Valoración de riesgos. Cada entidad enfrenta una variedad de riesgos de fuentes externas e internas, los cuales deben valorarse. Una condición previa a la valoración de riesgos es el establecimiento de objetivos, enlazados en distintos niveles y consistentes internamente. La valoración de riesgos es la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar como se deben administrar los riesgos. Dado que la economía, la industria, las regulaciones y las condiciones de operación continuaran cambiando, se requieren mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
Actividades de control. Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que las directivas administrativas se lleven a cabo. Ayudan a asegurar que se tomen las acciones necesarias para orientar los riesgos hacia la consecución de los objetivos de la entidad. Las actividades de control se den a todo lo largo de la organización, en todos los niveles y en todas las funciones. Incluyen un rango de actividades diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operacional, seguridad de activos y segregación de funciones.
Información y comunicación. Debe identificarse, capturarse y comunicarse información pertinente en una forma y en un tiempo que les permita a los empleados cumplir con sus responsabilidades. Los sistemas de información producen reportes, contienen información operacional, financiera y relacionada con el cumplimiento, que hace posible operar y controlar el negocio. Tiene que ver no solamente con los datos generados internamente, sino también con la información sobre eventos, actividades y condiciones externas necesarias para la toma de decisiones, informe de los negocios y reportes externos. La comunicación efectiva también debe darse en un sentido amplio, fluyendo hacia abajo, a lo largo y hacia arriba de la organización.
Todo el personal debe recibir un mensaje claro de parte de la alta gerencia respecto a que las responsabilidades de control deben tomarse seriamente. Deben entender su propio papel en el sistema de control interno, lo mismo que la manera como las actividades individuales se relaciona con el trabajo de otros. Deben tener un medio de comunicar la información significativa. También necesitan comunicarse efectivamente con las partes externas, tales como clientes, proveedores, reguladores y accionistas.
Monitoreo. Los sistemas de control interno deben monitorearse, proceso que valora la calidad del desempeño del sistema en el tiempo. Es realizado por medio de actividades de monitoreo ongoing, evaluaciones separadas o combinación de las don. El monitoreo ongoing ocurre en el curso de las operaciones. Incluye actividades regulares de administración y supervisión y otras acciones personales realizadas en el cumplimiento de sus obligaciones. El alcance y la frecuencia de las evaluaciones separadas dependerá primeramente de la valoración de riesgos y de la efectividad de los procedimientos de monitoreo ongoing. Las deficiencias del control interno deberán reportarse a lo largo de la organización, informando a la alta gerencia y al consejo solamente los asuntos serios.
Existe sinergia e interrelación entre esos componentes, formando un sistema integrado que reacciona dinámicamente a las condiciones cambiantes. Los sistemas de control interno están entrelazados con las actividades de operación de la entidad y existen por razones fundamentales de negocios. El control interno es mas efectivo cuando los controles se construyen en la infraestructura de la entidad y son parte de la esencia de la empresa. Construir en los controles apoya la calidad y las iniciativas de empoderamiento, evita costos innecesarios y permite respuestas rápidas a las condiciones cambiantes.
Existe una relación directa entre las tres categorías de objetivos, los cuales son: que se esfuerza una entidad en conseguir, y los componentes, los cuales representan lo requerido para conseguir los objetivos. Todos los componentes son relevantes para cada categoría de objetivos. Cuando revisamos cualquier categoría -la efectividad y eficiencia de las operaciones, por ejemplo- todos los cinco componentes deben estar presentes y funcionar efectivamente para concluir que el control interno sobre las operaciones es efectivo.
La definición de control interno -que es el concepto fundamental subyacente de un proceso, realizado por la gente, que proporciona una segundad razonable- junto con la categorización de objetivos, los componentes y criterios para la efectividad, y las discusiones asociadas, constituyen esta estructura conceptual del control interno.
¿Que puede hacer el control interno?
El control interno puede ayudar a una entidad a conseguir sus metas de desempeño y rentabilidad, y prevenir la perdida de recursos. Puede ayudar a asegurar información financiera confiable, y a asegurar que la empresa cumpla con las leyes y regulaciones, evitando perdida de reputación y otras consecuencias. En suma, puede ayudar a una entidad a cumplir sus metas, evitando peligros no reconocidos y sorpresas a lo largo del camino.
¿Que no puede hacer el control interno?
Infortunadamente, algunas personas tienen expectativas mayores e irreales. Consideran que:
El control interno puede asegurar el éxito de una entidad, esto es, el cumplimiento de los objetivos básicos del negocio, o cuando menos, la supervivencia.
El control interno efectivo solamente puede ayudar a que una entidad logre sus objetivos. Puede proporcionar información administrativa sobre el progreso de la entidad, o hacia su consecución. Pero no puede cambiar una administración ineficiente por una buena. Y, transformándolas en políticas o programas de gobierno, acciones de los competidores o condiciones económicas pueden ir más allá del control administrativo. El control interno no asegura éxito ni supervivencia.
El control interno puede asegurar la confiabilidad de la información financiera y el cumplimiento de las leyes y regulaciones.
Esta convicción también es equivocada. Un sistema de control interno, no importa que tan bien ha sido concebido y operado, puede proveer solamente seguridad razonable -no absoluta- a la administración y a la junta directiva mirando la consecución de los objetivos de una entidad. La probabilidad de conseguirlos esta afectada por limitaciones inherentes a todos los sistemas de control interno, por ejemplo los juicios en la toma de decisiones pueden ser defectuosos, y las fallas pueden ocurrir por simples errores o equivocaciones. Adicionalmente los controles pueden estar circunscritos a dos o más personas, y la administración tiene la capacidad de desborar el sistema. Otro factor de limitación es que el diseño de un sistema de control interno puede reflejar estrechez de recursos, y los beneficios de los controles se deben considerar con relación a sus costos.
Entonces, aunque el control interno puede ayudar a una entidad a conseguir sus objetivos, no es la panacea.
Roles y responsabilidades
Cada quien en una organización es responsable del control interno.
Administración. El director ejecutivo jefe es el responsable último y debe asumir la propiedad del sistema. Más que cualquier otro individuo, el director ejecutivo da el torso por lo altos, el cual afecta la integridad y la ética así como los otros factores de un ambiente de control positivo. En una compañía grande, el director ejecutivo cumple este deber proporcionando liderazgo y dirección a los administradores principales y revisando la manera como ellos están controlando el negocio. Los administradores principales, por su parte, asignan responsabilidades por el establecimiento de políticas y procedimientos de control interno más específicos al personal responsable de las funciones de las unidades. En una entidad pequeña, la influencia del director ejecutivo, a menudo un administrador-propietario, usualmente es más directa. En cualquier caso, es una responsabilidad que se traslada en cascada, un administrador es efectivamente un director ejecutivo en su esfera de responsabilidad. Tienen significado particular los directores financieros y su personal vinculado, cuyas actividades de control cubren a lo ancho, hacia arriba y hacia abajo, las unidades de operación y otras dependencias de una empresa.
Consejo de directores. La administración es responsabilidad del consejo de directores, el cual proporciona gobierno, guía y supervisión reguladora. Los miembros de un consejo efectivo son objetivos, competentes e inquisitivos. También tienen un conocimiento de las actividades y del ambiente de la entidad, y aportan el tiempo necesario para cumplir plenamente sus responsabilidades como consejo. La administración puede estar en una posición de desbordar los controles e ignorar o extinguir las comunicaciones de los subordinados, estableciendo una administración deshonesta que intencionalmente falsifica los resultados para cubrir sus huellas. Un consejo fuerte, activo, particularmente cuando esta acoplado con canales de comunicación, hacia arriba, efectivos y con funciones financieras, legales y de auditoria interna competentes, a menudo es más capaz de identificar y corregir tales problemas.
Auditores internos. Los auditores internos juegan un papel importante en la evaluación de la efectividad de los sistemas de control, y contribuyen a la efectividad ongoing. A causa de su posición organizacional y su autoridad en una entidad, una función de auditoria interna juega a menudo un papel de monitoreo significativo.
Otro personal. El control interno es, en algún grado, responsabilidad de cada quien en una organización y por consiguiente debe ser una parte explicita o implícita de la descripción del trabajo de cada uno. Virtualmente todos los empleados producen información que se una en el sistema de control interno o realiza otras acciones necesarias para efectuar el control. También, todo el personal debe ser responsable por la comunicación hacia arriba de los problemas en las operaciones, del no cumplimiento con el código de conducta, y de otras violaciones de las políticas o acciones ilegales.
A menudo, un número de partes externas contribuye a la consecución de los objetivos de una entidad. Los auditores externos, ofrecen un punto de vista independiente y objetivo, contribuyen directamente mediante la auditoria de estados financieros e indirectamente proporcionando información útil para la administración y para el consejo, en orden a cumplir sus responsabilidades. Otros proporcionan información para use de la entidad, la cual afecta el control interno, sobre legisladores y reguladores, clientes y otros que realizan negocios con la empresa, analistas financieros, expertos en realizar raitings y medios de comunicación. Las partes externas, sin embargo, no son responsables puesto que no constituyen parte del sistema de control interno de la entidad.
Presentación de este informe (COSO)
Este informe tiene cuatro volúmenes. El primero es el presente Resumen Ejecutivo, una visión de alto nivel sobre la estructura conceptual del control interno, dirigido al director ejecutivo y a otros ejecutivos principales, miembros del consejo, legisladores y reguladores.
El segundo volumen, la Estructura Conceptual, define control interno, describe sus componentes y proporciona criterios para que administradores, consejeros y otros puedan valorar sus sistemas de control. Incluye el Resumen Ejecutivo.
El tercer volumen, información a Partes Externas, es un documento suplementario que proporciona orientación a aquellas entidades que publican informes sobre control interno además de la preparación de sus estados financieros públicos, o que estés contemplando hacerlo.
El cuarto volumen, Herramientas de Evaluación, proporciona materiales que se pueden usar en la realización de una evaluación de un sistema de control interno.
¿Que hacer?
Las acciones que se pueden tomar como resultado de este informe dependen de la posición y del papel de las partes involucradas:
Administradores principales. La mayoría de los ejecutivos principales que contribuyeron a este estudio consideran que estaban básicamente en el control de sus organizaciones. Muchos dijeron, sin embargo, que existen áreas de su compañía -una división, un departamento o un componente de control que realizan actividades a lo largo de la organización- en las cuales los controles estaban en etapas primitivas de desarrollo o que requerían ser fortalecidas. A ellos no les gustan las sorpresas. Este estudio sugiere que el director ejecutivo inicie una auto-valoración del sistema de control. Empleando esta estructura conceptual, un CEO, junto con los ejecutivos operativos y financieros claves, puede centrar la atención donde sea necesario. Bajo tal aproximación, el director ejecutivo puede conducir a los jefes de las unidades del negocio y al personal vinculado clave para discutir una valoración inicial del control. Las directivas deberán dar facilidad a aquellos individuos para que discutan los conceptos de este informe con su personal a cargo, proporcionando supervisión al proceso inicial de valoración en sus áreas de responsabilidad e informando sobre los hallazgos encontrados. Otra aproximación puede incluir una revisión inicial de las políticas corporativas y de las unidades de negocio, así como de los programas de auditoria interna. Cualquier cosa que se haga en este sentido formara una auto-valoración inicial la cual determinara que es necesario para y como proceder con una evaluación extensa, mas en profundidad. Ello debe asegurar que se estés realizando los procedimientos de monitoreo ongoing. El tiempo gastado en la evaluación del control interno representa una inversión, pero una con un alto retorno.
Miembros del consejo. Los miembros del consejo de directores deben discutir con los administradores principales el estado del sistema de control interno de la entidad y proporcionar la supervisión requerida. Ellos deben percibir insumos de parte de los auditores internos y externos.
Otro personal. Los administradores y otro personal deben considerar como se están conduciendo sus responsabilidades de control a la luz de esta estructura conceptual, y discutir con más personal principal las ideas para fortalecer el control. Los auditores internos deben considerar la extensión de su atención sobre el sistema de control interno y pueden desear comparar sus materiales de evaluación con las herramientas de evaluación.
Legisladores y reguladores. Las directivas gubernamentales que escriben o hacen cumplir las leyes reconocen que ellos pueden tener concepciones equivocadas y diferentes expectativas virtualmente respecto de cualquier asunto. Las expectativas sobre el control interno varían ampliamente en dos aspectos. Primero, ellos difieren en la percepción de lo que el control interno puede cumplir. Como se anoto, algunos observadores consideran que los sistemas de control interno deberán, o deberán, prevenir perdidas económicas, o al menos prevenir a las compañías de estar fuera del negocio. Segundo, aunque se llegue a un acuerdo sobre que pueden y que no pueden hacer los sistemas de control interno, y sobre la validez del concepto de seguridad razonable, pueden existir puntos de vista dispares expresados en como los reguladores pueden construir informes públicos afirmando seguridad razonable mucho después de que hayan ocurrido fallas en el control. Antes de que la legislación o la regulación se relacione con los informes administrativos sobre control interno como se hizo arriba, debe llegarse a un acuerdo sobre una estructura conceptual común del control interno, que incluya los límites del control interno. Esta estructura conceptual debe ser útil en tal acuerdo.
Organizaciones profesionales. Quienes producen las reglas, así como otras organizaciones profesionales, proporcionan orientación sobre administración financiera, auditoria y asuntos relacionados; deben considerar sus estándares y orientaciones a la luz de esta estructura conceptual. Como la extensa diversidad de conceptos y terminologías se elimina, todas las partes se beneficiaran.
Educadores. Esta estructura conceptual debe ser tema de investigación y análisis académico, a fin de que en el futuro puedan "hacerse mejoramientos. Con la presunción de que este informe ha sido aceptado como una base común de entendimiento, estos conceptos y términos deberán incluirse en el currículo universitario.
Consideramos que este informe ofrece un buen número de beneficios. Con este fundamento para el entendimiento mutuo, todas las partes serán capaces de hablar un lenguaje común y comunicarse más efectivamente. Los ejecutivos de negocios estarán preparados para valorar los sistemas de control frente a un estándar, fortalecerán los sistemas y conducirán sus empresas hacia los objetivos establecidos. Las investigaciones futuras se apoyaran en una base establecida. Los legisladores y reguladores serán capaces de obtener un entendimiento creciente sobre el control interno, sus beneficios y limites. Con todas las partes empleando una estructura conceptual de control interno común, tales beneficios serán realidad.
PARTE II
FRAMEWORK
(Estructura Conceptual
CAPITULO 1
DEFINICIÓN
Resumen del capitulo: El control interno se define como un proceso, ejecutado por personal de la entidad, diseñado para cumplir objetivos específicos. La definición es amplia, abarca todos los aspectos del control de un negocio, permitiendo así que un directivo se centre en objetivos específicos. El control interno consta de cinco componentes interrelacionados, los cuales son inherentes a la forma como la administración maneja la empresa. Los componentes están ligados, y sirven como criterio para determinar cuando el sistema es objetivo.
Un objetivo clave de este estudio es ayudar a la administración del negocio y a otras entidades a mejorar el control de las actividades de sus organizaciones. Pero el control interno significa distintas cosas para diferentes personas. Y la amplia variedad de denominaciones y significados impide un entendimiento común del control interno. Un objetivo importante, entonces, es integrar varios conceptos de control interno en una estructura conceptual en la cual se establezca una definición común y se identifiquen los componentes del control. Esta estructura conceptual esta diseñada para ajustar la mayor parte de los puntos de vista y proporcionar un punto de arranque para la valoración del control interno de las entidades individuales, para las iniciativas futuras de quienes elaboran reglas y para la educación.
Control Interno
El control interno se define así:
Control interno es un proceso, ejecutado por el consejo de directores, la administración y otro personal de una entidad, diseñado para proporcionar seguridad razonable con miras a la consecución de objetivos en las siguientes categorías:
Efectividad y eficiencia de las operaciones.
Confiabilidad en la información financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Esta definición refleja ciertos conceptos fundamentales:
El control interno es un proceso. Constituye un medio para un fin, no un fin en sí mismo.
El control interno es ejecutado por personas. No son solamente manuales de políticas y formas, sino personas en cada nivel de una organización.
Del control interno puede esperarse que proporcione solamente seguridad razonable, no seguridad absoluta, a la administración y al consejo de una entidad.
El control interno esta engranado para la consecución de objetivos en una o más categorías separadas pero interrelacionadas.
Esta definición de control interno es amplia por dos razones. Primero, es la manera como la mayoría de los ejecutivos principales intercambian puntos de vista sobre control interno en la administración de sus negocios. De hecho, a menudo ellos hablan en términos de control y están dentro de controles.
Segundo, acomoda subconjuntos del control interno. Quienes esperan encontrar centros separados, por ejemplo, en los controles sobre información financiera o en controles relacionados con el cumplimiento de leyes y regulaciones. De manera similar, un centro dirigido sobre los controles en unidades particulares o actividades de una entidad, pueden modificarse.
La definición también proporciona una base para evaluar la efectividad del control interno, la cual es estudiada en este capitulo. Los conceptos fundamentales señalados atrás, se analizan en los apartes siguientes.
Un proceso.
El control interno no es un evento o circunstancia, sino una serie de acciones que penetran las actividades de una entidad. Tales acciones son penetrantes, y son inherentes a la manera como la administración dirige los negocios.
El proceso de los negocios, que es conducido con o a lo largo de las unidades o funciones de la organización, es administrado mediante el proceso básico gerencial de planeación, ejecución y monitoreo. El control interno es parte de ese proceso y esta integrado al mismo. Les facilita funcionar y monitorear su conducta y relevancia continuada. Es una herramienta usada por la administración, no un sustituto de la administración.
Esta conceptualización del control interno es muy diferente de la perspectiva de algunos observadores quienes ven el control interno como un añadido a las actividades de la entidad, o como una carga necesaria, impuesta por los reguladores o por los dictados de burócratas extremadamente celosos. El sistema de control interno esta entrelazado con las actividades de operación de una entidad y fundamentalmente existe por razones de negocios. Los controles internos son más efectivos cuando se construyen dentro de la infraestructura de la entidad y son parte de la esencia de la empresa. Deben ser construidos en mucho más que construidos sobre.
Los controles construidos en pueden afectar directamente la capacidad de una entidad para alcanzar sus objetivos, y soporta las iniciativas de calidad de los negocios. La búsqueda de calidad esta directamente relacionada con la manera como se dirigen los negocios, y por la manera como ellos son controlados. Las iniciativas de calidad hacen parte de la estructura de operación de una empresa, lo cual es evidenciado por:
Los ejecutivos principales buscan asegurar que los valores de calidad se construyan de la manera como la compañía hace negocios.
Estableciendo objetivos de calidad enlazados con la recolección y análisis de información de la entidad y otros procesos.
Usando el conocimiento de prácticas competitivas y expectativas de los clientes para dirigir el mejoramiento contínuo de la calidad.
Esos factores de calidad van paralelos en los sistemas de control interno efectivos. De hecho, el control interno no esta solamente integrado a los programas de calidad, sino que usualmente es fundamental para su éxito.
La construcción de controles también tiene implicaciones importantes en los costos involucrados y en el tiempo de respuesta:
La mayoría de empresas se enfrentan a mercados altamente competitivos y necesitan reducir sus costos. Agregando nuevos procedimientos separados a los existentes, añaden costos. Centrándose en las operaciones existentes y en su contribución al control interno efectivo, y construyendo controles en sus actividades de operaciones básicas, hace a la entidad más flexible y competitiva.
Personal
El control interno es ejecutado por un consejo de directores, la administración y otro personal de una entidad. Es realizado por las personas de una organización quienes establecen los objetivos de la entidad y ubican los mecanismos de control en su sitio.
Similarmente, el control interno afecta las acciones de la gente. El control interno reconoce que la gente no siempre comprende, comunica o desempeña de una manera consistente. Cada individuo lleva a su lugar de trabajo un trasfondo y unas habilidades técnicas únicas, y tiene necesidades y prioridades diferentes.
Tales realidades afectan y son afectadas por el control interno. La gente debe conocer sus responsabilidades y sus límites de autoridad. De acuerdo con ello, deben existir lazos claros y cerrados entre los deberes de la gente y la manera como se llevan a cabo, lo mismo que con los objetivos de la entidad.
El personal de la organización incluye al consejo de directores, así como la administración y otras personas. Aunque los directores suelen ser vistos como quienes primariamente proporcionan supervisión, también proporcionan dirección y aprueban ciertas transacciones y políticas. Por lo tanto, son un elemento importante del control interno.
Seguridad razonable
El control interno, no tanto como es diseñado y operado, puede proporcionar solamente seguridad razonable a la administración y al consejo de directores con miras a la consecución de los objetivos de una entidad. La probabilidad de conseguirlos está afectada por las limitaciones inherentes a todos los sistemas de control interno. Ellas incluyen la realidad de que los juicios humanos en la toma de decisiones pueden ser defectuosos, las personas responsables del establecimiento de los controles necesitan considerar sus costos y beneficios relativos, y la desintegración puede ocurrir a causa de fallas humanas tales como errores simples o equivocaciones. Adicionalmente, los controles pueden circunscribirse a la colusión de dos o más personas. Finalmente, la administración tiene la capacidad de desbordar el sistema de control interno.
Objetivos
Cada entidad fija su misión, estableciendo los objetivos que espera alcanzar y las estrategias para conseguirlos. Los objetivos pueden ser para la entidad, como un todo, o específicos para las actividades dentro de la entidad. Aunque muchos objetivos pueden ser específicos para una entidad particular, algunos son ampliamente participados. Por ejemplo, los objetivos comunes a casi todas las entidades son la consecución y el mantenimiento de una reputación positiva dentro del comercio y los consumidores, proporcionando estados financieros confiables a los accionistas, y operando en cumplimiento de las leyes y regulaciones.
Para este estudio, los objetivos se ubican dentro de tres categorías:
Operaciones, relacionadas con el use efectivo y eficiente de los recursos de la entidad.
Información financiera, relacionada con la preparación de estados financieros públicos confiables.
Cumplimiento, relacionado con el cumplimiento de la entidad con las leyes y regulaciones aplicables.
Esta categorización sitúa el énfasis en aspectos separados del control interno. Tales categorías distintas pero interrelacionadas (un objetivo particular se puede ubicar en más de una categoría) orientan diversidad de necesidades y pueden ser responsabilidad directa de ejecutivos diferentes. Esta categorización también permite distinguir to que se puede esperar de cada categoría de control interno.
De un sistema de control interno se puede esperar que proporcione una seguridad razonable para la consecución de los objetivos relacionados con la confiabilidad de la información financiera y con el cumplimiento de leyes y regulaciones. El cumplimiento de tales objetivos, en gran parte basados en estándares impuestos por sectores externos, depende de cómo se desempeñen las actividades dentro del control de la entidad.
Sin embargo, la consecución de los objetivos de operación -tales como un retorno particular sobre la inversión, participación en el mercado o ingreso de nuevas líneas de producto– no siempre está bajo el control de la entidad. El control interno no puede prevenir juicios o decisiones incorrectas, o eventos externos que puedan causar una falla en el negocio para la consecución de sus objetivos de operación. Para lograr estos objetivos, el sistema de control interno puede proporcionar seguridad razonable solamente si la administración y, en su papel de supervisión, el consejo están siendo acatados, de manera oportuna, en la orientación dada para la consecución de ellos. Componentes
El control interno esta compuesto por cinco componentes interrelacionados. Se derivan de la manera como la administración dirige un negocio, y están integrados en el proceso de administración. Tales componentes son:
Ambiente de control. La esencia de cualquier negocio es su gente -sus atributos individuales, incluyendo la integridad, los valores éticos y la competencia y el ambiente en que ella opera. La gente es el motor que dirige la entidad y el fundamento sobre el cual todas las cosas descansan.
Valoración de riesgos. La entidad debe ser consciente de los riesgos y enfrentarlos. Debe señalar objetivos, integrados con ventas, producción, mercadeo, finanzas y otras actividades de manera que opere concertadamente. También debe establecer mecanismos para identificar, analizar y administrar los riesgos relacionados.
Actividades de control. Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones identificadas por la administración como necesarias para manejar los riesgos en la consecución de los objetivos de la entidad.
Información y comunicación. Los sistemas de información y comunicación se interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir, administrar y controlar sus operaciones.
Monitoreo. Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones. De esta manera el sistema puede reaccionar dinámicamente, cambiando a medida que las condiciones lo justifiquen.
Tales componentes del control interno, así como sus relaciones, se describen en el modelo (ver figura N° 1). El modelo describe el dinamismo de los sistemas de control interno. Por ejemplo, la valoración de riesgos no influye solamente en las actividades de control, sino que también puede ser altamente requerida para reconsiderar las necesidades de información y comunicación, o las actividades de monitoreo de la entidad. Así, el control interno no es un proceso serial, en el cual los componentes afectan solamente al siguiente. Es un proceso interactivo multidireccional en el cual casi todos los componentes pueden influenciar a las otras.
Muestra 1
Componentes del Control Interno
El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control. Sirve como fundamento para los otros componentes. Dentro de este ambiente, la administración valora los riesgos para la consecución de los objetivos específicos. Las actividades de control se implementan para ayudar a asegurar que se están cumpliendo las directivas de la administración para manejar los riesgos. Mientras tanto, se captura y comunica a través de toda la organización la información relevante. El proceso total es monitoreado y modificado cuando las condiciones lo justifican.
Muestra 2
Relación entre Objetivos y Componentes
Existe una relación directa entre objetivos, los cables son aquello que una entidad busca conseguir, y los componentes, que representan aquello que se necesita para conseguir los objetivos.
El control interno relevante para la empresa en su conjunto o para cualquiera de sus unidades activas.
Se necesita información en todas las tres categorías de objetivos para administrar efectivamente las operaciones de negocio, preparar estados financieros confiables y determinar el cumplimiento.
Todos los cinco componentes son aplicables e importantes para conseguir los objetivos de las operaciones.
Dos entidades pueden o no tener el mismo sistema de control interno. Las compañías y sus necesidades de control interno difieren ampliamente por industria y por tamaño, así como por culture y filosofía administrativa. Así, mientras todas las entidades necesitan cada uno de los componentes para mantener el control de sus actividades, el sistema de control interno de una compañía, a menudo, será muy diferente de otros.
Relaciones entre objetivos y componentes
Existe relación directa entre los objetivos, aquellos que una entidad busca conseguir, y los componentes, aquellos que se requieren para conseguir los objetivos. Las relaciones pueden describirse mediante una matriz tridimensional, la cual es presentada en la figura N° 2.
Las tres categorías de objetivos operaciones, información financiera y cumplimiento se representan en las columnas verticales.
Los cinco componentes se representan por filas.
Las unidades o actividades de una entidad, las cuales el control interno relaciona, se describen mediante la tercera dimensión de la matriz.
Cada componente de fila corta al través y aplica a todas las tres categorías de objetivos. Un ejemplo es descrito separadamente en el lado izquierdo de la muestra, como una sección que jalona afuera: los datos financieros y no-financieros generados de recursos internos y externos, como una parte del componente de información y comunicación, son necesarios para la administración efectiva de las operaciones de negocio, el desarrollo de estados financieros confiables y determina que la entidad está cumpliendo con las leyes aplicables. Otro ejemplo (que no es descrito de manera separada), el establecimiento y ejecución de políticas y procedimientos de control para asegurar que los planes, programas y otras directivas de la administración se llevan a cabo -representan el componente actividades de control- también es relevante para todas las otras tres categorías de objetivos.
De manera similar, mirando las categorías de objetivos, todos los cinco componentes son relevantes para cada una. Para la consecución de la categoría, la efectividad y la eficiencia de las operaciones, por ejemplo, todos los cinco componentes son aplicables e importantes. Ello es ilustrado de manera separada en la base izquierda de la figura N° 2.
El control interno es relevante para toda la empresa, o para una de sus partes. Su relación es descrita por la tercera dimensión, la cual representa subsidiarias, divisiones a otras unidades del negocio, o funcionales a otras actividades tales como compras, producción y mercadeo. De acuerdo con ello, uno se puede centrar en cualquiera de las células de la matriz. Por ejemplo, se puede considerar la celda base-derechafrente, que representa el ambiente de control y su relación con los objetivos de operaciones de una división particular de la compañía.
Efectividad
Los diferentes sistemas de control interno de las entidades operan en diversos niveles de efectividad. De manera similar, fin sistema particular puede operar de varias maneras en diferentes tiempos. Cuando fin sistema de control interno refine los siguientes estándares, se le puede denominar efectivo.
El control interno es efectivo en cada una de las tres categorías, respectivamente, si el consejo de directores y la administración tienen seguridad razonable de que:
Entienden que la duración en el tiempo durante el cual se están consiguiendo los objetivos de las operaciones de la entidad.
Los estados financieros publicados están siendo preparados confiablemente.
Se esta cumpliendo con las leyes y las regulaciones aplicables.
Puesto que el control interno es fin proceso, su efectividad se mide a través del tiempo.
La determinación de cuando fin sistema particular de control interno es efectivo es fin juicio resultante de evaluar si los cinco componentes se dan y funcionan efectivamente. Su funcionamiento efectivo proviene de la seguridad razonable mirando 1 consecución de una u más de las categorías establecidas. Así, tales componentes sir ven de criterio para el control interno efectivo.
Si bien se pueden satisfacer los cinco criterios, ello no significa que cada componente pueda funcionar de manera idéntica, o en el mismo nivel, en entidades diferentes. Pueden existir algunos intercambios entre los componentes. Puesto que los con' troles pueden servir a una variedad de propósitos, esos controles en un componente pueden ser aplicados en otros componentes. Adicionalmente, los controles pueden diferir en el grado en que manejan fin riesgo particular, bien como controles complementarios, o con efectos limitados; pueden ser satisfactorios al mismo tiempo.
Esos componentes y criterios se aplican a fin sistema de control interno total, o una o más categorías de objetivos. Cuando se considera cualquier categoría controles sobre informes financieros, por ejemplo- se deben satisfacer todos los cinco criterios, en orden a concluir que el control interno sobre la información financiera e efectiva.
Los capítulos siguientes deben considerarse cuando se quiera determinar si fin sistema de control interno es efectivo. Debe reconocerse:
Puesto que el control interno es una parte del proceso administrativo, los componentes se discuten en el contexto de lo que la administración esta haciendo en la ejecución de fin negocio. No todo lo que la administración hace, sin embargo, es fin elemento del control interno. El establecimiento de objetivos, por ejemplo, que es una importante responsabilidad administrativa, es fin pre-requisito para el control interno. De manera similar, muchas decisiones y acciones de la administración no representan control interno. La figura N° 3 presenta una lista de las acciones administrativas mas comunes e indica cuales se consideran componentes del control interno. (El significado de este listado tampoco es total y no representa una vía única para describir las actividades de la administración).
Los principios discutidos se aplican a todas las entidades, independientemente del tamaño. Puesto que algunas entidades pequeñas y medianas pueden implementar de manera diferente los factores componentes con relación a las grandes, ellas calladamente pueden tener control interno efectivo. Cada capitulo sobre los componentes tiene una sección que ilustra tales circunstancias.
Cada capitulo sobre componentes contiene una sección de evaluación con factores que uno puede considerar en la evaluación del componente. No se pretende que tales factores se incluyan en su totalidad, no todos ellos son relevantes en cada circunstancia; se ofrecen como ilustración para desarrollar fin programa de evaluación mas comprensivo o apropiado.
Muestra 3 El Control Interno y el Proceso Administrativo | |||
Actividades administrativas | Control Interno | ||
Definición de objetivos, misión y valores de la cantidad |
| ||
Planeación estratégica |
| ||
Establecimiento de factores del ambiente de control | |||
Definición de los objetivos por nivel de actividad |
| ||
Identificación y análisis de riesgos | |||
Administración de riesgos |
| ||
Dirección de las actividades de control | |||
Identificación, captura y comunicación de información | |||
Monitoreo | |||
Acciones correctivas |
| ||
CAPITULO 2
AMBIENTE DE CONTROL
Resumen del capitulo: El ambiente de control establece el tono de una organización, para influenciar la conciencia de control de su gente. Es el fundamento de todos los demos componentes del control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la competencia de la gente de la entidad; la filosofía de los administradores y el estilo de operación; la manera como la administración asigna autoridad y responsabilidad, y como organiza y desarrolla a su gente y la atención y dirección que le presta el consejo de directores.
El ambiente de control tiene una influencia profunda en la manera como se estructuran las actividades del negocio, se establecen los objetivos y se valoran los riesgos. Esto es cierto no solamente en su diseño, sino también en la manera como opera en la practica. El ambiente de control esta influenciado por la historia y por la cultura de la entidad. Influye en la conciencia de control de su gente. Las entidades efectivamente controladas se esfuerzan por tener gente competente, inculcan actitudes de integridad y conciencia de control a todo lo ancho de la empresa, y establecen un tono por lo alto positivo. Establecen las políticas y los procedimientos apropiados, incluyen a menudo un código de conducta escrito, el cual fomenta la participación de los valores y el trabajo en equipo, en aras de conseguir los objetivos de la entidad.
FACTORES DEL AMBIENTE DE CONTROL
El ambiente de control cubre los factores discutidos arriba. Si bien todos ellos son importantes, el momento en el cual cada uno es aplicado variara con la entidad. Por ejemplo, el director ejecutivo de una entidad con una pequeña fuerza de trabajo y con operaciones centralizadas puede no establecer líneas formales de responsabilidad y políticas de operación detalladas y puede, sin embargo, tener un ambiente de control apropiado.
Integridad y valores éticos
Los objetivos de una entidad y la manera como se logren, están basados en preferencias, juicios de valor y estilos administrativos. Tales preferencias y juicios de valor trasladados a estándares de conducta, reflejan la integridad de los administradores y su compromiso con los valores éticos.
Puesto que la buena reputación de una entidad se valora así, el estándar de conducta debe ir más allá del solo cumplimiento de la ley. Para la buena reputación de las mejores compañías, la sociedad espera más que eso.
La efectividad de los controles internos no puede elevarse por encima de la integridad y de los valores éticos de la gente que los crea, administra y monitorea. La integridad y los valores éticos son elementos esenciales del ambiente de control, y afectan el diseño, la administración y el monitoreo de los otras componentes del control interno.
La integridad es un pre-requisito para el comportamiento ético en todos los aspectos de las actividades de una empresa. Como lo concibe la Treadway Commission, Un clima ético corporativo fuerte en todos los niveles es vital para el bienestar de la corporación, de todos sus componentes, y del público en general. Tal clima contribuye de manera importante a la efectividad de las políticas de la compañía y de los sistemas de control, y ayuda a influenciar la conducta que no esta sujeta de la misma manera a los más elaborados sistemas de control.
Establecer valores éticos a menudo es difícil a causa de la necesidad de considerar lo concerniente a distintos estamentos. Los valores de la alta gerencia deben equilibrar lo que concierne a la empresa, a sus empleados, proveedores, clientes, competidores y público. El equilibrio de ello puede constituir un esfuerzo complejo y frustrante porque los intereses a menudo son opuestos. Por ejemplo, suministrar un producto esencial (petróleo, manera o alimento) puede originar algunos problemas ambientales.
Los administradores de las empresas bien dirigidas han aceptado el punto de vista de que la ética paga, que la conducta ética es buen negocio. Abundan ejemplos positivos y negativos. La publicidad muy bien manejada por una compañía farmacéutica respecto de la crisis de uno de sus principales productos fue salidamente ética así como también salidamente de negocios. El impacto que malas noticias, suavemente filtradas, tienen en las relaciones con los clientes o en los niveles de precios, tales como leves caídas en las utilidades o actos ilegales, generalmente es mayor que si se hicieran revelaciones plenas tan rápido como fuese posible.
No es bueno centrarse solamente en los resultados a corto plazo, puede haber daño igualmente en el corto plazo. El concentrarse en la línea de base -ventas o utilidades a cualquier costo– a menudo produce acciones y reacciones no buscadas. Las tácticas de ventas de alta presión, crueldad en las negociaciones u ofertas implícitas de reacciones violentas, por ejemplo, pueden provocar reacciones de efectos inmediatos (lo mismo que duraderos).
La conducta ética y la integridad administrativa son producto de la cultura corporativa. La cultura corporativa incluye estándares éticos y de comportamiento, la manera cómo ellos son comunicados y cómo se refuerzan en la práctica. Las políticas oficiales especifican lo que la administración espera que suceda. La cultura corporativa determina lo que actualmente sucede, y cuales reglas se obedecen, se propenden o ignoran. La alta administración -comenzando con el CEO- juega un papel clave en la determinación de la cultura corporativa. El CEO generalmente es la personalidad dominante en una organización, y a menudo señala su tono ético.
Incentivos y tentaciones. Hace algunos anos un estudio sugirió que ciertos factores organizacionales pueden influenciar la probabilidad de practicas de información financiera fraudulentas y cuestionables. Esos mismos factores también influyen en la conducta ética.
Los individuos pueden involucrarse en actos deshonestos, ilegales o antitéticos simplemente porque sus organizaciones les ofrecen fuertes incentivos o tentaciones para hacerlo. El énfasis en los resultados, particularmente en el corto plazo, fomenta un ambiente en el cual el precio de los fracasos puede llegar a ser muy alto.
Los incentivos citados, que permiten involucrarse en prácticas de información financiera fraudulenta o cuestionable y, por extensión, otras formas de conducta antitética, son:
Presiones para cumplir objetivos de desempeño irreales, particularmente resultados de corto plazo,
Alias recompensas dependientes del desempeño, y
Cortes de operaciones superiores y bajos en los planes de bonos.
El estudio mencionado también citó tentaciones a los empleados para involucrarse en actos impropios:
Controles no existentes o inefectivos, tales como malas segregaciones de funciones en áreas sensibles, que ofrecen facilidad para robos o para encubrir malos desempeños.
Alta descentralización que abandona la buena administración, ignorante de acciones tomadas en los niveles bajos de la organización y por consiguiente reduce las oportunidades de conseguir resultados.
Una función de auditoria interna débil que no time la capacidad de detectar e informar conductas impropias.
Un consejo de directores inefectivo que no proporciona advertencias a la negligencia de la alta administración.
Sanciones insignificantes o no publicadas a conductas impropias, para de esta manera perder sus valores y desinhibirlos.
Eliminar o reducir esas iniciativas y tentaciones puede significar un largo camino hacia la disminución de conductas indeseables. Como se sugirió, esto puede adquirirse siguiendo practicas de negocios sólidas y rentables. Por ejemplo, los incentivos de desempeño -acompañados de controles adecuados- pueden ser una útil técnica administrativa siempre que los objetivos de desempeño sean realistas. Señalar objetivos de desempeño realistas es una sólida práctica motivadora, reduce el estrés derivado de obtener el máximo de los objetivos, así como la posibilidad de información financiera fraudulenta que crean los objetivos irreales. De manera similar, un sistema de información bien controlado puede servir como salvaguardia contra la posibilidad de desempeño incorrecto.
Proporcionando y comunicando orientación moral.
Además de los incentivos y tentaciones discutidos, el estudio antes mencionado encuentra una tercera causa de las prácticas de información financiera fraudulenta y cuestionable. El estudio encontró que en muchas de las compañías que sufrieron efectos de información financiera con poder de engañar, la gente involucrada ni siquiera conocía que lo que estaba haciendo era equivocado o erróneo, consideraban que estaban actuando en favor del mejor interés de la organización. Esta ignorancia, es a menudo, ocasionada por una estructura o una orientación moral pobre, mucho más que por una intención a engañar. De esta manera, no solamente se deben comunicar los valores éticos, sino que se debe dar orientación explicita señalando que es correcto y que esta equivocado.
La manera más efectiva de transmitir un mensaje de comportamiento ético en la' organización es el ejemplo. La gente imita a sus líderes. A los empleados les gusta desarrollar las mismas actitudes acerca de lo que es correcto y equivocado -y respecto del control interno- como se actúa en la alta administración. El conocimiento que tiene el CEO sobre hacer las cosas correctas éticamente, cuando se esta frente a una difícil decisión de negocios, significa un mensaje fuerte a todos los niveles de la organización. Presentar un buen ejemplo no es sencillo. La jerarquía debe comunicar verbalmente a los empleados los valores y los estándares de comportamiento de la entidad. Hace algunos anos un estudio concluyó que un código formal de conducta corporativa es un método ampliamente usado para comunicar a los empleados las expectativas acerca de deberes e integridad. Los códigos orientan una variedad de sucesos de comportamiento, tales como integridad y ética, conflictos de interés, pagos ilegales impropiamente diferentes, y acuerdos anti-competitivos. Estimulados en parte por revelaciones de escándalos en la industria de defensa, muchas compañías han adoptado tales códigos en anos recientes, junto con los necesarios canales de comunicación y monitoreo. Aunque los códigos de conducta pueden ser titiles, no constituyen el único camino para transmitir los valores éticos de una organización a los empleados, proveedores y clientes.
La existencia de un código de conducta escrito; junto con la documentación respecto de que ellos lo recibieron y entendieron, no asegura que este siendo seguido. El cumplimiento con los estándares éticos, ya sea que estén o no incluidos en un código de conducta escrito, se asegura mejor mediante las acciones y los ejemplos de la alta administración. De particular importancia resultan los castigos a los empleados que violan tales códigos, mecanismos que existen para asegurar que ellos informen de violaciones sospechosas, y acciones disciplinarias contra empleados que fallan en el reporte de violaciones. Los mensajes enviados mediante acciones de la administración rápidamente se integran a la cultura corporativa.
Compromisos para la competencia
La competencia debe reflejar el conocimiento y las habilidades necesarios para realizar las tareas que definen los trabajos individuales. Que tan bien se requiere que se cumplan esas tareas es generalmente una decisión de la administración, quien considerara los objetivos de la entidad, las estrategias y planes para la consecución de los objetivos. A menudo existe un intercambio entre la competencia y los costos, no es necesario, por ejemplo, pagar un ingeniero eléctrico para cambiar una bombilla.
La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades. Los conocimientos y las habilidades necesarios podrán a su tumo depender de la inteligencia, entrenamiento y experiencia de los individuos. Entre los muchos factores considerados en el desarrollo de niveles de conocimiento y habilidades están la naturaleza y grades de juicio que se debe aplicar a un trabajo específico. A menudo puede darse un intercambio entre supervisión y nivel de competencias requerido del individuo.
Consejo de directores o comité de auditoria
EL ambiente de control y el tono en el nivel alto se ven influenciados significativamente por el consejo de directores y por el comité de auditoria de la entidad. Tales factores incluyen la independencia frente a los administradores por parte d el consejo o del comité de auditoria, la experiencia y la posición social 15 de sus miembros, la extensión de su participación y del escrutinio de las actividades, y lo apropiado que puedan ser sus acciones. Otro factor es el grado de dificultad de las preguntas emanadas y perseguidas por la administración mirando los planes de desempeño. La interacción del consejo o comité de auditoria con los auditores internos y externos es otro factor que afecta el ambiente de control.
Debido a su importancia, un consejo de directores, consejo de fideicomisarios u otro cuerpo similar, activo e involucrado -que tenga un grado apropiado de experiencia administrativa, técnica y otra, acoplado con el nivel y pensamiento a fin de que pueda desempeñar adecuadamente el gobierno, la orientación y advertencia necesarios es fundamental para un control interno efectivo. Y, dado que el consejo debe e estar preparado para indagar y escrutar las actividades de los administradores, presentar los puntos de vista alternativos y tener el valor de actuar frente a acciones inconvenientes, es necesario que tenga directores externos. Como, los ejecutivos y los empleados a menudo son miembros del consejo altamente efectivos e importantes, ofrecen conocimiento de la compañía en las juntas. Pero debe realizarse un balance=. Si bien las compañías pequeñas así como las medianas, pueden encontrar dificultades para atraer o incurrir en los costos de tener una mayoría de directores externos -que no es el caso usual en las grandes organizaciones- es importante que el consejo o tenga al menos un grupo aceptable de directores externos. El número debe considerar las circunstancias de la entidad, pero normalmente se necesitan más de un director externo para que un consejo tenga el balance requerido.
La necesidad y las funciones de los consejos directivos y de los comités de auditoria se verán adelante bajo el titulo Aplicación a las Entidades Pequeñas y Medianas.
Filosofía y estilo de operación de la administración
La filosofía y el estilo de operación de la administración afecta la manera como la empresa es manejada, incluyendo el conjunto de riesgos normales de los negocios. Una entidad que ha tenido éxito asumiendo riesgos significativos puede tener una percepción diferente sobre el control interno que otra que ha tenido austeridad económica o consecuencias reguladoras como resultado de sus incursiones en negocios de alto riesgo. Una compañía administrada informalmente puede controlar las operaciones ampliamente mediante el contacto cara a cara con los administradores claves. Otra, administrada mas formalmente puede confiar en políticas escritas, indicadores de desempeño e informes de excepción.
Otros elementos de la filosofía y el estilo de operación de los administradores incluyen actitudes frente a la información financiera, selección conservadora o agresiva frente a los principios contables alternativos, conciencia y conservadurismo con los estimados contables que se estén desarrollando, y actitudes frente al procesamiento de datos y funciones de contabilidad y de personal. Cómo la administración debe cumplir sus responsabilidades se verá en el Capitulo 8.
Estructura organizacional
La estructura organizacional de una entidad proporciona la estructura conceptual mediante la cual se planean, ejecutan, controlan y monitorean sus actividades para la consecución de los objetivos globales. Las actividades pueden relacionarse con lo que a veces se denomina cadena de valor: actividades de acceso al interior (recepción), operaciones o producción, salida al exterior (embarque), mercadeo, ventas y servicio. Pueden existir funciones de apoyo, relacionadas con la administración, recursos humanos o desarrollo de tecnologías.
Los aspectos significativos para el establecimiento de una estructura organizacional incluyen la definición de las áreas claves de autoridad y responsabilidad y el establecimiento de las líneas apropiadas de información. Por ejemplo, el departamento de auditoria interna debe tener acceso sin restricción al ejecutivo jefe que no es directamente responsable de la preparación de los estados financieros de la compañía y debe tener autoridad suficiente para asegurar la cobertura de auditoria apropiada y para haber cumplir sus ordenes y recomendaciones.
Una entidad desarrolla una estructura organizacional adaptada a sus necesidades. Algunas son centralizadas, otras descentralizadas. Algunas tienen relaciones de información directas, otras son más organizaciones matriciales. Algunas entidades están organizadas por industria o línea de producto, por ubicación geográfica o por una distribución particular o red de mercadeo. Otras entidades, incluyendo muchas unidades estatales o gobiernos locales e instituciones sin ánimo de lucro, están organizadas sobre una base funcional.
La conveniencia de la estructura organizacional de una entidad depende, en parte, de su tamaño y de la naturaleza de sus actividades. Una organización altamente estructurada, incluyendo líneas y responsabilidades de información formal, puede ser apropiada para una entidad grande con numerosas divisiones operativas, incluyendo operaciones en el extranjero. Sin embargo, una entidad pequeña puede impedir el flujo de información necesario. Cualquiera que sea la estructura, las actividades de una entidad serán organizadas para llevar a cabo las estrategias diseñadas par a cumplir los objetivos específicos.
Asignación de autoridad y responsabilidad
Esto incluye la asignación de autoridad y responsabilidad para actividades de operación, y el establecimiento de relaciones de información y de protocolos de autorización. Involucra el grado en el cual los individuos y los equipos son animados a usar su iniciativa en la orientación y en la solución de problemas, así como los límites de su autoridad. También se refiere a las políticas que describen las practicas apropiadas para el tipo de negocio, el conocimiento y la experiencia del personal clave, y lo s recursos previstos para cumplir con sus deberes.
Existe una tendencia creciente para promover la autoridad en forma descendiente para originar la toma de decisiones solamente en el personal ejecutivo. Una entidad puede orientarse más al mercado o centrarse en la calidad, acaso para eliminar defectos, reducir los tiempos o incrementar la satisfacción del cliente. Para ello, la empresa necesita reconocer y responder a las prioridades cambiantes en las oportunidades de mercado, en las relaciones de negocios y en las expectativas del público. La distribución de autoridad y responsabilidades a menudo son diseñadas para encausar las iniciativas individuales les, dentro de ciertos límites. La delegación de autoridad, o empowerment, significa cede el control central de ciertas decisiones de negocios a líneas bajas, a los individuos que están cerrando diariamente las transacciones del negocio. Esto puede envolver empowerment para venta de productos o descuentos en precios; negociación de contratos de suministro, licencias o patentes a largo plazo; o realizar alianzas o joint ventures.
Un cambio crítico es delegar solamente en lo requerido para la consecución de los objetivos. Esto requiere asegurar que la aceptación de riesgos esta basada en prácticas sólidas para la identificación y minimización de los riesgos, incluyendo aquellos de tamaño y ponderación de perdidas potenciales contra ganancias en la consecución de buenos resultados en los negocios.
Otro cambio consiste en asegurar que todo el personal entienda los objetivos de la entidad. Es esencial que cada individuo conozca como sus acciones interrelacionan y contribuyen a la consecución de los objetivos.
La delegación acrecentada algunas veces esta acompañada o es el resultado de extralimitación o desinflamento de la estructura organizacional de una entidad, y es intencional. La plena intención del cambio estructural para encausar la creatividad, la iniciativa y la capacidad para reaccionar rápidamente pueden engrandecer la competitividad y la satisfacción del cliente. Tal delegación acrecentada puede acarrear un requerimiento implícito por un nivel alto de competencia de los empleados, así como una mayor responsabilidad'–O. También requiere procedimientos efectivos para que la administración monitoree los resultados. Junto con el mejoramiento, las decisiones orientadas al mercado, el empowerment puede incrementar el número de decisiones indeseables o no anticipadas. Si un administrador de distrito de ventas decide que la autorización para vender por encima del 35% de lista justifica un descuento temporal del 45% para ganar participación en el mercado, la administración puede necesitar conocer si ello supera las reglas o aceptar que tales decisiones son de avanzada.
El ambiente de control es gratamente influenciado por la extensión en la cual los individuos reconocen que ellos deberán ser responsables. Esto sostiene ciertamente la manera como los directores ejecutivos, quienes tienen la responsabilidad última por todas las actividades de una entidad, incluyendo el sistema de control interno.
Políticas y prácticas sobre recursos humanos.
Las prácticas sobre recursos humanos usan el envío de mensajes a los empleados para percibir los niveles esperados de integridad, comportamiento ético y competencia. Tales practicas se relacionan con empleo, orientación, entrenamiento, evaluación, consejería, promoción, compensación y acciones remediales. Por ejemplo, normas para vincular los individuos mas calificados, con énfasis en su bagaje educacional, experiencia previa de trabajo, logros pasados y evidencia de integridad y comportamiento ético, significan un compromiso de la entidad con gente competente y confiable. Las practicas de reclutamiento que incluyen entrevistas formales, a profundidad y presentaciones informativas y totalmente claras sobre la historia, la cultura y el estilo de operación de la entidad, significan que la entidad esta comprometida con sus empleados. Las políticas de entrenamiento que comunican funciones y responsabilidades prospectivas y que incluyen practicas tales como cursos de entrenamiento y seminarios, estudio de casos simulados y ejercicios practicas, ilustran los niveles esperados de desempeño y comportamiento. La rotación de personal y las promociones orientadas al desempeño periódico evaluado, demuestran el compromiso de la entidad con el avance del personal calificado hacia altos niveles de responsabilidad. Los programas de compensación competitivos que incluyen incentivos sirven para motivar y reforzar los resultados de desempeño. Las acciones disciplinarias sirven de mensaje a los empleados en cuanto a que las violaciones a los comportamientos esperados no serán toleradas.
Es esencial que el personal este preparado para los nuevos cambios que realiza la empresa tornándola, más compleja, orientados en parte por las tecnologías rápidamente cambiantes y por la competencia creciente. La educación y el entrenamiento, ya sea por instrucción en salones de clase, auto-estudio o experiencia en el trabajo, deben servir a la gente de una empresa para conservar la buena marcha y mantener el ambiente envolvente. Deben también fortalecer las habilidades de la entidad para realizar iniciativas de calidad. El empleo de gente competente y el entrenamiento' sobre la marcha no son suficientes. El proceso de educación debe ser ongoing''.
DIFERENCIAS E IMPLICACIONES
El ambiente de control de las divisiones de operación autónoma y foránea de una entidad, así como de las subsidiarias domesticas, puede variar ampliamente debido a las diferencias en las preferencias, los juicios de valor y los estilos de administración de los funcionarios operativos principales. Esos ambientes de control pueden variar por diversas razones. Puesto que dos divisiones operativas o externas o subsidiarias domesticas no son administradas de la misma manera, es improbable que tales ambientes de control sean los mismos. Es importante, sin embargo, reconocer el efecto que la variación en los ambientes de control pueda tener sobre los otros componentes de un sistema de control interno.
El impacto de un ambiente de control inefectivo puede ser de largo alcance, posiblemente derivando en perdidas financieras, deterioro de la imagen publica o fracaso en los negocios. Considérese, por ejemplo, el caso de la defensa de un contratista considerado como de control interno efectivo. La compañía tuvo sistemas de información y actividades de control bien diseñados, extensos manuales de políticas que prescribían las funciones de control, y amplias rutinas de conciliación y supervisión. Ha sufrido auditorias gubernamentales frecuentes. El ambiente de control, sin embargo, fue significativamente imperfecto. La administración principal no esperaba conocer si estaban ocurriendo hechos incorrectos. Cuando los signos de las actividades fraudulentas se hicieron fuertes, los ejecutivos de la administración principal los negaron. La defensa del contratista encontró que estaba involucrado en actividades fraudulentas con el Pentágono, fue valorada como sutilmente significativa y padeció vergüenza pública de cobertura media extensiva.
La actitud y el interés de la alta gerencia por un control interno efectivo deben cubrir toda la organización. No es suficiente pronunciar las palabras correctas. Una actitud de lo digo, no lo hago muy difícilmente podrá originar un ambiente sano.
APLICACIÓN A LAS ENTIDADES PEQUEÑAS Y MEDIANAS
Puesto que cada entidad puede asumir los conceptos subyacentes en este capitulo, las entidades medianas y pequeñas pueden implementar los factores del ambiente de control de una manera muy diferente a como lo hacen las entidades grandes. Por ejemplo, una compañía pequeña puede no tener un código de conducta escrito, pero ello no necesariamente significa que la compañía no tenga una cultura que enfatice la importancia de la integridad y determinado comportamiento ético. Siempre que haya un compromiso visible y directo del CEO o de los administradores-propietarios y de la gerencia con la integridad y el comportamiento ético puede ser comunicado oralmente en las reuniones de staff, las reuniones uno-a-uno y las relaciones con vendedores y clientes. Su propia integridad y su propio comportamiento, sin embargo, son críticos y deben ser consistentes con el mensaje oral a causa del contacto de primera mano que los empleados tienen con ellos. Usualmente, debido a los pocos niveles de administración, la velocidad del mensaje conduce, a través de la organización, a conductas aceptables.
Así mismo, las políticas de recursos humanos pueden no estar formal izadas, como se esperaba en una compañía grande. Las políticas y practicas pueden, sin embargo, existir y ser comunicadas. El CEO puede hacer explicitas sus expectativas respecto del tipo de personas a vincular para realizar un trabajo particular, y puede participar activamente en el proceso de vinculación. La documentación formal no siempre es necesaria para que una política se tenga y opere efectivamente.
A causa de la importancia critica de un consejo de directores o de cuerpos similares, de la misma manera las entidades pequeñas requieren de tal consejo o cuerpo para un control interno efectivo. Como se noto, a menudo es más difícil y costoso para una compañía pequeña mantener una mayoría de directores externos, y puede ser innecesario hacerlo. La independencia requerida a menudo puede obtenerse mediante un pequeño número de directores externos. El factor sobresaliente es que debe señalarse una masa crítica, de la cual, simplemente, es suficiente que los directores externos vean lo que el consejo realiza, los asuntos complicados y toma las acciones difíciles cuando sea necesario. Existe una sola excepción a la necesidad de tai consejo. Se da en una entidad que es administrada por sus propietarios, y no va en búsqueda de capital fuera de ella, un consejo, si bien puede ser útil, sin embargo no es necesario para un control interno efectivo.
EVALUACIÓN
Un evaluador debe considerar cada factor del ambiente de control para determinar cuando existe un ambiente de control positivo. Se presentan a continuación varios aspectos a tener en cuenta. La lista no es completa, no todos los ítems se aplican a todas las entidades, pero sirven como punto de partida. Si bien algunos de los ítems son altamente subjetivos y requieren juicio considerable, generalmente son relevantes para la efectividad del ambiente de control.
Integridad y valores éticos
Existencia e implementación de códigos de conducta y otras políticas mirando las prácticas de negocios aceptables, los conflictos de interés, o los estándares esperados de comportamiento ético y moral.
Relaciones con los empleados, proveedores, clientes, inversionistas, acreedores, aseguradores, competidores, y auditores, etc. (por ejemplo, si los administradores orientan el negocio sobre un piano de alta ética, e insisten en que otros lo hagan, o presten poca atención a los asuntos éticos).
Presión por cumplir objetivos de desempeño irreales -particularmente por resultados de corto plazo- y extensión en la cual la compensación esta basada en la consecución de tales objetivos de desempeño.
Compromiso por la competencia
Descripciones formales o informales de trabajo u otras maneras de definir tareas que. comprenden trabajos particulares.
Análisis del conocimiento y de las habilidades necesarias para desempeñar adecuadamente los trabajos.
Consejo de directores o comité de auditoria
Independencia frente a la administración, que tanta es necesaria, lo mismo que si se suscitan dudas, difíciles y probadas.
Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero y/o los ejecutivos de contabilidad, los auditores internos y los auditores externos.
Suficiencia y oportunidad mediante la cual se proporciona información al consejo o comité de miembros, para permitir monitoreo de los objetivos y estrategias de la administración, la posición financiera y los resultados de operación de la entidad, y los términos de los acuerdos significativos.
Suficiencia y oportunidad mediante la cual el consejo o comité de auditoria recibe información sensitiva, investigaciones y actos impropios (por ejemplo, gastos de viaje de ejecutivos principales, litigios significativos, investigaciones de agencias reguladoras, desfalcos, peculado o use indebido de activos, violaciones de las reglas internas del negocio, pagos políticos, pagos legales).
Filosofía y estilo de operación de la administración
Naturaleza de los riesgos de negocio aceptados, p.ej., cuando la administración a menudo entra en convenios particulares de alto riesgo, o es extremadamente conservadora en la aceptación de riesgos.
Frecuencia de interacción entre la administración principal y la administración operativa, particularmente cuando operan desde localizaciones geográficamente apartadas.
Actitudes y acciones hacia la información financiera, incluyendo disputas sobre aplicación de acuerdos contables (p.ej., selección de políticas contables conservadoras versus liberales; cuando los principios contables han sido erróneamente aplicados, no se revela información financiera importante, se manipulan o falsifican registros).
Estructura organizacional
Conveniencia de la estructura organizacional de la entidad, y su habilidad para proporcionar el flujo de información necesario para administrar sus actividades.
Claridad en la definición de las responsabilidades clave de los administradores, y su entendimiento de esas responsabilidades.
Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus responsabilidades.
Valoración de autoridad y responsabilidad
Asignación de responsabilidad y delegación de autoridad para cumplir con las metas y con los objetivos organizacionales, las funciones de operación y los requerimientos reguladoras, incluyendo responsabilidad por los sistemas de información y autorizaciones para cambios.
Conveniencia de estándares y procedimientos relacionados-con-el-control, incluyendo descripciones de trabajo de los empleados.
Numero apropiado de gente, particularmente con respecto al procesamiento de datos y a las funciones de contabilidad, con los niveles de habilidades requeridos relativos al tamaño de la entidad y a la naturaleza y complejidad de las actividades y sistemas.
Políticas y prácticas de recursos humanos
Forma de aplicación de las políticas y los procedimientos para vinculación, entrenamiento, promoción y compensación de empleados.
Conveniencia de las acciones remédiales desarrolladas en respuesta a desviaciones de las políticas y los procedimientos aprobados.
Si el chequeo de la experiencia de los candidatos a empleo es adecuado, particularmente en relación con las acciones o actividades principales consideradas como inaceptables por la entidad.
Si son adecuados los criterios de retención y promoción de empleados y técnica de recolección de información (p.ej., evaluaciones de desempeño) y relación con el código de conducta u otras orientaciones de comportamiento.
CAPITULO 3
VALORACIÓN DE RIESGOS
Resumen del capitulo: Cada entidad enfrenta una variedad de riesgos derivados de fuentes externas e internas, los cuales deben valorarse. Una condición previa para la valoración de riesgos es el establecimiento de objetivos, enlazados en niveles diferentes y consistentes internamente. La valoración de riesgos es la identificación y análisis de los riesgos relevantes para, la consecución de los objetivos, formando una base para la determinación de como deben administrarse los riesgos.
Dado que las condiciones económicas, industriales, reguladoras y de operación continuarían cambiando, se necesitan mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
Todas las entidades, sin hacer caso de tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos en todos los niveles de sus organizaciones. Los riesgos afectan la habilidad de la entidad para sobrevivir; afortunadamente compiten dentro de su industria; mantienen su fortaleza financiera y la imagen publica positiva y mantienen la calidad total de sus productos, servicios y gente. No existe una manera práctica para reducir los riesgos a cero. En verdad, la decisión de estar en los negocios crea riesgos. La administración debe determinar cuantos riesgos es prudente aceptar, y se esfuerza por mantenerlos dentro de esos niveles.
La definición de objetivos es una condición previa para la valoración de riesgos. Primero que todo, deben definirse los objetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias para administrarlos. La definición de objetivos, entonces, es una parte clave del proceso administrativo. No es un componente del control interno, pero es un prerrequisito para hacer posible el control interno. Este capitulo expone primero los objetivos y luego la discusión de los riesgos.
OBJETIVOS
La definición de objetivos puede ser un proceso altamente estructurado o informal. Los objetivos pueden definirse explícitamente, o ser implícitos, tal como mantenerse en un nivel pasado de desempeño. Los objetivos a menudo están representados por la misión de la entidad y por la declaración de valores. El conocimiento de las fortalezas y debilidades de la entidad, y de las oportunidades y amenazas, conduce hacia una estrategia global. Generalmente el plan estratégico es establecido de manera amplia, teniendo que ver con el nivel alto de asignación de recursos y prioridades.
| Página siguiente |