interactivo ongoing y componente critico de un sistema de control interno efectivo. Los administradores se deben centrar cuidadosamente en los riesgos en todos los niveles de la entidad y realizar las acciones necesarias para administrarlos.
Identificación de riesgos
El desempeño de una entidad puede estar en riesgo a causa de factores internos o extremos. Esos factores, a su turno, pueden afectar tanto los objetivos establecidos como los implícitos. Los riesgos se incrementan en la medida en que los objetivos difieren crecientemente del desempeño pasado. En un número de áreas de desempeño, una entidad, a menudo, no define explícitamente los objetivos globales puesto que considera aceptable su desempeño. Aunque en esas circunstancias no hay allí un objetivo explicito o escrito, existe un objetivo implícito de no cambio o como es. Esto no significa que un objetivo implícito, con riesgos internos o externos, por ejemplo, permita ver como aceptable el servicio que una entidad presto a sus clientes. Tampoco quiere decir que puedan deteriorarse las prácticas de un competidor tal y como son percibidas por sus clientes.
Mirando si un objetivo esta establecido o es implícito, el proceso de valoración de riesgos de una entidad puede considerar los que pueden ocurrir. Es importante que la identificación de riesgos sea comprensiva. Debe considerar todas las interacciones significativas -de bienes, servicios e información entre una entidad y las partes externas relevantes. Esas partes externas incluyen proveedores, inversionistas, acreedores, accionistas, empleados, clientes, compradores, intermediarios y competidores, tanto potenciales como actuales, lo mismo que entidades cuerpos publicas y medios de comunicación.
La identificación de riesgos es un proceso interactivo y a menudo esta integrado con el proceso de plantación. También es útil considerar los riesgos desde una aproximación, hoja de papel en blanco, y no relacionar únicamente los riesgos de la revisión previa.
Nivel de la entidad.
Los riesgos del nivel global de la entidad pueden provenir de factores externos o internos. Ejemplos incluyen:
Factores externos
Los desarrollos tecnológicos pueden afectar la naturaleza y oportunidad de la investigación y desarrollo, o dirigir hacia la procura de cambios.
Las necesidades o expectativas cambiantes de los clientes pueden afectar el desarrollo del producto, el proceso de producción, el servicio al cliente, los precios o las garantías.
La competencia puede alterar las actividades de mercadeo o servicio.
La legislación y regulación nuevas pueden forzar cambios en las políticas y en las estrategias de operación.
Las catástrofes naturales pueden orientar los cambios en las operaciones o en los sistemas de información y hacer urgente la necesidad de planes de contingencia. Los cambios económicos pueden tener un impacto sobre las decisiones relacionadas con financiación, desembolsos de capital y expansión.
Factores internos
Una ruptura en el procesamiento de los sistemas de información puede afectar adversamente las operaciones de la entidad.
La calidad del personal vinculado y los métodos de entrenamiento y motivación pueden influenciar el nivel de conciencia de control en la entidad.
Un cambio en las responsabilidades de la administración puede afectar la manera como se efectúan ciertos controles.
La naturaleza de las actividades de la entidad, y el acceso de los empleados a los activos, pueden contribuir a una equivocada apropiación de los recursos.
Un consejo o comité de auditoria quo no actúa o que no es efectivo puede proporcionar oportunidades para indiscreciones.
Se han identificado muchas técnicas para valorar riesgos. La mayoría -particularmente aquellas desarrolladas por auditores internos y externos para determinar el alcance de sus actividades- implican el use de métodos cualitativos o cuantitativos para priorizar e identificar las actividades altamente riesgosas. Otras prácticas incluyen: revisiones periódicas de los factores económicos e industriales que afectan los negocios, conferencias de los administradores principales sobre planeación de negocios y reuniones con analistas industriales. Los riesgos se pueden identificar en conexión con presupuestación de corto y largo plazo y con planeación estratégica. No es importante conocer cuales son los métodos mediante los cuales una entidad identifica los riesgos. Lo que sí es importante es quo la administración considere cuidadosamente los factores que puedan contribuir a incrementar los riesgos. Algunos factores a considerar incluyen: experiencias pasadas sobre fallas en la consecución de objetivos; calidad del personal; existencia de actividades distribuidas geográficamente, de manera particular en el extranjero; significado de una actividad para la entidad; y complejidad de una actividad.
Un ejemplo para ilustrar: un importador de vestidos y calzado, para descansar, estableció un objetivo global de la entidad de llegar a ser un líder industrial en mercancías de moda de alta calidad. Los riesgos considerados en el nivel global de la entidad incluyeron: fuentes de abastecimiento, incluyendo la calidad, el numero y la estabilidad de los manufactureros extranjeros; exposición a las fluctuaciones en el valor de las monedas extranjeras; oportunidad de recibir los embarques y efecto de las demoras por las inspecciones en aduanas; disponibilidad y confiabilidad de las compañías de embarque y costos; probabilidad de hostilidades internacionales y de embargos comerciales; y presiones de los clientes e inversionistas para boicotear la realización de negocios en un país extranjero cuyos gobernantes pudieran adoptar políticas inaceptables. Tales fueron en suma los riesgos más genéricamente considerados, tales como el impacto de un deterioro en las condiciones económicas, aceptaci6n de los productos en el mercado, nuevos competidores en el mercado de la entidad, y cambios en el ambiente o en las leyes reguladoras y en las regulaciones.
La identificación de factores externos e internos que contribuyen al riesgo en un nivel global de la entidad es un asunto crítico para una valoración de riesgos efectiva. Dado que los principales factores que contribuyen han sido identificados, la administración puede entonces considerar su significado y, de ser posible, vincular los factores de riesgo con las actividades de negocio.
Nivel de actividad.
En adición a la identificación de riesgos a nivel de la entidad, deben identificarse también los riesgos a nivel de actividad. El tratar con los riesgos a este nivel ayuda a centrar la valoración de riesgos en las principales unidades de negocio o en funciones tales como ventas, producción, mercadeo, desarrollo de tecnología e investigación y desarrollo. La valoración exitosa de los riesgos a través de actividad también contribuye a mantener niveles aceptables en el nivel global de la entidad.
En la mayoría de las instancias, para un objetivo establecido o implícito, se pueden identificar diferentes riesgos. En un proceso de consecución, por ejemplo, una, entidad puede tener un objetivo relacionado con el mantenimiento de un adecuado inventario de materias primas. Los riesgos de no conseguir el objetivo de actividad pueden incluir bienes que no cumplen las especificaciones, o no poder ser adquiridos en las cantidades necesarias, a tiempo o a precios aceptables. Esos riesgos pueden afectar la manera como se manejan las especificaciones para comprar bienes a los vendedores, el use y propiedad de los presupuestos de producción, identificación de fuentes alternativas de proveedores y practicas de negociación.
Las causas potenciales para fallar en la consecución de un objetivo varía entre lo obvio pasta lo oscuro, y de lo significativo a lo insignificante en el efecto potencial. Ciertamente, aparentemente es fácil identificar los riesgos que afectan, significativamente la entidad. Para evitar el sobredimensionamiento de los riesgos relevantes, esta identificación es mejor hacerla aparte de la valoración de la probabilidad de ocurrencia de los riesgos. Existen, sin embargo, limitaciones practicas en el proceso de identificación, y a menudo es difícil determinar donde dibujar la línea de separación. No tiene mucho sentido considerar el riesgo de la caída de un meteoro desde el espacio sobre las instalaciones de producción de una compañía, mientras que puede ser razonable considerar el riesgo de choque de un aeroplano contra una' instalación localizada cerca de un aeropuerto.
Análisis de riesgos
Luego que una entidad ha identificado los riesgos globales de la entidad y los riesgos de actividad, necesita pacer un análisis de riesgos. La metodología para analizar riesgos puede variar ampliamente porque muchos riesgos son difíciles de cuantificar.
Sin embargo, el proceso que puede ser más o menos formal- usualmente incluye:
Estimación del significado de un riesgo;
Valoración de la probabilidad (o frecuencia) de ocurrencia del riesgo;
Consideración de cómo puede administrarse el riesgo, esto es, una valoración de que acciones deben ser tomadas.
Un riesgo que no tiene un efecto significativo sobre la entidad y una baja probabilidad de ocurrencia generalmente no justifica atención seria. Un riesgo significativo con una alta probabilidad de ocurrencia, de otra manera, usualmente demanda considerable atención. Las circunstancias entre esos extremos usualmente requieren juicios difíciles. Es importante que el análisis sea racional y cuidadoso.
Existen numerosos métodos para estimar el costo de una perdida derivada de un riesgo identificado. La administración debe estar atenta a ello y aplicar los que considere apropiados. Sin embargo, muchos riesgos tienen tamaño indeterminado. Lo mejor es describirlos como grande, ponderado o pequeño.
Una vez que se ha valorado la significancia y la probabilidad del riesgo, la administración necesita considerar cómo debe administrarse. Ello implica juicio basado en suposiciones sobre el riesgo, y un análisis de costos razonable asociado con la reducción del nivel del riesgo. Las acciones que se pueden tomar para reducir la importancia o la probabilidad de ocurrencia del riesgo incluyen una gran cantidad de decisiones administrativas que deben tomarse cada día. Ese rango va desde identificar las alternativas de proveer recursos o expandir líneas de productos hasta obtener informes de operación más relevantes o programas de mejoramiento del entrenamiento. En algunos casos las acciones pueden eliminar virtualmente el riesgo, o contrarrestar su efecto si ocurre. Ejemplos de ello son la integración vertical para reducir riesgos de proveedores, prestar atención a la exposición financiera y obtener adecuada cobertura de seguros.
Nótese que existe una distinción entre valoración de riesgos, la cual es parte del control interno, y los planes, programas u otras acciones resultantes considerados necesarios por la administración para manejar los riesgos. Las acciones emprendidas, como se discutió en el parágrafo anterior, son una parte clave del proceso administrativo total, pero no un elemento del sistema de control interno.
Junto con las acciones para administrar riesgos se encuentra el establecimiento de procedimientos para facilitar a la administración que haga seguimiento a la implementación y efectividad de las acciones. Por ejemplo, una acción que una organización puede tomar para administrar el riesgo de perdida de servicios de computación críticos es formular un plan de recuperación de desastres. Deben, entonces, efectuarse procedimientos para asegurar que el plan es apropiadamente diseñado e implementado. Tales procedimientos representan actividades de control, las cuales se estudiaran en el Capítulo 4.
Antes de implantar procedimientos adicionales, la administración debe considerar cuidadosamente si los existentes pueden ser adecuados para manejar los riesgos identificados. Dado que los procedimientos pueden satisfacer objetivos múltiples, la administración puede descubrir que no se justifican acciones adicionales; los procedimientos existentes pueden ser suficientes o requieren un mejor desempeño.
La administración también puede concluir que es probable que siempre exista algún nivel de riesgo residual no solamente porque los recursos siempre son limitados, sino también a cause de otras limitaciones inherentes a cada sistema de control interno.
El análisis de riesgos no es un ejercicio teórico. A menudo es crítico para el éxito de la entidad. Es más efectivo cuando incluye la identificación de todos los procesos claves de negocio en los cuales existe exposición potencial de alguna consecuencia. Puede envolver análisis de procesos, tales como identificación de dependencias clave y modos de control significativos, y el establecimiento de responsabilidad. El análisis de procesos efectivos presta especial atención a las dependencias que cruzan la organización, identificando, por ejemplo: donde se originan los datos, donde se almacenan, cómo se convierten en información útil y quien use la información. Las organizaciones grandes, en general, necesitan ser particularmente vigilantes en la orientación de las transacciones intracompanía e intercompanía, así como en las dependencias claves. Este proceso puede ser afectado positivamente por programas de calidad los cuales, con una compra en por los empleados, puede ser un elemento importante para contener el efecto de los riesgos.
Desafortunadamente, la importancia del análisis de riesgos se reconoce algunas veces muy tarde, como es el caso de una firma principal de servicios financieros en la cual un ejecutivo principal anunció un melancólico epitafio: justamente no pensamos que encontraríamos muchos riesgos.
MANEJO DEL CAMBIO
Los ambientes económicos, industriales y reguladores cambian, y envuelven la actividad de las entidades. El control interno efectivo bajo un conjunto de condición.
Corresponde a la idea que los empleados puedan adquirir parte de la propiedad de las empresas. Lo cual los líos no necesariamente será efectivo bajo otras. Para la valoración de riesgos es fundamental un proceso para identificar las condiciones cambiantes y tomar las acciones necesarias.
Así, cada entidad necesita tener un proceso, formal o informal, para identificar la condiciones que puedan afectar significativamente su habilidad para conseguir sus objetivos. Como se vera adelante en el Capitulo 5, una parte clave de ese proceso implica sistemas de información que capturen, procesen y reporten información sobre eventos, actividades y condiciones que señalen los cambios frente a los cuales la entidad necesita reaccionar. Tal información puede implicar cambios en las preferencias de los clientes a otros factores que afecten la demanda por los productos o servicios de la compañía. o, puede implicar nueva tecnología que afecte el proceso de producción a otras actividades de negocio, o desarrollos competitivos o legislativos o reguladores. Con los requeridos sistemas de información en funcionamiento, puede establecerse el proceso para identificar y responder a las condiciones cambiantes.
Este proceso será paralelo, o será parte del proceso regular de valoración de riesgos de la entidad descrito antes. Implica la identificación de las condiciones cambiantes lo cual requiere tener en funcionamiento mecanismos para identificar y comunicar sucesos o actividades que afecten los objetivos de la entidad y el análisis de las oportunidades asociadas o riesgos. Tal análisis incluye la identificación de las causas potenciales de la consecución o de las fallas en la consecución de un objetivo, la valoración de la probabilidad de que tales causas ocurran, la evaluación del efecto probable sobre la consecución de los objetivos y la consideración del grado en que deben controlarse los riesgos o la manera de aprovechar las oportunidades.
Si bien el proceso mediante el cual una entidad maneja el cambio es similar -si no parte de-, a su proceso regular de valoración de riesgos, se discute separadamente. Esto es a causa de su importancia critica para el control interno efectivo y porque puede ser fácilmente sobreestimado o recibir atención insuficiente en el curso del trato de los asuntos de cada día.
Circunstancias que demandan atención especial
Este centro de atención sobre el cambio administrativo esta fundamentado en la premisa de que, dado su impacto potencial, ciertas condiciones deberán ser sujeto de consideración especial. La extensión de cuanta atención de la administración requieren tales condiciones, por supuesto, depende del efecto que puedan tener en las circunstancias particulares. Tales condiciones son:
Cambio el ambiente de operación. Un ambiente regulador o económico. significativo de Los riesgos diferentes. La desinversión en la industria de Las telecomunicaciones, y la desregulación de Las tasas de comisión en la industria de corretaje, por ejemplo, introduce a Las entidades en fin ambiente competitivo cambiado ampliamente.
Personal nuevo. Un ejecutivo principal nuevo en una entidad puede no entender la cultura de la entidad, o centrarse solamente en el desempeño de la exclusión de Las actividades relacionadas con el control. La alta rotación de personal, con ausencia de entrenamiento y supervisión efectivos, puede generar desastres.
Sistemas de información nuevos o reconstruidos. Normalmente Los controles efectivos pueden averiarse cuando se desarrollan sistemas nuevos, particularmente cuando existe presión de disminuir Los tiempos de ejecución, por ejemplo, para obtener ventajas competitivas o realizar movimientos tácticos.
Crecimiento rápido. Cuando Las operaciones se expanden significativa y rápidamente, Los sistemas existentes pueden forzarse excesivamente hasta el punto de que Los controles se averían; cuando se cambian Los procesos o se añade personal de oficina, Los supervisores existentes pueden ser incapaces de mantener control adecuado.
Tecnología nueva. Cuando se incorporan nuevas tecnologías en el proceso de producción o en Los sistemas de información, existe una alta probabilidad de que Los controles internos necesiten ser modificados. Las tecnologías justo-a-tiempo para manejo de inventarios de manufactura, por ejemplo, comúnmente requieren cambios en Los sistemas de costos y en Los controles relacionados para asegurar reporte de información significativa.
Líneas, productos, actividades nuevas. Cuando una entidad incorpora nuevas Líneas de negocios o realiza transacciones con Las cuales no esta familiarizada, Los controles existentes pueden no ser adecuados. Las organizaciones de ventas y prestamos, por ejemplo que se arriesgan en inversiones y prestamos en Los cuales tienen poca o no experiencia previa, centrándose en como controlar Los riesgos implicados.
Reestructuración corporativa. Las reestructuraciones resultantes, por ejemplo, de una compra apalancada, o de declinaciones significativas de negocios o de programas de reducción de costos pueden estar acompañadas de reducciones de personal e inadecuadas supervisión y segregación de funciones. O, fin trabajo que desempeña una función clave de control puede ser eliminado sin compensar Los controles en su lugar. Un número de compañías aprendió muy tarde que ellos hicieron recortes de personal rápidos y en gran escala sin consideraciones adecuadas de Las serias implicaciones de control.
. Operaciones en el extranjero. La expansión o la adquisición de operaciones en el extranjero acarrean riesgos nuevos a menudo, Los cuales debe orientar la administración. Por ejemplo, el ambiente de control es apropiado para ser dirigido por la cultura y Las costumbres de la administración local. También, Los riesgos del negocio pueden derivar de factores singulares para la economía local y para el ambiente regulador. O, Los canales de comunicación y Los sistemas de información pueden no estar bien establecidos y disponibles para todos Los individuos.
Mecanismos.
Deben existir mecanismos para identificar Los cambios que se deban realizar o que ocurrirán, en cualquier suposición o condición material. Esos mecanismos no necesitan elaborarse, y usualmente son más informales en Las empresas pequeñas.
Los administradores-propietarios de una compañía pequeña que fabrica maquinas de tamiz de seda, se refine con Los jefes de ventas, finanzas, compras, manufactura e ingeniería. Durante el curso de una reunión de media hora, orientan tecnologías, acciones de Los competidores y nuevas demandas de Los clientes. Se analizan Los riesgos y Las oportunidades, liderando inmediatamente Los planes de acción para cada actividad. La implementación comienza inmediatamente, y Los administradores-propietarios continúan con visitas durante semanas y meses para cada actividad a fin de ver de primera mano la manera como se esta procediendo en la implementación, y si Los cambios en el mercado se están orientando adecuadamente.
Mirada progresista
Para la extensión practicable, Los mecanismos deben tener mirada progresista, a fin de que una entidad pueda anticipar y planear para Los cambios significativos. Deben implantarse sistemas progresistas para identificar Los riesgos nuevos. Un banco comercial, por ejemplo, emplea fin consejo de riesgos multidisciplinario para analizar productos nuevos en términos de sus riesgos para el banco. Esos bancos que identifican Las necesidades emergentes de Los clientes requieren de horas, luego del trabajo bancario y una creciente receptividad de Los clientes mediante sistemas de computación interactivos que sean capaces de expandir significativamente sus mercados bancarios de consumo mediante la instalación y mercadeo efectivo do redes de maquinas de cajeros automáticos de fácil acceso al usuario.
Naturalmente, el último que cambia afecta Los riesgos y oportunidades, la mejor de Las probabilidades es que se tomen Las acciones para tratar efectivamente con ellos.
Sin embargo, como ocurre con otros mecanismos de control, no se pueden ignorar los costos relacionados. Ninguna entidad tiene suficientes recursos para obtener y analizar completamente la información sobre toda la cantidad de condiciones que la afectan. Además, puesto que ninguna posee una bola de cristal que le prediga adecuadamente el futuro, aunque tengan la información relevante mas actualizada, ello no es garantía de que sucesos o implicaciones futuras puedan ser pronosticados correctamente. A menudo es difícil conocer si una información aparentemente significativa es el comienzo de una tendencia importante, o solamente una aberración.
De acuerdo con ello, deben implantarse mecanismos razonables para anticiparse a los cambios que puedan afectar la entidad, ayudando a eludir los problemas que to impiden y tomando ventaja de las próximas oportunidades. Nadie puede predecir el futuro con certeza, lo mejor es que una entidad pueda anticiparse a los cambios y a sus efectos; solamente lo harán los pocos que se preparan para no dejarse dar sorpresas desagradables.
APLICACIÓN A ENTIDADES PEQUEÑAS Y MEDIANAS
El proceso de valoración de riesgos es probablemente menos formal y menos estructurado en las entidades pequeñas que en las grandes, pero los conceptos básicos de este componente del control interno deben estar presentes en cualquier entidad, independiente del tamaño. Una entidad pequeña debe tener objetivos establecidos, si bien ellos pueden ser implícita más que explícitamente establecidos. Puesto que las entidades pequeñas usualmente están más centralizadas y tienen pocos niveles de autoridad, los objetivos pueden ser fácil y efectivamente comunicados mas directamente o sobre una base continúa a los niveles bajos de la administración. Similarmente, los vínculos entre los objetivos globales de la entidad con los objetivos de actividad son usualmente claros y directos.
El proceso de identificar y analizar los riesgos que puedan entorpecer la consecución de los objetivos dependerá a menudo de la información recibida por la alta administración de parte de empleados y extraños. Un administrador-propietario puede aprender sobre riesgos provenientes de factores externos mediante el contacto directo con clientes, proveedores, banqueros, abogados, auditor interno y otros extraños de la entidad. El CEO puede familiarizarse con los riesgos provenientes de factores internos mediante el contacto directo con todos los niveles de personal. La valoración de riesgos en una entidad pequeña puede ser particularmente efectiva a causa de la compenetración en profundidad del CEO y otros administradores claves lo cual, a menudo, significa que los riesgos son valorados por gente que tiene acceso a la información apropiada y además buen entendimiento de sus implicaciones.
I', normales, de cada día, así como de aquellos que resultan de las circunstancias menos comunes, de las condiciones sustancialmente cambiadas (tales como nuevas regulaciones, una declinación económica en la actividad de negocios o expansión de la línea de productos), puede ser altamente informal así como efectiva. Las mismas reuniones informales entre el CEO y los jefes de departamento y otras partes externas que proveen de información útil en la identificación de los riesgos puede también proporcionar el foro para analizarlos y tomar las decisiones sobre cómo deben ser administrados tales riesgos. Los planes de acción pueden ser ideados rápidamente con un número limitado de gente. De manera similar, la implementación puede haberse inmediatamente que el CEO o los administradores claves visiten el departamento afectado o tomar con los clientes o proveedores aquellas medidas necesarias p para responder a ello. Es necesario asegurar que se tomen las acciones requeridas.
EVALUACIÓN
Un evaluador se centrara en el proceso administrativo para definición de objetivos, análisis de riesgos y administración del cambio, incluyendo sus vínculos y su relevancia con las actividades del negocio. Lo listado abajo son asuntos que un ' evaluador puede considerar. La lista no es completa, no todos los ítems se aplican a todos las entidades; puede, sin embargo, servir como punto de arranque.
Objetivos globales de la entidad
Extensión en la cual los objetivos globales de la entidad proveen declaraciones y orientaciones ampliamente suficientes sobre lo que la entidad desea conseguir, y si son lo suficientemente específicos como para relacionarse directamente con ella.
Efectividad con la cual los objetivos globales de la entidad son comunicados a los empleados y al consejo de directores.
Relación y consistencia de las estrategias con los objetivos globales de la entidad. Consistencia de los planes y presupuestos de negocio con los objetivos globales de la entidad, planes estratégicos y condiciones actuales.
Objetivos a nivel de actividad
Vínculo de los objetivos a nivel de actividad con los objetivos globales de la entidad y con los planes estratégicos.
Relevancia de los objetivos a nivel de actividad para con todo el proceso de negocios significativo.
Especificidad de los objetivos a nivel de actividad.
Conveniencia de los recursos relacionada con los objetivos.
Identificación de los objetivos importantes (factores críticos de éxito) para la consecución de los objetivos globales de la entidad.
Compromiso de todos los nivele, de la administración en la información anti Riesgos
Conveniencia de los mecanismos para identificar los riesgos provenientes de fuentes externas.
Conveniencia de los mecanismos para identificar los riesgos provenientes de fuentes internas.
Identificación de los riesgos significativos para cada objetivo importante a nivel de actividad.
Totalidad y relevancia del proceso de análisis de riesgos, incluyendo la estimación de los más significativos, la valoración de la probabilidad de su ocurrencia y la determinación de las acciones requeridas.
Manejo del cambio
Existencia de mecanismos para anticipar, identificar y reaccionar a los eventos o actividades rutinarias que afectan la consecución de los objetivos globales o de los objetivos a nivel de actividad de la entidad (implementados usualmente por los administradores responsables de las actividades que podrían ser afectadas por los cambios).
Existencia de mecanismos para identificar y reaccionar a los cambios que puedan tener efecto más dramático y penetrante sobre la entidad, y que puedan demandar la atención de la alta administración.
CAPITULO 4
ACTIVIDADES DE CONTROL
Resumen del capitulo:
Las actividades de control son los procedimientos que acuerdan a asegurar que se están llevando a cabo las directivas administrativas. Tales actividades ayudan a asegurar que se están tomando las acciones necesarias para manejar los riesgos hacia la consecución de los objetivos de la entidad. Las actividades de control se dan a todo lo largo y ancho de la organización, en todos los niveles y en todas las funciones. Incluyen un rango de actividades diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión del desempeño de operaciones, seguridad de activos y segregación de responsabilidades.
Las actividades de control son políticas y procedimientos, son acciones de las personas para implementar las políticas, para ayudar a asegurar que se están llevando a cabo las directivas administrativas identificadas como necesarias para manejar los riesgos. Las actividades de control se pueden dividir en tres categorías, basadas en la naturaleza de los objetivos de la entidad con los cuales se relaciona: operaciones, información financiera, o cumplimiento.
Si bien algunos controles se relacionan únicamente con un área, a menudo se sobreponen. Dependiendo de las circunstancias, una actividad particular de control puede ayudar a satisfacer los objetivos de la entidad en más de una de las tres categorías. Así, los controles de operaciones también pueden ayudar a asegurar información financiera confiable, los controles de información financiera pueden servir para efectuar cumplimiento, y así todos los demás.
Por ejemplo, el administrador de ventas de un distribuidor de partes, para conservar la participación en las ventas de ciertos productos y localizaciones geográficas, obtiene diariamente informes relámpago respecto de las cabeceras de distrito. Dado que el administrador de ventas relaciona esa información con las ventas registradas y las comisiones de la gente de ventas reportadas por el sistema contable, esa actividad de control se orienta a los objetivos relacionados tanto con las operaciones como con la información financiera. En una cadena de ventas al detal los créditos emitidos para las mercancías retomadas por los clientes son controlados mediante la secuencia numérica de los documentos y sumada para propósitos de información financiera. Esta suma también proporciona un análisis por producto para use de los administradores de mercancías en sus futuras decisiones de compra o para control de inventarios. En este caso, las actividades de control establecidas primariamente para información financiera también sirven a las operaciones.
Aunque esas categorías son útiles para la discusión sobre control interno, la categoría particular en la cual un control debe ubicarse no es tan importante como el papel que juega en la consecución de los objetivos de una entidad en particular. Tipos de actividades de control
Se han propuesto muchas descripciones diferentes de los distintos tipos de actividades de control, incluyendo controles preventivos, controles para detectar, controles manuales, controles computarizados y controles administrativos. Las actividades de control pueden ser descritas para objetivos de control especificados, tales como asegurar que el procesamiento de datos sea completo, exacto. Le siguen ciertas actividades de control comúnmente desempeñadas por personal en varios niveles en las organizaciones. Se presentan para ilustrar el rango y la variedad de actividades de control, no para sugerir una categorización particular.
Revisiones de alto nivel. Las revisiones se realizan sobre el desempeño actual frente a presupuestos, pronósticos, periodos anteriores y competidores. Las iniciativas principales se rastrean tales como arremetidas de mercadeo, mejoramiento de procesos de producción y programas para contener o reducir costos a fin de medir la extensión en la cual los objetivos están siendo logrados. La implementación de planes es monitoreada para el desarrollo, alianzas conjuntas con o sin financiación, de nuevos productos. Las acciones administrativas que se realizan y los consiguientes informes representan actividades de control.
Funciones directas o actividades administrativas. Los administradores dirigen las funciones o las actividades revisando informes de desempeño. Un administrador responsable por los créditos de consumo de un banco revisa los informes por sucursal, región y tigo de préstamo (colateral), verificando sumas e identificando tendencias, y relacionando resultados con estadísticas económicas y objetivos. A su turno, los administradores de sucursales reciben datos sobre nuevos negocios de parte de los ejecutivos de préstamos y segmentos de clientes locales. Los administradores de sucursales se centran solamente en el cumplimiento de hechos, por ejemplo, revisando los informes requeridos por los reguladores sobre depósitos nuevos bajo cantidades especificadas. Las conciliaciones se hacen entre los flujos de caja diario frente a las posiciones netas reportadas centralmente para transferencias e inversiones nocturnas.
Procesamiento de información. Se implementa una variedad de controles para verificar que estén completos y autorización de las transacciones. Los datos que ingresan están sujetos a chequeos o a cotejarse con los archivos de control. La orden de un cliente, por ejemplo, es aceptada solamente por referencia a un archivo de clientes aprobados y a un límite de crédito. Las secuencias numéricas de las transacciones son para dar razón de ello. Los archivos totales se comparan y concilian con los balances de prueba y con las cuentas de control. Las excepciones reciben seguimiento especial por parte de personal de oficina, y se informa a los supervisores cuando sea necesario. El desarrollo de sistemas nuevos y de cambios frente a los actuales es controlado, tanto en el acceso de datos, archivos y programas. Los controles sobre el procesamiento de información se discuten adelante.
Controles físicos. Equipos, inventarios, valores y otros activos se aseguran físicamente en forma periódica son contados y comparados con las cantidades presentadas en los registros de control.
Indicadores de desempeño. Relacionar unos con otros los diferentes conjuntos de datos -operacionales o financieros- , edemas de analizar las interrelaciones e investigar y corregir las acciones, sirven como actividades de control. Los indicadores de desempeño incluyen, por ejemplo, variaciones en los precios de compra, el porcentaje de órdenes que son pedidos urgentes y el porcentaje total de retorno de órdenes. Mediante la investigación de resultados inesperados o de tendencias poco usuales, los administradores identifican circunstancias en las que el desarrollo subyacente de los objetivos de actividad es peligroso o no esta siendo conseguido. Si los administradores usan esa información solamente para tomar decisiones de operación, o también lo hacen bajo resultados inesperados reportados por los sistemas de información financiera, determina si el análisis de los indicadores de desempeño sirve para propósitos operacionales o si, únicamente, para propósitos de control de información financiera.
Segregación de responsabilidades. Las responsabilidades se dividen, o segregan, entre diferentes empleados para reducir el riesgo de error o de acciones inapropiadas. Por ejemplo, las responsabilidades para autorización de transacciones, el registro de ellas y la manipulación de los activos relacionados, se dividen. Un administrador que autoriza créditos de ventas no debería ser responsable de mantener los registros de cuentas por cobrar o de manipular los recibos de caja. De manera similar, la gente de ventas no debería tener la capacidad de modificar los archivos de precios de producto o las tasas de comisiones.
Esos son solamente unos pocos entre una gran cantidad de procedimientos que cada día se aplican en las empresas y que sirven para forzar la adherencia a los planes de acción establecidos, y que mantienen a las entidades en la dirección adecuada hacia el cumplimiento de sus objetivos.
Políticas y procedimientos.
Las actividades de control usualmente implican dos elementos: el establecimiento de una política que pueda cumplirse y, sirviendo como base para el segundo elemento, procedimientos para llevar a cabo la política. Una política, por ejemplo, puede solicitar una revisión de las actividades de comercio con los clientes mediante valores negociados con el administrador de una sucursal. El procedimiento es la revisión misma, desempeñada de manera oportuna y con la atención prestada a factores establecidos en la política, tales como la naturaleza y el volumen de los valores negociados, y su relación con el valor neto y la edad del cliente.
Muchas veces las políticas se comunican oralmente. Las políticas no escritas pueden ser efectivas cuando corresponden a una práctica de largo tiempo de establecida y bien entendida, y en organizaciones pequeñas donde los canales de comunicación implican limitados estratos administrativos y una interacción y supervisión cerradas del personal. Pero analizando el asunto cuando la política esta escrita, ella debe implementarse completa, consciente y consistentemente. Un procedimiento no será útil si el mecanismo desempeñado no esta centrado en las condiciones bajo las cuales la política es dirigida.
Además, es esencial que las condiciones identificadas como resultado de los procedimientos sean investigadas y se tomen las acciones correctivas apropiadas. Las acciones consiguientes pueden variar de acuerdo con el tamaño y la estructura' organizacional de una empresa. Ellas pueden variar desde un proceso de información formal en una compañía grande -donde las unidades de negocios establecen que objetivos no se han cumplido y que acciones se están tomando para prevenir su recurrencia hasta un administrador propietario de un negocio que se reúne en el pasillo para hablar con el administrador de planta, para discutir que ocurrió fuertemente y que se requiere hacer.
INTEGRACIÓN CON LA VALORACIÓN DE RIESGOS
Junto con la valoración de riesgos, la administración debe identificar y poner en ejecución acciones requeridas para manejar los riesgos. Las acciones identificadas para manejar los riesgos también sirven como centro de atención sobre las actividades de control a poner en funcionamiento para ayudar a asegurar que las acciones se están realizando de manera adecuada y oportuna.
Por ejemplo, una compañía define como objetivo cumplir o exceder las metas de ventas. Los riesgos identificados incluyen tener conocimiento suficiente de las necesidades de los clientes actuales y potenciales. Las acciones de la administración para orientar los riesgos incluyen el establecimiento de historias de compras de los clientes existentes y comprender las iniciativas de investigación de los nuevos mercados. Esas acciones también sirven como puntos controles para el establecimiento de actividades de control.
Los objetivos de control son en buena parte integrantes del proceso mediante el cual una empresa se apoya para conseguir sus objetivos de negocios. Las actividades de control no se aplican por si mismas o porque se percibe que son lo recto o adecuado a realizar. En este ejemplo, la administración requiere dar los pasos para asegurar que ]as metas de venta se están cumpliendo. Las actividades de control sirven como mecanismo para administrar la consecución de ese objetivo. Tales actividades pueden incluir el seguimiento del progreso del desarrollo de las historias de compra de los clientes contra las tablas de tiempo establecidas, y los pasos para asegurar la exactitud de los datos reportados. En este sentido, el control se construye directamente sobre el proceso administrativo.
CONTROL SOBRE LOS SISTEMAS DE INFORMACIÓN
Dada la extendida confianza que se tiene en los sistemas de información, se necesitan controles sobre la totalidad de tales sistemas: financiero, cumplimiento y operacional, grandes y pequeñas.
La Mayoría de las entidades, incluyendo compañías pequeñas o unidades de las grandes, emplean computadores en el procesamiento de la información. De acuerdo con ello, la discusión siguiente esta centrada en los sistemas de información, los cuales incluyen elementos tanto manuales como computarizados. Para sistemas de información que son estrictamente manuales, pueden aplicarse controles diferentes; tales controles, aunque diferentes, se basaran en los mismos conceptos subyacentes de control.
Se pueden usar dos grandes grupos de actividades de control de sistemas de información. El primero, controles generales -los cuales se aplican a la mayoría, si no, a todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada. La segunda categoría son los controles de aplicación, los cuales incluyen pasos computarizados con la aplicación de software y manuales de procedimiento relacionados para controlar el procesamiento de varios tipos de transacciones. De la misma manera, esos controles sirven para asegurar que Sean completos, exactos y reflejar validez de la información financiera y otra en el sistema.
Esta terminología existe en diversas literaturas. Esos controles algunas veces se denominan controles generales computarizados, controles generales o controles de tecnología de la información. Aquí se emplea el término controles generales, por conveniencia.
Controles generales
Los controles generales incluyen comúnmente los controles sobre las operaciones del centro de datos, la adquisición y mantenimiento del software del sistema, las seguridades de acceso, y el desarrollo y mantenimiento de las aplicaciones del sistema. Esos controles aplican a todos los sistemas, mainframe, minicomputadores y ambientes de computación de usuario final.
Controles a las operaciones del centro de datos. Incluyen trabajos de implementación y rutina, acciones del operador, copias de seguridad y procedimientos de recuperación, así como planeación de contingencias o recuperación por desastres. En un ambiente sofisticado, esos controles también ayudan a manejar la capacidad de plantación y de asignación y use de recursos. En un ambiente de alta tecnología, el trabajo rutinario es automático y el lenguaje de control es en línea. Las herramientas de administración de almacenamiento cargan archivos de datos a alias velocidades anticipándose al siguiente trabajo. El cambio de supervisor no requiere inicializar la consola manualmente, porque no está impreso afuera; el asunto es mantenerse en el sistema. Cientos de mensajes relampaguean cada segundo en una consola consolidada que soporta múltiples mainframes. Los minicomputadores operan toda la noche, sin atenderlos.
Controles al software del sistema. Incluye controles sobre adquisición, implementación y mantenimiento efectivos del software del sistema -el sistema operativo, los sistemas de administración de bases de datos, el software de telecomunicaciones, el software de seguridad y las utilidades- los cuales operan el sistema y permiten que las aplicaciones funcionen. El director maestro de las actividades del sistema, el software del sistema, proporciona también las funciones de partición, seguimiento y monitoreo del sistema. El software del sistema puede informar sobre use de las utilidades, de manera tal que si alguien accesa el poder de las funciones de alterar datos, al menos su use es registrado e informado para revisión.
Controles de seguridad de acceso. Estos controles hall obtenido gran importancia en la medida en que las redes de telecomunicaciones hall crecido. Los usuarios del sistema pueden quedarse a mitad de camino alrededor del mundo o por debajo del pasillo. Los controles de seguridad de acceso efectivo pueden proteger el sistema, prevenir acceso inapropiado y el use no autorizado del sistema. Si esta bien diseñado, pueden interceptar personas expertas en obtener acceso ilegal a las informaciones de computadores, así como para interceptar otros violadores.
Las actividades de control de acceso adecuadas, tales como frecuentes cambios en los números de dial-up, o implementación de dial-back -donde el sistema llama a un usuario potencial en un numero autorizado, mas que accesando directamente al sistema- pueden ser métodos efectivos para prevenir acceso no autorizado. Los controles de seguridades de acceso restringen a los usuarios autorizados a solamente las aplicaciones o funciones de aplicación que ellos requieren para realizar sus trabajos, soportando una división de responsabilidades apropiada. Deben revisarse con frecuencia los perfiles de los usuarios a fin de permitir o restringir su acceso. Los empleados formados o descontentos pueden ser para el sistema mas amenaza que los Hackers; deben revocarse inmediatamente los password y las identificaciones de usuario para los empleados que se desvinculan. La integridad del sistema se protege previniendo el use no autorizado y los cambios al sistema.
Controles de desarrollo y mantenimiento de aplicaciones del sistema. El desarrollo y el mantenimiento de las aplicaciones de los sistemas hall sido tradicionalmente áreas altamente costosas para la mayoría de las organizaciones. Los costos totales para recursos de MIS, el tiempo requerido, ]as habilidades de la gente para desempeñar esas tareas, y el hardware y software requeridos, son todos considerables. Para controlar esos costos, muchas entidades tienen algunas formas de metodología de desarrollo de sistemas. Esta provee la estructura para diseño e implementación de sistemas, esbozando fases especificas, requerimientos de documentación, aprobaciones y chequeos para controlar el desarrollo o mantenimiento del proyecto. La metodología deberá proveer control apropiado sobre los cambios al sistema, lo cual puede implicar solicitudes de autorizaciones de cambio requeridas, revisión de los cambios, aprobaciones, prueba de resultados, y protocolos de implementación, para asegurar que los cambios se hacen adecuadamente.
Una alternativa para el desarrollo en la empresa es el use de paquetes de software, los cuales hall crecido en popularidad. Los vendedores proveen sistemas flexibles, integrados con las necesidades individuales mediante el use de opciones que hacen parte integral de la estructura. Muchos sistemas desarrollan metodologías orientadas a la adquisición de paquetes del vendedor como una alternativa al desarrollo e incluyen los pasos necesarios para proveer control sobre el proceso de selección e implementación.
Controles de aplicación
Como su nombre lo indica, los controles de aplicación están diseñados para controlar aplicaciones en proceso, ayudando a asegurar que el procesamiento sea completo y exacto, autorización y validación de las transacciones. Debe prestarse atención particular a las interfases de aplicación, puesto que ellas a menudo están vinculadas con otros sistemas que a su tumo necesitan control, para asegurar que todos los inputs se reciban para procesamiento y todos los outputs se distribuyan apropiadamente.
Una de las contribuciones más significativas que los computadores haven al control es su capacidad para prevenir errores de entrada al sistema, así como su detección, y corrección donde se encuentren. Para hacer esto, la mayoría de los controles de aplicación dependen de chequeos computarizados. Estos, se componen de formato, existencia, razonabilidad y otros chequeos sobre los datos que se incorporan en cada aplicación durante su desarrollo. Cuando esos chequeos se diseñan adecuadamente, pueden ayudar a proveer control sobre los datos que están siendo ingresados al sistema:
Relaciones entre controles generales y de aplicación
Esas dos categorías de control sobre los sistemas computarizados están interrelacionadas. Los controles generales se necesitan para asegurar el funcionamiento de los controles de aplicación que dependen de los procesos computarizados,
Por ejemplo, los controles de aplicación tales como apareamientos computarizados y edición de chequeos para análisis de datos son totalmente en linear Ellos proveen retroalimentación inmediata Cuando alguna cosa no encaja, o esta en el formato equivocado, a fin de que se puedan realizar las correcciones. Despliegan mensajes de error que indican que hay una equivocación en el dato, o producir reportes de excepción para su seguimiento subsecuente.
Si existen controles generales inadecuados, puede no ser posible depender de los` controles de aplicación, los cuales asumen que el sistema mismo funcionara adecuadamente, apareándose con el archivo correcto, o proporcionando un mensaje de error que exactamente refleje un problema, o incluyendo todas las excepciones en un informe de excepciones.
Otro ejemplo del balance requerido entre controles de aplicación y generales es un control total, a menudo empleado sobre cierto tipo de transacciones, implicando documentos prenumerados. Estos usualmente son documentos generados internamente, tales como órdenes de compra, donde se emplean formas prenumeradas. Los duplicados se debilitan o rechazan. Para efectuar esto como un control, dependiendo de su diseño, el sistema rechazara un ídem inapropiado o lo mantendrá en suspenso, mientras los usuarios consiguen un informe que liste todos los ítems perdidos, duplicados, o fuera de rango.
La respuesta esta en los controles generales. Los controles sobre el desarrollo de sistemas requieren revisiones completas y pruebas de las aplicaciones para asegurar que la lógica del programa de informes es sólida, y que ha sido probada para investigar que todas las excepciones se reportaron. Para establecer control después de la implementación de la aplicación, los controles sobre el acceso y el mantenimiento aseguran que tales aplicaciones no sean accesadas o cambiadas sin autorización pero que, si se requiere, se puedan pacer cambios autorizados. Los controles de operaciones del centro de datos y los controles del software del sistema aseguran que se usen y actualicen adecuadamente los archivos correctos.
La relación entre los controles de aplicación y los controles generales es tal que los controles generales son necesarios para soportar el funcionamiento de los controles de aplicación, y juntos son necesarios para asegurar el procesamiento completo y exacto de la información.
Desarrollo de resultados
Los resultados del control expresados, considerando el impacto de mochas tecnologías emergentes. Incluyen CASE (ingeniería de software asistida por computador), herramientas de desarrollo, prototipos para crear sistemas nuevos, procesamiento de imagen e intercambio electrónico de datos. Esas tecnologías afectaran la manera como se implementan los controles, sin modificar los requerimientos básicos de control.
Un ejemplo, es la computación de usuario final (EUC), que incrementa el poder de los microcomputadores y abarata los minicomputadores permitiendo la distribución de datos y el poder de computación. Los departamentos y las unidades de línea haven su propio procesamiento a bajo costo, a menudo soportados por redes independientes, en áreas locales. Son sistemas mantenidos por el usuario, mas que software desarrollados centralmente.
Para mantener el control necesario para los sistemas EUC, se implementan y se imponen políticas para desarrollo, mantenimiento y operación de sistemas. El ambiente de procesamiento local debe gobernarse por un nivel de actividades de control similar al ambiente de los más tradicionales.
Una tecnología emergente es la inteligencia artificial o sistemas expertos. En el futuro, así como muchos sistemas se integran en numerosas aplicaciones; si son desarrolladas por un departamento de procesamiento de datos o usuarios finales, o compradas- incluirán como decidir cuales aplicaciones se acomodan mejor, cuales herramientas usar y como controlar el desarrollo. Mucha gente siente que tales sistemas últimamente serán controlados de la misma manera como ahora lo es la computación de usuario final. Cuando EUC se estableció, se emitieron conceptos similares antes de establecer que controles debían implementarse a través de actividades de control apropiadas.
ESPECIFICO PARA LA ENTIDAD
Puesto que cada entidad tiene su propio conjunto de objetivos y su implementación de estrategias, existirán diferencias en la estructura de objetivos y en las actividades de control relacionadas. Aunque dos entidades tengan idénticos objetivos y estructuras, sus actividades de control serán diferentes. Cada entidad es manejada por gente diferente que usa juicios individuales en la aplicación del control interno. Además, los controles reflejan el ambiente y la industria donde opera una entidad, así como la complejidad de su organización, su historia y su cultura.
El ambiente en el cual opera una entidad afecta los riesgos a los que esta expuesta y puede presentar requerimientos de información externa únicos, o requerimientos especiales de tipo legal o regulador. Una industria química, por ejemplo, debe manejar mayores riesgos ambientales que aquellos que afronta una típica compañía de servicios, y debe considerar la disposición de desechos en las revelaciones de sus estados financieros.
La complejidad de una entidad, y la naturaleza y alcance de sus actividades, afecta sus programas de control. Las organizaciones complejas con mayor número de actividades pueden tener resultados de control mas difíciles que las organizaciones simples con menos variedad de actividades. Una entidad con operaciones descentralizadas y un énfasis en la autonomía local y en la innovación presenta diferentes circunstancias de control que una altamente centralizada. Otros factores que influyen en la complejidad de una entidad y, por consiguiente, la naturaleza de sus controles incluyen: localización y dispersión geográfica, extensión y sofisticación de sus operaciones, y los métodos de procesamiento de información.
Todos esos factores afectan las actividades de control de una entidad, ]as cuales deben diseñarse de manera tai que contribuyan a la consecución de sus objetivos.
APLICACIÓN A ENTIDADES PEQUEÑAS Y MEDIANAS
Los conceptos subyacentes a las actividades de control en las organizaciones pequeñas no son significativamente diferentes de aquellos en las entidades grandes, pero la formalidad con la cual operan variara. Además, las compañías pequeñas pueden encontrar que ciertos tipos de actividades de control no siempre son relevantes cuando los administradores aplican controles altamente efectivos a las entidades pequeñas o medianas.
Por ejemplo, el involucramiento directo del CEO y de otros administradores claves en un nuevo plan de mercadeo, y la retención de autoridad para ventas a crédito, compras significativas y eliminación de barreras para líneas de crédito, puede proporcionar fuerte control sobre esas actividades, aminorando a obviando la necesidad de actividades de control mas detalladas. El conocimiento directo de primera mano de las ventas a los clientes claves y la cuidadosa revisión de las razones importantes y de otros indicadores de desempeño puede sex útil al propósito de bajo nivel de actividades de control típicas de las compañías grandes.
Una segregación de responsabilidades inapropiada a menudo conlleva dificultades para las organizaciones pequeñas, al menos en la superficie. Aunque las compañías que tienen unos pocos empleados, sin embargo, usualmente pueden parcelar sus responsabilidades para obtener las verificaciones y los balances necesarios. Pero si no es posible -como puede ocasionalmente ser el caso una inadvertencia directa de las actividades incompatibles por los administradores propietarios puede proporcionar el control necesario. Por ejemplo, no es común, cuando existe un riesgo de pagos inapropiados de efectivo, para el administrador-propietario ser el único autorizado para firmar los cheques, o requerir que los extractor bancarios mensuales sean enviados directamente a e sin ser abiertos para revisar los cheques pagados.
Los controles sobre los sistemas de información, particular controles generales de computación y controles más específicos de seguridades de acceso, pueden presentar problemas en las entidades pequeñas y medianas. Ello es debido a la frecuente manera informal como tales actividades de control se implementan. Una vez más, una solución puede encontrarse a menudo en la mayor injerencia en la alta administración, típicamente encontrada en las organizaciones pequeñas. La seguridad razonable de que los errores materiales serán detectados, a menudo viene del use continuo por parte de la administración de la información generada por el sistema, y relacionando era información con el conocimiento directo de esas actividades, junto con la existencia de ciertos controles claves aplicados por otro personal.
EVALUACIÓN
Las actividades de control deben evaluarse en el contexto de las directivas administrativas para manejar los riesgos asociados con los objetivos establecidos para cada actividad significativa. Un evaluador por consiguiente considerara si las actividades de control se relacionan con el proceso de valoración de riesgos y si son apropiadas para asegurar que las directivas de la administración se están cumpliendo. Esto debe hacerse para cada actividad de negocios significativa, incluyendo los controles generales sobre los sistemas de información computarizados. (Estas serán cada una de las actividades identificadas en la evaluación de la valoración de riesgos; ver Capitulo 3). Un evaluador considerara no solamente si las actividades de control establecidas son relevantes para el proceso de valoración de riesgos, sino también si ellas están siendo aplicadas adecuadamente.
CAPITULO 5
INFORMACIÓN Y COMUNICACIÓN
| Página siguiente |