Resumen del capítulo. Debe identificarse, capturarse y comunicarse información pertinente en una forma v oportunidad que facilite a la gente cumplir sus responsabilidades. El sistema de información produce documentos que contienen información operacional, financiera y relacionada con el cumplimiento, la cual hace posible operar y controlar el negocio. Ella se relaciona no solamente con los datos generados internamente, sino también con la información sobre sucesos, actividades y condiciones externas necesarios para la tome de decisiones y la información externa de negocios. También debe darse una comunicación efectiva era un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la organización. Todo el personal debe recibir un mensaje claro por parte de la alta administración respecto a que las responsabilidades de control deben asumirse seriamente. Ellos deben entender su propio papel en el sistema de control interno, lo mismo que como estas actividades individuales se relacionan con el trabajo de los demás. Ellos deben tener un medio de comunicación de la información significativa en sentido contrario. Ellos también necesitan comunicación efectiva con las partes externas, tales corno clientes, proveedores, reguladores y accionistas.
Cada empresa debe capturar información pertinente, financiera y no financiera, relacionada con actividades y eventos tanto externos como internos. La información debe ser identificada por la administración como relevante para el manejo del negocio. Debe entregársele a la gente que la necesita, en una forma y oportunidad que le permita llevar a cabo su control y sus otras responsabilidades.
INFORMACIÓN
La información se requiere en todos los niveles de una organización para operar el negocio y moverlo hacia la consecución de los objetivos de la entidad en todas las categorías, operaciones, información financiera y cumplimiento. Se use un ordenamiento de la información. La información financiera, por ejemplo, se use no solamente para desarrollar estados financieros de difusión externa, también se emplea para decisiones de operación, tales como monitoreo del desempeño y asignación de recursos. Los reportes administrativos de mediciones monetarias y relacionadas permite el monitoreo, por ejemplo, de utilidades definidas, desempeño de cuentas por cobrar por tipo de cliente, participación en el mercado, tendencias en las reclamaciones de los clientes y estadísticas de accidentes. Las mediciones financieras sistemas confiables también son especiales para planeación, presupuestos, establecimiento de precios, evaluación del desempeño de vendedores, y de operaciones conjuntas y otras alianzas.
De igual manera, la información operacional es especial para el desarrollo de los estados financieras. Ello incluye lo rutinario –compras, ventas y otras transacciones o mismo que información sobre los competidores, liberación de productos o condiciones económicas, que pueden afectar las valuaciones de inventarios y de cuentas por cobrar. Puede necesitarse información operativa tal como emisiones de partículas aéreas o datos personales para adquirir objetivos tanto de cumplimiento como de información financiera. De la misma manera, la información desarrollada de fuentes tanto internas como externas, financieras como no-financieras, es relevante para todas las categorías de objetivos.
La información es identificada, capturada, procesada y reportada mediante sistemas de información. El termino sistemas de información frecuentemente es usado en el contexto del procesamiento de datos generados internamente, relacionados con las transacciones, tales como compras y ventas, y actividades de operación interna, tales como producción en proceso. Los sistemas de información -que pueden ser computarizados, manuales o combinación de ellos- ciertamente orientan todos esos asuntos. Pero, como se usa aquí, es un concepto mucho más amplio. Los sistemas de información también se relacionan con información sobre eventos, actividades y condiciones externas. Tal información incluye: datos económicos específicos del mercado o de la industria que señalan cambios en demanda por los productos o servicios de la compañía; datos sobre bienes y servicios que la entidad necesita para su proceso de producción; inteligencia de mercadeo sobre la evolución de las preferencias o demandas de los clientes; e información sobre actividades de desarrollo de los productos de los competidores e iniciativas legislativas o reguladoras.
Los sistemas de información operan algunas veces en un modo de monitoreo, realizando captura rutinaria de datos específicos. En otros casos, se realizan acciones especiales para obtener la información requerida. Considérese, por ejemplo, los sistemas que capturan información sobre la satisfacción de los clientes con los productos de la entidad. Los sistemas de información pueden identificar y reportar regularmente las ventas por producto y lugar, ganancias y pérdidas de los clientes, retornos y solicitudes de asignación, aplicaciones de las provisiones de garantía de productos y retroalimentación directa en la forma de quejas y otros comentarios. De otra manera, deben hacerse esfuerzos especiales de tiempo en tiempo para obtener información sobre los cambios en los requerimientos del mercado mirando las especificaciones técnicas del producto, o entregas de los clientes o servicios requeridos. Esta información puede obtenerse mediante cuestionarios, entrevistas, estudios de la demanda del mercado elaborados con base amplia o grupos de interés.
Los sistemas de información pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y empleados proveen a menudo de la información más crítica requerida para identificar riesgos y oportunidades. Desmanes similares, la asistencia a seminarios profesionales o industriales y la participación como miembros de asociaciones de comercio u otras pueden proporcionar información valiosa.
La conservación de información consistente con las necesidades se torna particularmente importante cuando una entidad opera frente a cambios industriales fundamentales, competidores altamente innovadores y que se mueven rápidamente o clientes significativos que demandan desplazamiento. Los sistemas de información deben cambiar de acuerdo con las necesidades para apoyar los nuevos objetivos de la entidad relacionados, por ejemplo, con reducir el ciclo de tiempo para ofrecer los productos al mercado, el outsourcing de ciertas funciones y los cambios en la fuerza de trabajo. En tales ambientes es de especial necesidad diferenciar las mediciones que sirven como indicadores de advertencia temprana de aquellos que provienen estrictamente de los datos contables históricos. Ambos son importantes, y los últimos, cuando se usan efectivamente, pueden proporcionar señales de advertencia. Pero para ser efectivos, los sistemas de información deben no solamente identificar y capturar la información financiera y no financiera requerida, sino también procesar y reportar en una franja de tiempo y de manera tal que sean útiles para controlar las actividades de la entidad.
Sistemas estratégicos e integrados
Los sistemas de información a menudo son parte integral de las actividades operacionales. Ellos no solamente capturan la información necesaria en la toma de decisiones para controlar, como se discutió antes, sino que también son crecientemente diseñados para llevar a cabo las iniciativas estratégicas. Un estudio emitido recientemente se indica que el cambio administrativo más importante en los 1990s es integrar la planeación, el diseño y la implementación de sistemas con la estrategia global de la organización.
La práctica de subcontratar trabajos de manufactura a agentes externos o compañías no vinculadas. Tiene como uno de sus objetivos principales proporcionar información sobre sistemas de información y actividades de control relacionadas.
Sistemas de apoyo a las iniciativas estratégicas. El use estratégico de los sistemas de información ha significado éxito para muchas organizaciones. Los primeros ejemplos de tal use incluyen el sistema de reservas de una aerolínea que permite a los agentes de viaje acceso fácil a la información de vuelos y registro de ellos. Otro ejemplo citado a menudo es el proveedor de hospital que da acceso en línea a su sistema directamente con los hospitales, creando una ventaja competitiva amplia puesto que ellos pueden hacer las órdenes desde su sitio vía terminal. Esos ejemplos, y otros, muestran que los sistemas permiten la diferencia en la consecución de la ventaja competitiva.
Como el mundo de los negocios aprendió como usar los nuevos sistemas que dan mejor información, la mayoría de las organizaciones siguen el rastro de sus productos en sus áreas de ventas, y si a líneas particulares les esta yendo mejor que a otras. El use de tecnología ayuda a responder de mejor manera a las crecientes tendencias del mercado, de manera tal que los sistemas se usan para apoyar estrategias de negocios proactivas más que reactivas.
Integración con las operaciones. El use estratégico de los sistemas demuestra el cambio que ha ocurrido desde los sistemas únicamente financieros a los sistemas integrados en ]as operaciones de una entidad. Esos sistemas ayudan a controlar el proceso de los negocios, siguiendo y registrando transacciones en una base de tiempo real, incluyendo a menudo muchas de las operaciones de la organización en un ambiente de sistemas integrado, complejo.
En operaciones de manufactura. Los sistemas de información apoyan todas las fases de producción. Se usan para pruebas de aceptación y recepción de material primas, selección y combinación de componentes, control de calidad sobre productos terminados, actualización de inventarios y de registros de clientes y distribución de productos terminados. En muchos ambientes, esos pasos se encuentran ligados mediante sistemas de control de procesos y robots en una extensión tal que sólo unas pocas manos tienen contacto con el producto.
El efecto de los sistemas integrados de operaciones es dramático, como puede verse en el sistema de inventarios justo a tiempo (JIT). Las compañías que emplean JIT conservan inventarios mínimos a mano, reduciendo considerablemente sus costos. Los sistemas mismos ordenan y programan automáticamente el arribo de materias primas, generalmente mediante el use de EDI (intercambio electrónico de datos). Las organizaciones que usan JIT dependen de sus sistemas para cumplir los objetivos de producción, puesto que ese monitoreo cerrado sería imposible sin ellos.
La mayoría de los sistemas de producción mas nuevos están altamente integrados con otros sistemas organizacionales y pueden incluir los sistemas financieros de la organización. Los datos financieros y los registros contables se actualizan automáticamente cuando los sistemas desempeñan otras aplicaciones.
Existe un ejemplo de cómo pueden trabajar tales sistemas: las compañías de seguros de hoy, demandan poder estar enlazadas en línea. Los ajustadores" expresan sus dudas al sistema sobre los límites de un tipo particular de reclamación, verifican si un reclamante esta asegurado e imprimen un cheque por la reclamación. Al mismo tiempo, actualizan el archivo de reclamos, las estadísticas de reclamos y otros archivos relacionados. En contraste con un sistema no integrado en el cual cada reclamación es procesada separadamente con cada aplicación o sub-sistema. El sistema integrado ayuda a controlar las operaciones, puesto que las liquidaciones en línea son rápidas, más eficientes y mas efectivas que el viejo método basado en papel. El produce información financiera, y puede responder preguntas como: Cuantas reclamaciones se pagaron durante este periodo? ¿Cuánto se pagó? También facilita el cumplimiento con requerimientos reguladores mediante preguntas como: ¿las reclamaciones procesadas se cubren y se pagan oportunamente? ¿Son adecuadas las reservas para perdidas?
Tecnologías coexistentes. A pesar de los cambios de búsqueda con la revolución en la tecnología de sistemas de información, es un error asumir que los sistemas más nuevos proporcionan mejor control precisamente porque son nuevos. De hecho, lo opuesto a ello puede ser cierto. Los sistemas viejos hall sido probados y comprobados mediante su use y proporcionan lo que se requiere. El proceso es tal que los sistemas de una organización a menudo implican adaptar tales requerimientos, y se convierten en una amalgama de muchas tecnologías.
La adquisición de tecnología es un aspecto importante de la estrategia corporativa, y las selecciones relacionadas con la tecnología pueden ser factores críticos en la consecución de objetivos de crecimiento. Las decisiones sobre su selección e implementación dependen de muchos factores. Estos incluyen objetivos organizacionales, necesidades del mercado, requerimientos competitivos y, de manera muy importante, cómo los nuevos sistemas ayudaran a realizar el control, y a su turno deben ser sujetos de los controlas necesarios, para promover la consecución de los objetivos de la entidad.
Calidad de la información
La calidad de la información generada por sistemas afecta la habilidad de la gerencia para tomar decisiones apropiadas para la administración y el control de las actividades de la entidad. Los sistemas modernos proporcionan a menudo habilidad para preguntar en línea, de manera tal que está disponible información fresca para las respuestas.
Es crítico que los reportes contengan datos apropiados suficientes para soportar un control efectivo. La calidad de esta información incluye indagar si:
Contenido apropiado. ¿Se necesita la información contenida en el?
Información oportuna. ¿Está disponible cuando es requerida?
Información actual. ¿Está disponible la más reciente?
Información exacta. Los datos son correctos?
Información accesible. ¿Pueden obtenerse fácilmente por las partes apropiadas? Todas esas preguntas deben hacerse en el momento de diseñar el sistema. Si no, es probable que este no proveerá la información que requieren los administradores y otro personal.
Dado que tener la información correcta, a tiempo, en el lugar correcto, es esencial para efectuar el control, los sistemas de información, puesto que ellos mismos son un componente del sistema de control interno, también deben controlarse. La calidad de la información puede depender del funcionamiento de las actividades de control.
COMUNICACIÓN
La comunicación es inherente a los sistemas de información. Como se discutió atrás, los sistemas de información pueden proporcionar información al personal apropiado a fin de que ellos puedan cumplir sus responsabilidades de operación, información financiera y de cumplimiento. Pero las comunicaciones también deben darse en un sentido amplio, relacionándose con las expectativas, las responsabilidades de los individuos y de los grupos, y otros asuntos importantes.
Interna
Además de recibir datos relevantes para administrar sus actividades, todo el personal, particularmente aquel que tiene importantes responsabilidades de administración operativa o financiera, necesita recibir un mensaje claro de parte de la alta administración respecto de que las responsabilidades de control interno deben tomarse seriamente. Tanto la claridad del mensaje como la efectividad con la cual es comunicado, son importantes.
Además, las responsabilidades específicas deben definirse claramente. Cada individuo necesita entender lo s aspectos relevantes del sistema de control interno, como trabaja y cuál es su papel y su responsabilidad en el sistema. Sin ese entendimiento, los problemas aparecerán fácilmente. En una compañía, por ejemplo, los jefes de unidad son requeridos para firmar un reporte mensual afirmando que se han realizado las conciliaciones especificadas. Cada mes, los reportes fueron firmados y presentados. Luego, sin embargo, después de que fueron descubiertos problemas serios, se conoció que los dos últimos jefes de unidad no conocían lo que realmente se esperaba de ellos. Uno consideraba que la conciliación estaba completa cuando la cantidad de la diferencia entre dos figuras era simplemente identificada. Otro tomaba el proceso de conciliación solamente un paso adicional, considerando que su objetivo estaba satisfecho cuando cada ítem de la conciliación individual era identificado. De hecho, el proceso intentado no se completo sino hasta cuando se expresaron las diferentes razones y se tomaron las acciones correctivas necesarias.
En el desempeño de sus responsabilidades, el personal debe saber que si ocurren eventos inesperados, debe prestarse atención no solamente al evento mismo, sino también a su causa. De esta manera, puede identificarse una debilidad potencial en el sistema y tomarse las acciones necesarias para prevenir su recurrencia. Por ejemplo, el hallazgo de un inventario invendible debe originar no solamente un registro apropiado en los informes financieros, sino también en una determinación en primer lugar de por que los inventarios se tomaron invendibles.
La gente también necesita conocer como sus actividades se relacionan con el trabajo de otros. Este conocimiento es necesario para reconocer un problema o para determinar su causa y sus acciones correctivas, necesita conocer que comportamiento es esperado, o aceptable, y cuál es inaceptable. Han existido instancias de información financiera fraudulenta en las cuales los administradores, bajo presiones para cumplir presupuestos, adulteran resultados de operaciones. En algunas de tales instancias, ninguno le expreso a los individuos que tales informes adulterados podían ser ilegales o de alguna manera inapropiados. Esto subraya la naturaleza crítica de la manera como se comunican los mensajes en una organización. Un administrador que instruye a sus subordinados diciéndoles, cumpla el presupuesto. No me importa como to haga, solamente hágalo, puede enviar inadvertidamente un mensaje incorrecto.
El personal también necesita tener medios para comunicar información significativa hacia arriba, en una organización. Los empleados que atienden directamente a los clientes y que se relacionan con asuntos de operación crítica, a menudo se encuentran en la mejor posición para reconocer los problemas que ellos enfrentan. Los representantes de ventas o los ejecutivos de cuenta pueden aprender de los clientes importantes sobre las necesidades de diseño de productos. El personal de producción puede estar enterado de las deficiencias del proceso de costeo. El personal de compras puede enfrentarse a incentivos impropios de parte de los proveedores. Los empleados del departamento de contabilidad pueden aprender respecto de estados exagerados de ventas o inventario, o identificar instancias en las cuales los recursos de la entidad se usaron para beneficio personal.
Para que tal información sea reportada hacia arriba, deben existir canales abiertos de comunicación, así como una abierta buena voluntad para escuchar. La gente necesita confiar en lo que sus superiores realmente esperan conocer respecto de sus problemas para de era manera relacionarse con ellos efectivamente. La mayoría de los administradores reconocen intelectualmente que ellos debieran ponerse los zapatos del mensajero. Pero cuando son absorbidos por las presiones de cada día, pueden tornarse no-receptivos frente a la gente que les trae problemas reales. Los empleados están prestos a recoger las señales habladas o no-habladas respecto a que sus superiores no tienen el tiempo o el interés para tratar los problemas que ellos han descubierto. Combinando tales problemas, el administrador que no es receptivo a la información perturbadora, corrientemente es el último en saber que los canales de comunicación han sido efectivamente cerrados.
En la mayoría de los casos, las líneas normales de información en una organización son los canales apropiados de comunicación. En Algunas circunstancias, sin embargo, se necesitan líneas de comunicación separadas que sirvan de mecanismo salva-guardia en caso de que los canales normales sean inoperativos. Algunas compañías proporcionan un canal directo con el ejecutivo principal, el auditor interno jefe o el consejero legal de la entidad. El director ejecutivo de una compañía se hace a sí mismo disponible una tarde a la semana, y hace conocer bien que las visitas de los empleados sobre un tema son realmente bienvenidas. Otro ejecutivo principal visita periódicamente los empleados en la planta, fomentando una atmósfera en la que la gente puede comunicar problemas e intereses. Sin canales de comunicación abiertos y una buena voluntad para escuchar, puede bloquearse el flujo de información hacia arriba en una organización.
En todos los casos, es importante que el personal entienda que no habrá represalias para el reporte de información relevante. Como se anoto en el Capitulo 2, se envía un mensaje claro con la existencia de mecanismos que fomenten en los emplea dos el reporte de violaciones sospechosas al código de conducta de una entidad, y el tratamiento a los empleados que realizan tales reportes. Mucho se ha escrito respecto a la deseable protección a los silbidos de soplones, mar frecuentemente en el contexto de empleados gubernamentales. Algunas comentaristas se oponen con expresiones de interesarse respecto de entidades que comienzan a atascar tratando con aserciones infundadas de empleados resentidos.
Ciertamente, debe haber un equilibrio en todo ello. Es importante que la administración comunique los mensajes correctos y proporcione vehículos razonables para legitimar la información que fluye hacia arriba.
Las comunicaciones entre la administración y el consejo de directores y sus comités, son críticas. La administración debe mantener actualizado al consejo respecto del desempeño, desarrollos, riesgos, principales iniciativas, y cualesquier otros eventos u ocurrencias que Sean relevantes. La mejor de las comunicaciones dirigidas al consejo, la mar efectiva de todos, es advertir el incumplimiento de sus responsabilidades, y de su actuación como consejo de auscultamiento sobre los asuntos críticos y en el proporcionar advertencia y consejo. De la misma manera, el consejo debe comunicar a la administración cual es la información que necesita, y proporcionarle dirección y retroalimentación.
Externa
Existe necesidad de comunicación apropiada no solamente con la entidad, sino hacia el exterior. Mediante canales de comunicación abiertos, los clientes y proveedores pueden proporcionar datos de entrada altamente significativos respecto del diseño o calidad de los productos o servicios, facilitando a la entidad orientarse al desarrollo de las demandas o preferencias de los clientes. También, cualquiera que se relacione con la entidad debe reconocer que las acciones impropias, tales como retornos a otros pagos impropios, no se toleraran. Las compañías se deben comunicar directamente con los vendedores, por ejemplo, mirando como la compañía espera actúen los empleados de los vendedores para actuar de acuerdo con ello.
Las comunicaciones recibidas de las partes externas con frecuencia proporcionan información importante sobre el funcionamiento del sistema de control interno. El entendimiento que los auditores externos tienen respecto de las operaciones de una entidad y los sucesos y sistemas de control de los negocios relacionados le proporcionan a la administración y al consejo importante información de control.
Reguladores tales como la banca estatal o ]as autoridades aseguradoras, reportan los resultados de las revisiones o exámenes de cumplimiento que puedan aclarar las debilidades de control. Los reclamos o preguntas sobre embarque, recepción, facturación a otras actividades, a menudo identifican problemas de operación. Ellos deberían recibirse por personal independiente del que realiza la transacción original. El personal debe estar dispuesto a reconocer las implicaciones de tales circunstancias, e investigar y tomar las acciones correctivas necesarias.
Las comunicaciones dirigidas a accionistas, reguladores, analistas financieros y otras partes externas deberán proporcionar información relevante para sus necesidades, a fin de que ellos puedan entender fácilmente las circunstancias y los riesgos que enfrenta la entidad. Tales comunicaciones deben ser comprensibles, deben proveer información pertinente y oportuna y, por supuesto, estar de acuerdo con los requerimientos legales y reguladores.
Las comunicaciones de la administración dirigidas a panes externas ya sean abiertas y venideras y serias en su continuidad o de otra manera también envían mensajes internamente a través de la organización.
Medios de comunicación
La comunicación adopta formas tales como manuales de políticas, memorandos, boletín de noticias del consejo y mensajes en videocinta. Cuando los mensajes se transmiten oralmente -en grupos grandes, pequeñas reuniones o sesiones uno a uno el tono de la voz y el lenguaje corporal sirven para enfatizar lo que se esta' diciendo.
Otro medio poderoso de comunicación es la acción que toma la administración en el tanto con los subordinados. Los administradores deben recordarse a si mismos, las acciones hablan más fuertemente que las palabras. Sus acciones están, a su vez, influenciadas por la historia y la cultura de la entidad, basándose en las observaciones pasadas de como sus superiores se relacionaron en situaciones similares.
Una entidad con una larga y rica historia de operar con integridad, y cuya cultura esta' bien entendida por la gente a todo lo largo de la operación, seguramente encontrará pocas dificultades para comunicar su mensaje. Una entidad sin tal tradición requerirá mayor esfuerzo en la manera como se comunicar los mensajes.
APLICACIÓN A ENTIDADES PEQUEÑAS Y MEDIANAS
Los sistemas de información en las organizaciones pequeñas son ciertamente menos formales que en las grandes organizaciones, pero su papel es justamente significativo. Con la tecnología de computación y de información actual, los datos generados internamente se pueden procesar efectiva y eficientemente en la mayoría de las organizaciones, considerando su tamaño. Los sistemas de información en las entidades pequeñas típicamente también identificaran y reportarán sobre eventos, actividades y condiciones externas relevantes, pero su efectividad usualmente es afectada significativamente por y dependiente de la habilidad de la alta administración para monitorear los eventos externos. Las discusiones realizadas por un administrado r propietario u otro personal administrativo con los clientes y proveedores claves, por ejemplo, puede ser una fuente importante de información sobre el desarrollo de las preferencias de los clientes o para suministrar los recursos necesarios para monitorear las condiciones cambiantes y los riesgos relacionados.
La comunicación interna efectiva entre la alta administración y los empleados puede ser bien fácil de conseguir en una compañía pequeña o mediana, más que en una empresa grande, a causa del pequeño tamaño de la organización y de sus pocos niveles, así como de la gran visibilidad y disponibilidad del CEO. En efecto, la comunicación interna ocurre mediante las reuniones diarias y las actividades en las cuales el CEO y los administradores claves participan. Sin los canales de comunicación formal que se encuentran típicamente en las grandes empresas, las entidades pequeñas encuentran que los más frecuentes contactos día a día realizadas con una política de puertas abiertas por parte de los ejecutivos principales, proporcionar comunicación efectiva. Y un las acciones hablan más fuertemente que las palabras puede ser un medio de comunicación importante -tanto interna como externamente- en una organización pequeña, puesto que los altos ejecutivos interactúan directamente en gran proporción con los empleados, clientes y proveedores de la entidad.
EVALUACIÓN
Un evaluador considerara la conveniencia de los sistemas de información y comunicación para las necesidades de la entidad. Los asuntos listados abajo son algunos de los que puede considerar. La lista no es completa, cada ítem no necesariamente se aplicara a cada entidad; puede, sin embargo, servir como un punto de arranque.
Información
Obtención de información externa e interna, y suministro a la administración de los reportes necesarios sobre el desempeño de la entidad relativo a los objetivos establecidos.
Proporcionar información correcta a la gente con detalle suficiente y de manera oportuna que les permita cumplir eficiente y efectivamente sus responsabilidades.
Desarrollo o revisión de sistemas de información basados en un plan estratégico para sistemas de información enlazado con la estrategia global de la entidad- y sensible a la consecución de los objetivos globales de la entidad y a los objetivos de nivel de actividad.
Apoyo de la administración para el desarrollo de los sistemas de información necesarios, el cual es demostrado por la asignación de recursos apropiados, humanos y financieros.
Comunicación
Efectividad con la cual se comunican los deberes de los empleados y las responsa
Habilidades de control.
Establecimiento de canales de comunicación para que la gente reporte asuntos indeseables sospechados.
Receptividad por parte de la administración frente a las sugerencias de los empleados respecto de maneras de aumentar la productividad, la calidad u otros mejoramientos similares.
Suficiencia de la comunicación a lo largo de la organización (por ejemplo, entre actividades de obtención y producción) y la totalidad y oportunidad de la información y su suficiencia para permitir que la gente se descargue efectivamente de sus responsabilidades.
Apertura y efectividad de los canales con clientes, proveedores y otras partes externas para comunicación de información sobre las cambiantes necesidades de los
Clientes.
Extensión en la cual las partes externas han tenido conciencia de los estándares éticos de la entidad.
Oportunidad y propiedad de las acciones hacia arriba, por parte de los administradores, derivadas de las comunicaciones recibidas de clientes, vendedores, reguladores u otras partes externas.
CAPITULO 6
MONITOREO
Resumen del capitulo. Los sistemas de control interno requieren que sean monitoreados, un proceso que valora la calidad del desempeño del sistema en el tiempo. Ello es realizado mediante acciones de monitoreo ongoing, evaluaciones separadas o una combinación de las dos. el monitoreo ongoing ocurre en el curso de las operaciones. Incluye las actividades regulares de administración y supervisión, así como otras acciones personales tomadas en el desempeño de sus obligaciones. El alcance y la frecuencia de las evaluaciones separadas dependerá primariamente de la valoración de riesgos y de la efectividad de los procedimientos de monitoreo ongoing. Las deficiencias del control interno deben reportarse hacia arriba, informando los asuntos delicados a la gerencia, a la junta directiva.
Los sistemas de control interno cambian con el tiempo. La manera como se aplican los controles tiene que evolucionar. Debido a que los procedimientos pueden tornarse menos efectivos, o quizás no se desempeñen ampliamente. Ello puede ocurrir a causa de la llegada de personal nuevo, la variación de la efectividad del entrenamiento y la supervisión, la reducción de tiempo y recursos u otras presiones adicionales. Además, las circunstancias para las cuales se diseño el sistema de control interno pueden también cambiar, originando que se llegue a ser menos capaces de anticiparse a los riesgos originados por las nuevas condiciones. Por consiguiente, la administración necesita determinar si el sistema de control interno continúa siendo relevante y capaz de manejar los nuevos riesgos.
El monitoreo asegura que el control interno continua operando efectivamente. Este proceso implica la valoración, por parte del personal apropiado, del diseño y de la operación de los controles en una adecuada base de tiempo, y realizando las acciones necesarias. Se aplica para todas las actividades en una organización, lo mismo que algunas veces para contratistas externos. El monitoreo puede hacerse de dos maneras: mediante actividades ongoing o mediante evaluaciones separadas. Los sistemas de control interno usualmente se estructuraran para monitorearse a si mismos sobre una base ongoing en algún grado. A mayor grado de efectividad del monitoreo ongoing, se necesitan menos evaluaciones separadas. La frecuencia de las evaluaciones separadas necesarias para que la administración tenga una seguridad razonable respecto de la efectividad del sistema de control interno es asunto del juicio de la administración. Para tomar una determinación, deben hacerse las siguientes consideraciones: la naturaleza y el grado de los cambios que ocurren y sus riesgos asociados, la competencia y la experiencia de la gente en la implementación de los controles, lo mismo que los resultados del monitoreo ongoing. Usualmente, alguna combinación de monitoreo ongoing y evaluaciones separadas asegurara que el sistema de control interno mantenga su efectividad en el tiempo.
Debe reconocerse que los procedimientos de monitoreo ongoing se construyen en las actividades normales, repetitivas, de una entidad. Puesto que se desempeñan en una base de tiempo real, reaccionan dinámicamente a las condiciones cambiantes, y ; están integradas en la entidad, son mas efectivas que los procedimientos desempeñados en conexión con evaluaciones separadas. Dado que las evaluaciones separadas se realizan luego de los hechos, los problemas a menudo serán identificados mas rápidamente por las rutinas de monitoreo ongoing. Algunas empresas con sólidas actividades de monitoreo ongoing conducirán al menos a una evaluación separada de su sistema de control interno, o de parte del mismo, cada uno o dos anos. Una entidad que percibe una necesidad de evaluaciones separadas frecuentes deberá centrarse en las maneras de engrandecer sus actividades de monitoreo ongoing y, por consiguiente, enfatizar en controles de tipo construir en, versus controles, añadidos en.
ACTIVIDADES DE MONITOREO ONGOING
Son múltiples las actividades que sirven para monitorear la efectividad del control interno en el curso ordinario de las operaciones. Incluyen actos regulares de administración y supervisión, comparaciones, conciliaciones y otras acciones rutinarias.
Las siguientes son ejemplos de actividades de monitoreo ongoing:
En el desarrollo de las actividades regulares de administración, la gestión operativa obtiene evidencia de que el sistema de control interno continúa funcionando. Cuando los reportes de operación están integrados o se concilian con el sistema de información financiera y se usan para administrar operaciones en una base ongoing, las inexactitudes o excepciones significativas a los resultados anticipados es probable que sean detectadas fácilmente. Por ejemplo, administradores de ventas, compras y producción en niveles de división, subsidiaria y corporación se encuentran tratando con las operaciones y pueden cuestionar los informes que difieren significativamente de su conocimiento de las operaciones. La efectividad del sistema de control interno es aumentada mediante la información oportuna y completa y mediante la solución de esas excepciones.
Las comunicaciones recibidas de partes externas corroboran la información generada internamente o señalan problemas. Los clientes corroboran implícitamente los datos de facturación pagando sus facturas. Mediante el dialogo, los reclamos de los clientes respecto de la facturación pueden indicar deficiencias sistémicas en el procesamiento de las transacciones de ventas. De la misma manera, los reportes emitidos por los administradores de inversión respecto de ganancias, perdidas e ingresos de valores pueden corroborar o señalar problemas con tos registros de la entidad (o de los administradores). Una revisión de la compañía de seguros sobre las políticas y practicas de seguridad proporciona información sobre el funcionamiento de los controles, desde perspectivas de seguridad operacional como de cumplimiento, sirviendo de era manera como una técnica de monitoreo. Los reguladores también pueden comunicarse con la entidad respecto del cumplimiento u otros asuntos que se reflejan en el funcionamiento del sistema de control interno.
La estructura organizacional apropiada y las actividades de supervisión proporcionan una visión amplia de las funciones de control y de la identificación de deficiencias. Por ejemplo, las actividades de oficina sirven como un control sobre lo adecuado y completo que es el procesamiento de transacciones supervisado rutinariamente. De la misma manera, las obligaciones de los individuos que se dividen entre diferente gente sirven para comprobar uno con otro. Ello también sirve para prevenir el fraude de empleados puesto que inhibe la habilidad de un individuo para encubrir sus actividades sospechosas.
Los datos registrados mediante los sistemas de información se comparan con los activos fijos. Los inventarios de productos terminados, por ejemplo, se pueden examinar periódicamente. Los conteos se comparan con los registros contables, y se reportan las diferencias.
Los auditores internos y externos regularmente proporcionan información sobre la manera como los controles internos pueden fortalecerse. En muchas entidades, los auditores dedican considerable atención a evaluar el diseño de controles internos y a probar su efectividad. Se identifican las debilidades potenciales y se recomiendan a la administración acciones alternativas, acompañadas a menudo de información útil para realizar determinaciones de costo-beneficio. Los auditores internos o el personal que desempeña funciones similares de revisión pueden ser particularmente efectivos en el monitoreo de las actividades de una entidad.
Los seminarios de entrenamiento, las sesiones de planeación y otras reuniones proporcionan retroalimentación importante a la administración respecto de si los. controles son efectivos. Además de los problemas particulares que pueden señalar asuntos de control, la conciencia de control de los participantes a menudo se convierte en aparente.
Al personal se le pregunta periódicamente para establecer explícitamente si entiende y cumple con el código de conducta de la entidad. El personal de operación y financiero puede similarmente ser requerido para establecer si determinados procedimientos de controles, tales como conciliar cantidades especificadas, se está desempeñando regularmente. Tales estados pueden ser verificados por personal administrativo o de auditoria interna.
Puede verse que cada una de esas actividades de monitoreo ongoing orienta aspectos importantes de cada uno de los componentes del control interno.
EVALUACIONES SEPARADAS
Mientras que los procedimientos de monitoreo ongoing usualmente proporcionan retroalimentación importante sobre la efectividad de otros componentes de control, puede ser útil tomar de tiempo en tiempo una mirada fresca, centrada directamente en la efectividad del sistema. Ello también proporciona una oportunidad para considerar la continua efectividad de los procedimientos de monitoreo ongoing.
Alcance y frecuencia
Las evaluaciones del control interno varían en alcance y frecuencia, dependiendo del significado de los riesgos que están siendo controlados y de la importancia de los controles en la reducción de aquellos. Los controles que se orientan a riesgos de prioridad alta y a aquellos más críticos para reducir un riesgo dado, tenderán a ser evaluados más frecuentemente. La evaluación de un sistema de control interno completo que será necesitada con menos frecuencia que la valoración de controles específicos puede motivarse por diversas razones: estrategia principal o cambio administrativo, adquisiciones y disposiciones, o cambios significativos en las operaciones o en los métodos de procesamiento de información financiera. Cuando se toma una decisión para evaluar el sistema de control interno completo de una entidad, la atención se debe dirigir a cada uno de los componentes del control interno con respecto a todas las actividades significativas.
El alcance de la evaluación también dependerá de las tres categorías de objetivos operaciones, información financiera y cumplimiento a los cuales se está orientando.
¿Quién evalúa?
A menudo, las evaluaciones toman la forma de auto- valoraciones, en las que las personas responsables por una unidad o función particular determinan la efectividad de los controles para sus actividades. El director ejecutivo de una división, por ejemplo, puede dirigir la evaluación de su sistema de control interno. Puede personalmente valorar los factores del ambiente de control, y tener individuos a cargo de las actividades de operación de las distintas divisiones para determinar la efectividad de los otros componentes. Los administradores de línea pueden centrar su atención principalmente en los objetivos de operaciones y de cumplimiento, y el contralor de división puede centrarse en los objetivos de información financiera. Luego, todos los resultados estarán sujetos a la revisión del director ejecutivo. La valoración de la división será considerada por la administración corporativa, junto con las evaluaciones del control interno de las otras divisiones.
Los auditores internos normalmente realizan evaluaciones del control interno como parte de sus obligaciones regulares, o por petición especial del consejo de directores, la gerencia o los ejecutivos de subsidiarias o divisiones. De la misma manera, la administración puede usar el trabajo de los auditores externos para considerar la efectividad del control interno. Puede emplearse una combinación de esos esfuerzos para conducir cualquiera de los procedimientos de evaluación que la administración considere necesarios.
El proceso de evaluación
La evaluación del sistema de control interno es un procedimiento en si mismo. Puesto que las aproximaciones y las técnicas varían, deberá existir una disciplina en el proceso, así como ciertas bases inherentes a el.
El evaluador debe entender cada una de las actividades de la entidad y cada uno de los componentes del sistema de control interno que están siendo dirigidos. Puede ser útil centrarse primero en como operan las funciones significativas del sistema, generalmente referidas como diseño del sistema. Ello puede implicar discusiones con el personal de la entidad y revisión de la documentación existente.
El evaluador debe determinar como trabaja el sistema actualmente. Los procedimientos diseñados para operar de una manera particular pueden ser modificados en el tiempo para operar en forma diferente. O, pueden no operar ampliamente. Algunas veces se establecen controles nuevos pero no son conocidos por las personas que describieron el sistema y no están incluidos en la documentación disponible. Una determinación del actual funcionamiento del sistema puede acompañarse de discusiones conjuntas realizadas con el personal que desempeña o es afectado por los controles, examinando registros del desempeño de los controles o una combinación de procedimientos.
El evaluador debe analizar el diseño del sistema de control interno y los resultados de las pruebas aplicadas. El análisis debe conducirse frente a los criterios establecidos, con el objetivo último de determinar si el sistema provee seguridad razonable con respecto a los objetivos establecidos.
Metodología
Esta disponible una amplia variedad de metodologías y herramientas, incluyendo listas de verificación, cuestionarios y técnicas de diagramas de flujo. En la literatura de negocios y académica se presentan técnicas cuantitativas. También, se han presentado listas de objetivos de control, identificando los objetivos genéricos del control interno.
Como parte de su metodología de evaluación, algunas compañías comparan sus sistemas de control interno con los de otras entidades, referidos comúnmente como benchmarking. Una compañía puede, por ejemplo, medir su sistema contra compañías que tienen reputación de tener particularmente sistemas de control interno. Las comparaciones se pueden haber directamente con los de otra compañía, o bajo los auspicios de asociaciones de comercio o industriales. Los consultores administrativos pueden ser capaces de proporcionar información comparativa, y funciones de revisión similares en alguna industrial, pueden ayudar a la compañía a evaluar su sistema de control con base en el de empresas del mismo género. Una advertencia, cuando se comparan sistemas de control interno, deben considerarse las diferencias que siempre existen en objetivos, hechos y circunstancias. Y, deben tenerse en mente los cinco componentes individuales y las restricciones del control interno.
Documentación
La extensión de la documentación del sistema de control interno de una entidad varía con el tamaño, la complejidad y factores similares de la entidad. Las empresas 1 grandes usualmente tienen manuales de políticas, organigramas formales descripciones de trabajo escritas, instrucciones de operación, diagramas de flujo del sistema y de información, etc. Las compañías pequeñas que requieren han considerado menos documentación.
Muchos controles son informales e indocumentados, no obstante lo cual algunas se desempeñan regularmente y son altamente efectivos. Esos controles se pueden robar de la misma manera como lo son los controles documentados. El hecho de que existan controles no documentados no significa que el control interno no sea efectivo, o que no pueda ser evaluado. Un nivel apropiado de documentación usualmente pace más eficiente la evaluación. Ello es útil en otros aspectos: facilita el entendimiento de los empleados sobre como opera el sistema y sus roles particulares, y hace que sea fácil modificarlo cuando sea necesario.
El evaluador puede decidir documentar el proceso de evaluación mismo. Usualmente redacta sobre la documentación existente del sistema de control interno de la entidad, lo cual usualmente será complementado con la documentación adicional del sistema, junto con descripciones de las pruebas y análisis realizados en el proceso de evaluación.
La naturaleza y la extensión de la documentación normalmente será mas sustantiva cuando se hacen informes sobre el sistema o sobre la evaluación, dirigidos a partes adicionales. Cuando la administración quiere hacer un informe dirigido a partes externas mirando la efectividad del sistema de control interno, deberá considerar el desarrollo y la retención de documentación para soportar el informe. Tal documentación puede ser útil si el informe es cambiado subsecuentemente.
Plan de acción
Los ejecutivos dirigen evaluaciones de los sistemas de control interno para, en primer lugar, poder considerar los siguientes aspectos sugeridos sobre donde iniciar y que hacer:
Decidir sobre el alcance de la evaluación, en términos de las categorías de objetivos, componentes del control interno y actividades a orientar.
Identificar actividades de monitoreo ongoing que rutinariamente proporcionan tranquilidad respecto a que el control interno es efectivo.
Analizar el trabajo de evaluación del control realizado por auditores internos, y considerar los hallazgos relacionados con el control hechos por los auditores externos.
Priorizar por unidad, componente o global las mayores áreas de riesgo que exigen atención inmediata.
Basados en lo anterior, desarrollar un programa de evaluación con segmentos cortos y largos.
Realizar en conjunto la evaluación por parte de todas las partes que la puedan llevar a cabo. Y al mismo tiempo, considerar no solamente el alcance y la duración, sino también la metodología y las herramientas a usar, los datos de entrada provenientes de auditores internos y externos y de reguladores, los medios para informar los hallazgos y la documentación esperada.
Monitorear el progreso y la revisión de los hallazgos.
Ver que se realizan las acciones siguientes, y modificar los segmentos de evaluación subsecuentes si es necesario.
Aunque mucho trabajo será delegado, es importante, sin embargo, que la persona responsable de dirigir la evaluación administre el proceso hasta su culminación.
INFORMACIÓN DE DEFICIENCIAS
Las deficiencias en el sistema de control interno de una entidad brotan de muchas fuentes, incluyendo los procedimientos de monitoreo ongoing de la entidad, las evaluaciones separadas del sistema de control interno y las partes externas.
El término deficiencia como se emplea aquí es definido en sentido amplio como una condición dentro de la cual un sistema de control interno es digno de atención. Una deficiencia, por consiguiente, puede representar una falta percibida, potencial o real, o una oportunidad para fortalecer el sistema de control interno a fin de proporcionar una mayor probabilidad de que se pueden conseguir los objetivos de la entidad.
Fuentes de información
Una de las mejores fuentes de información sobre deficiencias es el mismo sistema de control interno. Las actividades de monitoreo ongoing de una empresa, incluyendo las actividades administrativas y la diaria supervisión de los empleados, genera intuiciones al personal directamente implicado en las actividades de la entidad. Esas intuiciones son conseguidas en tiempo real y pueden proporcionar identificación rápida de las deficiencias. Otras fuentes de deficiencias de control son las evaluaciones separadas de un sistema de control interno. Las evaluaciones realizadas por la administración, los auditores internos u otro personal pueden iluminar áreas que requieren mejoramiento.
Un buen número de panes externas frecuentemente proporciona información importante sobre el funcionamiento del sistema de control interno de una entidad. Incluye clientes, vendedores y otros que hacen negocios con la entidad, contadores bíblicos independientes y reguladores. Los informes provenientes de fuentes externas deben considerarse cuidadosamente a causa de sus implicaciones para el control interno, y deben tomarse las acciones correctivas apropiadas.
¿Que debe informarse?
¿Que debe informarse? No es posible una respuesta universal, pues esto es altamente subjetivo. Sin embargo, pueden trazarse ciertos parámetros.
De hecho, todas las deficiencias de control interno que puedan afectar la consecución de los objetivos de la entidad deben informarse a aquellos que toman las acciones necesarias, como se discute en la sección siguiente. La naturaleza de los asuntos a comunicar variara dependiendo de la autoridad de los individuos para relacionarse con circunstancias que surjan, y las actividades globales de los superiores.
Considerando que requiere comunicarse, es necesario mirar las implicaciones de los hallazgos. Por ejemplo, un vendedor señala que las comisiones de venta ganadas fueron computadas incorrectamente. El personal del departamento de nómina investiga y encuentra que se use un precio desactualizado de un producto particular, dando como resultado una subcomputación de comisiones, así como se subfacturó a los clientes. Las acciones a tomar pueden incluir el recalculo de todas las comisiones de los vendedores y la facturación puesto que el cambio de precio originó el efecto. Por que no se use el nuevo precio en primer lugar? ¿Que controles existen para asegurar que los incrementos en precio se ingresan al sistema de información correcta y oportunamente? ¿Existe algún problema en el programa de computación que calcula las comisiones de ventas y la facturación a clientes? Si lo hay, existen controles sobre el desarrollo de software o se requiere atención para realizar cambios de software? ¿Podrá otro componente del control interno identificar el problema de manera oportuna para que el vendedor no sea quien señale el error?
Así, un problema aparentemente simple con una solución evidente puede tener crecientes implicaciones de control. Esto subraya la necesidad de reportar errores u otros problemas hacia arriba. Es esencial que se informen no solo transacciones o eventos particulares, sino que se revaliden los potenciales controles defectuosos.
Se puede argumentar que ningún problema es tan insignificante como investigar las implicaciones de los controles desautorizados. La toma por parte de un empleado de unos pocos pesos de un fondo de caja menor para su use personal, por ejemplo, podrá no ser significativa en términos de ese evento particular, y probablemente no en términos de la cantidad total de la caja menor. Así, investigar ello puede no valer la pena. Sin embargo, tal aparente condonación personal por el use del dinero de la entidad puede enviar a los empleados un mensaje incomprensible.
¿A quien informar?
La información generada por los empleados en la realización de sus actividades de operación regulares usualmente es reportada a sus superiores mediante los canales normales. A su turno, el superior en cuestión comunica hacia arriba o lateralmente en la organización hasta que la información llegue a la gente que puede actuar sobre el particular. Como se vio en el Capitulo 5, deberán existir canales de comunicación alternativos para reportar información sensible así como actos ilegales o impropios.
Los hallazgos de deficiencias de control interno usualmente se reportaban no solamente a los responsables de la función o actividad implicada, que están en posición de tomar la acción correctiva, sino también al menos al nivel de administración que es responsable directo de la persona. Este proceso permite a los individuos proporcionar el apoyo o la percepción necesarios para tomar la acción correctiva y para comunicarse con aquellos otros en la organización cuyas actividades pueden afectarse. Cuando los hallazgos cruzan los limites organizacionales, la información deberá cruzar y dirigirse directamente al nivel suficientemente alto para asegurar la acción apropiada.
Directrices sobre reportes
El proporcionar la información necesaria sobre las deficiencias de control interno a la parte correcta es crítico para la continuada efectividad de un sistema de control interno. Pueden establecerse para identificar que información es necesaria en un nivel particular de toma de decisiones.
Tales protocolos están basados en la regla general que dice que un administrador debe recibir la información de control necesaria para afectar la acción o el comportamiento de la gente bajo su responsabilidad, o para conseguir los objetivos de la actividad. Un director ejecutivo normalmente esperara ser advertido, por ejemplo, de las diversas infracciones serias a las políticas y a los procedimientos. También espera información de apoyo sobre la naturaleza de los asuntos que pueden tener consecuencias financieras significativas o implicaciones estratégicas, o que puedan afectar la reputación de la entidad. Los administradores principales esperaran ser advertidos de las deficiencias de control que afectan sus unidades. Ejemplos incluyen cuando los activos con valor monetario específico están en riesgo, cuando la competencia del personal esta debilitándose, o cuando las conciliaciones financieras importantes no se están realizando correctamente. Los administradores deberán ser informados de las deficiencias de control en sus unidades con crecientes niveles de detalle tanto como se mueven hacia abajo en la estructura organizacional.
Los protocolos son establecidos por los supervisores, quienes le definen a los subordinados que asuntos deben informarse. El grado de especificidad variara, usualmente incrementándose en los niveles bajos de la organización. Puesto que los protocolos de información pueden inhibir los reportes efectivos si la definición hecha es demasiado estrecha, ellos pueden engrandecer el proceso de información si se les provee de la flexibilidad suficiente.
Algunas veces las partes a quienes se deben comunicar las deficiencias proporcionan directivas específicas con relación a la información a reportar. Un consejo de directores o un comité de auditoria, por ejemplo, pueden solicitar a los administradores o a los auditores internos o externos comunicar solamente aquellos hallazgos de deficiencias reunidos en un umbral de seriedad o importancia. Un umbral de ese tipo, empleado por la profesión de los contadores públicos es denominado condiciones reportables. Es definido como: …deficiencias significativas en el diseño o en la operación de la estructura de control interno, que pueden afectar negativamente la capacidad de la organización para registrar, procesar sumar e informar datos financieros consistentes con las aserciones de la administración en los estados financieros.
Esta definición se relaciona con los objetivos de información financiera, si bien se considera que el concepto probablemente pueda adaptarse para cubrir objetivos de operaciones y de cumplimiento.
APLICACIÓN A ENTIDADES PEQUEÑAS Y MEDIANAS
Las actividades de monitoreo ongoing de las entidades pequeñas y medianas es más probable que sean informales e implican al CEO y a otros administradores claves. Sus controles de monitoreo son típicamente un producto en función del monitoreo del negocio. Este es realizado mediante la disponibilidad del implicamiento en la mayoría si no en todos los aspectos de las operaciones. Su implicamiento cerrado en las operaciones a menudo originara variaciones significativas frente a las expectativas e imprecisiones en los datos de operación o financieros. Un propietario-administrador de un negocio pequeño puede visitar frecuentemente la planta, las facilidades de reunión o almacenamiento, y compara los inventarios físicos con las cantidades reportadas por el sistema de procesamiento de datos. El conocimiento directo de los clientes significativos y de las quejas de los vendedores, así como de cualesquiera comunicaciones de los reguladores, también puede alertar al administrador de una empresa pequeña sobre los problemas de operación o de cumplimiento que puedan señalar un resquebrajamiento en los controles.
Las entidades pequeñas y medianas probablemente realizan menos evaluaciones separadas de sus sistemas de control interno, y la necesidad de evaluaciones separadas pueden ser a menudo para las actividades de monitoreo ongoing altamente efectivas. Las compañías medianas pueden tener un auditor interno que realice evaluaciones separadas. A menudo las entidades pequeñas pueden asignar al personal de contabilidad ciertas funciones de trabajo que sirvan para evaluar los controles. Algunas entidades solicitan que sus auditores externos realicen evaluaciones de ciertos aspectos del sistema de control, o quizás en una base de rotación, para proporcionar al CEO información sobre su efectividad.
A causa de estructuras de organización mas limitadas, las deficiencias que brotan de los procedimientos de monitoreo pueden comunicarse fácilmente a la persona correcta. El personal en una entidad pequeña usualmente tiene un entendimiento claro de los tipos de problemas que requieren ser informados hacia arriba. Lo que no siempre es aparente, es quien es responsable de la determinación de la causa de un problema y de la toma de las acciones correctivas. Esto es tan importante para una organización pequeña o mediana, como lo es para una grande.
EVALUACIÓN
Considerando la extensión en la cual es monitoreada la efectividad continua del control interno, deben tenerse en cuenta tanto las actividades de monitoreo ongoing como las evaluaciones separadas del sistema de control interno, o porciones de los mismos. Lo listado abajo son asuntos que se pueden considerar. La lista no es completa, no todos se aplicarán a cada entidad, pero puede, sin embargo, servir como punto de arranque.
Monitoreo ongoing
Extensión en la cual el personal, en el desempeño de sus actividades regulares, obtiene evidencia de si el sistema de control interno continúa funcionando.
Extensión en la cual las comunicaciones provenientes de partes externas corroboran la información generada internamente, o indica problemas.
Comparaciones periódicas de las cantidades registradas por el sistema de contabilidad con los activos físicos.
La sensibilidad frente a las recomendaciones de auditores internos y externos como medios para fortalecer los controles internos.
Extensión en la cual los seminarios de entrenamiento, las sesiones de planeación y las otras reuniones proporcionan retroalimentación a la administración sobre si los controles operan efectivamente.
Si el personal es preguntado periódicamente para establecer si entiende y cumple con el código de conducta de la entidad y desempeña regularmente actividades criticas de control.
Efectividad de las actividades de auditoria interna.
Evaluaciones separadas
Alcance y frecuencia de las evaluaciones separadas del sistema de control interno.
Conveniencia del proceso de evaluación.
Si la metodología del sistema de evaluación es lógica y apropiada.
Conveniencia del nivel de documentación.
Reporte de deficiencias
Existencia de mecanismos para captura e información de las deficiencias de control interno identificadas.
Conveniencia de los protocolos de reporte.
Conveniencia de las acciones hacia arriba.
CAPITULO 7
RESTRICCIONES DEL CONTROL INTERNO
Resumen del Capitulo: El control interno, no importa que bien haya sido diseñado y operado, puede proporcionar solamente seguridad razonable a la administración y al consejo de directores mirando la consecución de los objetivos de una entidad. La probabilidad de conseguirlos está afectada por restricciones inherentes en todos los sistemas de control interno. Ellas toman en cuenta que el juicio humano en la tonta de decisiones puede fallar, y que los resquebrajamientos pueden ocurrir a causa de tales fallas humanas como errores simples o equivocaciones. Adicionalmente, los controles pueden circunscribirse por la colusión de dos o más personas, y la administración tiene la habilidad para desbordar el sistema de control interno. Otro factor limitante es la necesidad de considerar lo relacionado con los costos y beneficios del control.
El control interno ha sido visto por algunos observadores como el que asegura que una entidad no fallara, esto es, que la entidad siempre conseguirá sus objetivos de operación, financieros y de cumplimiento. En este sentido, el control interno algunas veces es visto como la cura para todos los males reales y potenciales de los negocios. Este punto de vista no es correcto, el control interno no es una panacea. Considerando las restricciones del control interno, deben reconocerse dos conceptos distintos:
Primero, el control interno lo mismo que el control interno efectivo opera a niveles diferentes con relación a los distintos objetivos. Para los objetivos relacionados con la efectividad y la eficiencia de las operaciones de una entidad consecución de su misión básica, objetivos de rentabilidad y semejantes- el control interno puede ayudara asegurar que la administración sea consciente del progreso de la entidad, o no. Pero no puede proporcionar igual seguridad razonable de que los mismos objetivos se conseguirán.
Segundo, el control interno no puede proporcionar seguridad absoluta con respecto a cualquiera de las tres categorías de objetivos.
El primer conjunto de restricciones reconoce que ciertos eventos o condiciones están simplemente por fuera del control administrativo. Esto se discutió en el Capítulo 3 bajo el titulo Consecución de Objetivos. El segundo tiene que ver con la realidad de que el sistema no siempre hace lo que se intenta hacer. Lo mejor que se puede esperar de cualquier sistema de control interno es que se obtenga una seguridad razonable.
La seguridad razonable ciertamente no implica que los sistemas de control interno fallaran frecuentemente. Muchos factores, individual y colectivamente, sirven para fortalecer el concepto de seguridad razonable. El efecto acumulativo de los controles que satisfacen objetivos múltiples y la naturaleza multipropósito de los controles reducen el riesgo de que una entidad no consiga sus objetivos. Además, las operaciones y responsabilidades de operación normales, diarias, de la gente funcionando en diversos niveles de una organización están dirigidas a la consecución de los objetivos de la entidad. En verdad, en medio de una parte de entidades bien controladas, es muy probable que la mayoría estén regularmente apreciando el movimiento hacia sus objetivos de operaciones, regularmente conseguirá sus objetivos de cumplimiento, y producirá consistentemente período a período, año a año estados financieros confiables. Sin embargo, a causa de las restricciones inherentes discutidas atrás, no hay garantía respecto a que, por ejemplo, un evento incontrolable, una equivocación o un reporte de incidentes impropio nunca puedan ocurrir. En otras palabras, incluso un sistema de control interno efectivo puede experimentar una falla. Seguridad razonable no es seguridad absoluta.
Juicio
La efectividad de los controles estará limitada por la realidad de las fallas humanas en la toma de decisiones. Tales decisiones deben tomarse mediante juicios humanos en el tiempo requerido, basados en información disponible, y bajo las presiones del giro de los negocios. Algunas decisiones basadas en juicios humanos pueden' después, con la clarividencia de análisis posteriores, ser el fundamento para producir menos que los resultados deseables, y pueden requerir cambios.
La naturaleza de las decisiones relacionadas con el control interno que pueden hacerse basadas en juicios humanos es descrita después abajo en la discusión de resquebrajamientos, desbordamiento de la administración y costos versus beneficios.
Resquebrajamientos.
Aunque los controles internos estén bien diseñados, pueden resquebrajarse. El personal puede interpretar mal las instrucciones. Se pueden hacer juicios equivocados, o cometer errores debido a negligencia, distracción o fatiga. Un supervisor del departamento de contabilidad responsable de la investigación de inconsistencias puede simplemente olvidarse de o fallar en la orientación de la investigación hasta no ser capaz de realizar las correcciones apropiadas. El personal temporal que ejecuta responsabilidades de control durante las vacaciones o personal enfermo puede no desempeñarse correctamente. Los cambios en los sistemas pueden ser implementados antes que el personal haya sido entrenado para reaccionar apropiadamente a los signos de funcionamiento incorrecto.
DESBORDAMIENTO DE LA ADMINISTRACIÓN
Un sistema de control interno solamente puede ser tan efectivo como la gente que es responsable de su funcionamiento. De la misma manera que en las entidades efectivamente controladas -aquellas que generalmente tienen altos niveles de integridad y conciencia de control- un administrador puede ser capaz de desbordar el control interno.
El termino desbordamiento de la administración se emplea aquí para significar el violar las políticas o los procedimientos pre-establecidos con propósitos ilegítimos con la intención de que el personal obtenga o acreciente la presentación de la condición financiera o del estado de cumplimiento de una entidad. Un administrador de una división o unidad, o un miembro de la alta administración, puede desbordar el sistema de control por muchas razones: para incrementar ingresos reportados para cubrir un decrecimiento no anticipado en la participación en el mercado, o para aumentar los beneficios reportados para cumplir presupuestos irreales, para empujar el valor de mercado de la entidad antecedente a una oferta o venta publica, para cumplir ventas o protección de beneficios para apalancar desembolso de bonos ligados al desempeño, para simular el cubrimiento de violaciones de acuerdos de convenios de deuda, o para ocultar la falta de cumplimiento con requerimientos legales. Las prácticas de desbordamiento incluyen falsificaciones para banqueros, abogados, contadores y vendedores, y la emisión intencional de documentos falsos tales como órdenes de compra y facturas de venta.
El desbordamiento de la administración no debe confundirse con la intervención de la administración, la cual representa las acciones de la administración para salirse de las políticas o procedimientos prescritos con propósitos legítimos. La intervención de la administración es necesaria para relacionarse con transacciones no-recurrentes y no-estándares que de otra manera pueden manejarse de manera inapropiada por el Sistema de control. La previsión de la intervención de la administración es necesaria en todos los sistemas de control interno puesto que estos no se pueden diseñar para anticiparse a cada condición. Las acciones de la administración para intervenir son generalmente manifiestas y comúnmente documentadas o, de otra manera, reservadas para el personal apropiado, mientras que las acciones para desbordarse, generalmente no están documentadas o manifiestas, con la intención de sobrepasarlas.
Colusión
Las actividades colusorias de dos o más individuos pueden derivar en fallas de control. Los individuos que actúan colectivamente para perpetrar y encubrir una acción de detección a menudo pueden alterar los datos financieros u otra información administrativa de manera que no pueda ser identificada por el sistema de control. Por ejemplo, puede haber colusión entre un empleado que desempeña una función de control importante y un cliente, proveedor u otro empleado. En un nivel diferente, algunos estratos de ventas o divisiones administrativas pueden coludir para evadir controles de manera tal que los reportes cumplan presupuestos u objetivos de incentivo.
Costos versus beneficios
Los recursos siempre tienen limitaciones, y por lo tanto las entidades deben considerar lo relativo a los costos y beneficios derivados de establecer controles.
Para determinar si se debe establecer un control particular, debe considerarse el riesgo de fallar y el efecto potencial sobre la entidad, junto con los costos relacionados con el establecimiento de un control nuevo. Por ejemplo, puede no ser rentable para una compañía instalar un sofisticado control de inventarios para monitorear los niveles de materia prima si el costo de la materia prima usada en el proceso de producción es bajo, el material no es perecedero, está propenso a suplir recursos existentes y esta disponible el espacio de almacenamiento.
La medición de costos y beneficios para la implementación de controles se hace con diferentes niveles de precisión. Generalmente, es fácil tratar con el lado de costos de la ecuación que, en muchos casos, puede cuantificarse de una manera verdaderamente precisa. Todos los costos directos asociados con la institucionalización de un control, y los costos indirectos Cuando son medibles de manera práctica, usualmente se consideran. Algunas compañías también incluyen los costos de oportunidad asociados con el use de los recursos.
En otros casos, sin embargo, puede ser más difícil cuantificar los costos. Puede se difícil cuantificar el tiempo y el esfuerzo relacionados, por ejemplo, con ciertos factores de control ambiental, tales como el compromiso de los administradores con lo valores éticos o la competencia del personal; valoración de riesgos; y captura de cierta información externa como inteligencia de mercadeo o desarrollo de las preferencias de los clientes. El lado de los beneficios a menudo requiere evaluación más; subjetiva. Por ejemplo, los beneficios de programas de entrenamiento efectivos son usualmente fáciles aparentemente, pero difíciles de cuantificar. Sin embargo, se pueden considerar ciertos factores en la evaluación de beneficios potenciales: la probabilidad de que la condición indeseada ocurra, la naturaleza de las actividades, y e potencial efecto financiero u operativo que el evento pueda tener en la entidad.
La complejidad de las determinaciones costo-beneficio está dada por la interrelación de los controles con las operaciones de negocios. Donde los controles están integrados con, o construidos en, el proceso administrativo y de negocios, es difícil aislar tanto los costos como los beneficios.
De manera similar, muchas veces una variedad de controles puede servir, individual o conjuntamente, para mitigar un riesgo particular. Considérese el caso de los despachos retornados. Cuando se registran, ¿es suficiente conciliar, actualizar los archivos maestros de inventarios y cuentas por cobrar con los retornos totales? Se necesita verificar también los códigos de las cuentas individuales de los clientes, y si lo son, den que extensión? ¿Es suficiente la conciliación mensual de los archivos de la subsidiaria con los archivos maestros? O, use necesitan procedimientos mas extensos para asegurar que los registros de la subsidiaria están adecuadamente actualizados para las devoluciones? ¿Y que mecanismos operan para centrar la atención en si las devoluciones son sintomáticas de un problema sistémico en el diseño del producto, manufactura, embarque, facturación o servicio al cliente? Las respuestas a esas cuestiones dependen de los riesgos implicados en las circunstancias particulares y de los costos y beneficios relacionados con el establecimiento de cada procedimiento de control.
Las determinaciones costo-beneficio también varían considerablemente dependiendo de la naturaleza del negocio. Por ejemplo, un sistema de computación que proporciona información sobre la frecuencia con la cual los clientes generan sus ordenes de compra, el valor del dólar de las ordenes, y el numero de los ítems comprados por orden, son muy importantes para un catalogo de ordenes por correo de la compañía. Para un manufacturero de altura de la línea, los clientes que realizan viajes en embarcaciones, tal información detallada sobre el perfil del cliente podrá ser menos importante. Dada la insignificancia relativa de una actividad particular o de un riesgo relacionado, puede no ser necesario realizar un análisis costo-beneficio total. El esfuerzo de realizar tal análisis no se justifica.
El cambio está en encontrar el balance correcto. El control excesivo es costoso y contra productivo. Los clientes que hacen órdenes telefónicas no tolerarán procedimientos de aceptación de órdenes que sean muy engorrosas o consumidoras de tiempo. Un banco que hace créditos apreciables a prestamistas potenciales que saltan a través de las argollas, no registran muchos nuevos préstamos. Muy poco control, de otra manera, presenta riesgos indebidos de debitos malos. En un ambiente altamente competido se necesita un balance apropiado. Y, a pesar de las dificultades, se continuarán tomando decisiones costo-beneficio.
CAPITULO 8
ROLES Y RESPONSABILIDADES
Resumen del capitulo: Cada persona en una organización tiene alguna responsabilidad respecto del control interno. La administración, sin embargo, es responsable del sistema de control interno de una entidad. El director ejecutivo jefe es el responsable último y debe asumir la "propiedad" del sistema de control. Los directivos financieros y de contabilidad son centrales en la manera como la administración ejerce el control, si bien todo el personal administrativo juega papeles importantes y es responsable del control de las actividades de sus unidades. De manera similar, los auditores internos contribuyen a la efectividad ongoing del sistema de control interno, pero ellos no tienen la responsabilidad primaria por establecerlo y mantenerlo. El consejo de directores y su comité de auditoria proporciona importante cobertura y supervisión del sistema de control interno. Un número de partes externas, tales como los auditores externos, a menudo contribuyen a la consecución de los objetivos de la entidad y proporcionan información útil para la ejecución del control interno. Sin embargo, no son responsables por la efectividad de, no pacer parte del sistema de control interno de la entidad.
El control interno es ejecutado por un número de partes, cada una con responsabilidades importantes. El consejo directivo (directamente o a través de sus comités), la administración, los auditores internos y otro personal hacen contribuciones importantes para un sistema de control interno efectivo. Otras partes, tales como los auditores externos y los cuerpos reguladores, algunas veces están asociados con el control interno. Existe una distinción entre aquellos que son parte del sistema de control interno de una entidad y aquellos que no lo son, pero cuyas acciones sin embargo pueden afectar el sistema o ayudar a conseguir los objetivos de la entidad.
Las partes internas de una organización son componentes del sistema de control interno. Ellas contribuyen, cada una según su propia manera, al control interno efectivo, esto es, a proporcionan seguridad razonable respecto de que los objetivos especificados de la entidad se están consiguiendo.
Las partes externas de una entidad pueden también ayudarla a conseguir sus objetivos mediante acciones que provean información útil para la entidad en la ejecución del control, o mediante acciones que contribuyan independientemente a sus objetivos. Sin embargo, solamente con la contribución de una parte directa o indirecta- a la consecución de los objetivos, no hará, en relación con eso, que desempeñe un papel del sistema de control interno de la entidad.
| Página siguiente |