Valoración de riesgos.
Cada entidad enfrenta una variedad de riesgos de fuentes
externas e internas, los cuales deben valorarse. Una
condición previa a la valoración de riesgos es el
establecimiento de objetivos,
enlazados en distintos niveles y consistentes internamente. La
valoración de riesgos es la identificación y el
análisis de los riesgos relevantes para la
consecución de los objetivos, constituyendo una base para
determinar como se deben administrar los riesgos. Dado que la
economía, la industria, las
regulaciones y las condiciones de operación continuaran
cambiando, se requieren mecanismos para identificar y tratar los
riesgos especiales asociados con el cambio.
Actividades de control. Las actividades de control
son las políticas y los procedimientos que ayudan a
asegurar que las directivas administrativas se lleven a cabo.
Ayudan a asegurar que se tomen las acciones necesarias para
orientar los riesgos hacia la consecución de los
objetivos de la entidad. Las actividades de control se den a
todo lo largo de la organización, en todos los niveles
y en todas las funciones. Incluyen un rango de actividades
diversas como aprobaciones, autorizaciones, verificaciones,
conciliaciones, revisiones de desempeño operacional,
seguridad de activos y segregación de funciones.
Información y comunicación. Debe
identificarse, capturarse y comunicarse información
pertinente en una forma y en un tiempo que les permita a los
empleados cumplir con sus responsabilidades. Los sistemas de
información producen reportes, contienen
información operacional, financiera y relacionada con
el cumplimiento, que hace posible operar y controlar el
negocio. Tiene que ver no solamente con los datos generados
internamente, sino también con la información
sobre eventos, actividades y condiciones externas necesarias
para la toma de decisiones, informe de los negocios y
reportes externos. La comunicación efectiva
también debe darse en un sentido amplio, fluyendo
hacia abajo, a lo largo y hacia arriba de la
organización.
Todo el personal debe
recibir un mensaje claro de parte de la alta gerencia
respecto a que las responsabilidades de control deben
tomarse seriamente. Deben entender su propio papel en el sistema de
control
interno, lo mismo que la manera como las actividades
individuales se relaciona con el trabajo de
otros. Deben tener un medio de comunicar la información significativa. También
necesitan comunicarse efectivamente con las partes externas,
tales como clientes,
proveedores,
reguladores y accionistas.
Monitoreo. Los sistemas de control interno deben
monitorearse, proceso que valora la calidad del
desempeño del sistema en el tiempo. Es realizado por
medio de actividades de monitoreo ongoing, evaluaciones
separadas o combinación de las don. El monitoreo
ongoing ocurre en el curso de las operaciones. Incluye
actividades regulares de administración y
supervisión y otras acciones personales realizadas en
el cumplimiento de sus obligaciones. El alcance y la
frecuencia de las evaluaciones separadas dependerá
primeramente de la valoración de riesgos y de la
efectividad de los procedimientos de monitoreo ongoing. Las
deficiencias del control interno deberán reportarse a
lo largo de la organización, informando a la alta
gerencia y al consejo solamente los asuntos serios.
Existe sinergia e
interrelación entre esos componentes, formando un sistema
integrado que reacciona dinámicamente a las condiciones
cambiantes. Los sistemas de
control interno están entrelazados con las actividades
de operación de la entidad y existen por razones
fundamentales de negocios. El
control interno es mas efectivo cuando los controles se
construyen en la infraestructura de la entidad y son parte de la
esencia de la empresa.
Construir en los controles apoya la calidad y las
iniciativas de empoderamiento, evita costos
innecesarios y permite respuestas rápidas a las
condiciones cambiantes.
Existe una relación directa entre las tres
categorías de objetivos, los cuales son: que se esfuerza
una entidad en conseguir, y los componentes, los cuales
representan lo requerido para conseguir los objetivos. Todos los
componentes son relevantes para cada categoría de
objetivos. Cuando revisamos cualquier categoría -la
efectividad y eficiencia de las
operaciones,
por ejemplo- todos los cinco componentes deben estar presentes y
funcionar efectivamente para concluir que el control interno
sobre las operaciones es efectivo.
La definición de control interno -que es el concepto
fundamental subyacente de un proceso,
realizado por la gente, que proporciona una segundad razonable-
junto con la categorización de objetivos, los componentes
y criterios para la efectividad, y las discusiones asociadas,
constituyen esta estructura
conceptual del control interno.
¿Que puede hacer el control interno?
El control interno puede ayudar a una entidad a conseguir sus
metas de desempeño y rentabilidad,
y prevenir la perdida de recursos. Puede
ayudar a asegurar información financiera confiable, y a
asegurar que la empresa cumpla
con las leyes y
regulaciones, evitando perdida de reputación y otras
consecuencias. En suma, puede ayudar a una entidad a cumplir sus
metas, evitando peligros no reconocidos y sorpresas a lo largo
del camino.
¿Que no puede hacer el control interno?
Infortunadamente, algunas personas tienen expectativas mayores
e irreales. Consideran que:
El control interno puede asegurar el éxito de una
entidad, esto es, el cumplimiento de los objetivos
básicos del negocio, o cuando menos, la
supervivencia.
El control interno efectivo solamente puede ayudar a que una
entidad logre sus objetivos. Puede proporcionar
información administrativa sobre el progreso de la
entidad, o hacia su consecución. Pero no puede cambiar una
administración ineficiente por una buena.
Y, transformándolas en políticas
o programas de
gobierno,
acciones de
los competidores o condiciones económicas pueden ir
más allá del control
administrativo. El control interno no asegura éxito
ni supervivencia.
El control interno puede asegurar la confiabilidad de la
información financiera y el cumplimiento de las leyes
y regulaciones.
Esta convicción también es equivocada. Un
sistema de control interno, no importa que tan bien ha sido
concebido y operado, puede proveer solamente seguridad
razonable -no absoluta- a la
administración y a la junta directiva mirando la
consecución de los objetivos de una entidad. La probabilidad
de conseguirlos esta afectada por limitaciones inherentes a todos
los sistemas de
control interno, por ejemplo los juicios en la toma de
decisiones pueden ser defectuosos, y las fallas pueden
ocurrir por simples errores o equivocaciones. Adicionalmente los
controles pueden estar circunscritos a dos o más personas,
y la administración tiene la capacidad de
desborar el sistema. Otro factor de limitación es que el
diseño
de un sistema de control interno puede reflejar estrechez de
recursos, y los beneficios de los controles se deben considerar
con relación a sus costos.
Entonces, aunque el control interno puede ayudar a una entidad
a conseguir sus objetivos, no es la panacea.
Roles y responsabilidades
Cada quien en una organización es responsable del control
interno.
Administración. El director ejecutivo jefe
es el responsable último y debe asumir la propiedad
del sistema. Más que cualquier otro individuo, el
director ejecutivo da el torso por lo altos, el cual afecta
la integridad y la ética así como los otros
factores de un ambiente de control positivo. En una
compañía grande, el director ejecutivo cumple
este deber proporcionando liderazgo y dirección a los
administradores principales y revisando la manera como ellos
están controlando el negocio. Los administradores
principales, por su parte, asignan responsabilidades por el
establecimiento de políticas y procedimientos de
control interno más específicos al personal
responsable de las funciones de las unidades. En una entidad
pequeña, la influencia del director ejecutivo, a
menudo un administrador-propietario, usualmente es más
directa. En cualquier caso, es una responsabilidad que se
traslada en cascada, un administrador es efectivamente un
director ejecutivo en su esfera de responsabilidad. Tienen
significado particular los directores financieros y su
personal vinculado, cuyas actividades de control cubren a lo
ancho, hacia arriba y hacia abajo, las unidades de
operación y otras dependencias de una empresa.
Consejo de directores. La administración es
responsabilidad del consejo de directores, el cual
proporciona gobierno, guía y supervisión
reguladora. Los miembros de un consejo efectivo son
objetivos, competentes e inquisitivos. También tienen
un conocimiento de las actividades y del ambiente de la
entidad, y aportan el tiempo necesario para cumplir
plenamente sus responsabilidades como consejo. La
administración puede estar en una posición de
desbordar los controles e ignorar o extinguir las
comunicaciones de los subordinados, estableciendo una
administración deshonesta que intencionalmente
falsifica los resultados para cubrir sus huellas. Un consejo
fuerte, activo, particularmente cuando esta acoplado con
canales de comunicación, hacia arriba, efectivos y con
funciones financieras, legales y de auditoria interna
competentes, a menudo es más capaz de identificar y
corregir tales problemas.
Auditores internos. Los auditores internos juegan
un papel importante en la evaluación de la efectividad
de los sistemas de control, y contribuyen a la efectividad
ongoing. A causa de su posición organizacional y su
autoridad en una entidad, una función de auditoria
interna juega a menudo un papel de monitoreo
significativo.
Otro personal. El control interno es, en
algún grado, responsabilidad de cada quien en una
organización y por consiguiente debe ser una parte
explicita o implícita de la descripción del
trabajo de cada uno. Virtualmente todos los empleados
producen información que se una en el sistema de
control interno o realiza otras acciones necesarias para
efectuar el control. También, todo el personal debe
ser responsable por la comunicación hacia arriba de
los problemas en las operaciones, del no cumplimiento con el
código de conducta, y de otras violaciones de las
políticas o acciones ilegales.
A menudo, un número de partes externas contribuye a la
consecución de los objetivos de una entidad. Los auditores
externos, ofrecen un punto de vista independiente y objetivo,
contribuyen directamente mediante la auditoria de estados
financieros e indirectamente proporcionando
información útil para la administración y
para el consejo, en orden a cumplir sus responsabilidades. Otros
proporcionan información para use de la entidad, la cual
afecta el control interno, sobre legisladores y reguladores,
clientes y otros que realizan negocios con la empresa, analistas
financieros, expertos en realizar raitings y medios de
comunicación. Las partes externas, sin embargo, no son
responsables puesto que no constituyen parte del sistema de
control interno de la entidad.
Presentación de este informe
(COSO)
Este informe tiene cuatro volúmenes. El primero es el
presente Resumen Ejecutivo, una visión de alto nivel sobre
la estructura conceptual del control interno, dirigido al
director ejecutivo y a otros ejecutivos principales, miembros del
consejo, legisladores y reguladores.
El segundo volumen, la
Estructura Conceptual, define control interno, describe sus
componentes y proporciona criterios para que administradores,
consejeros y otros puedan valorar sus sistemas de control.
Incluye el Resumen Ejecutivo.
El tercer volumen, información a Partes Externas, es un
documento suplementario que proporciona orientación a
aquellas entidades que publican informes sobre
control interno además de la preparación de sus
estados financieros públicos, o que estés
contemplando hacerlo.
El cuarto volumen, Herramientas
de Evaluación, proporciona materiales que
se pueden usar en la realización de una evaluación
de un sistema de control interno.
¿Que hacer?
Las acciones que se pueden tomar como resultado de este
informe dependen de la posición y del papel de las partes
involucradas:
Administradores principales. La mayoría de
los ejecutivos principales que contribuyeron a este estudio
consideran que estaban básicamente en el control de
sus organizaciones. Muchos dijeron, sin embargo, que existen
áreas de su compañía -una
división, un departamento o un componente de control
que realizan actividades a lo largo de la
organización- en las cuales los controles estaban en
etapas primitivas de desarrollo o que requerían ser
fortalecidas. A ellos no les gustan las sorpresas. Este
estudio sugiere que el director ejecutivo inicie una
auto-valoración del sistema de control. Empleando esta
estructura conceptual, un CEO, junto con los ejecutivos
operativos y financieros claves, puede centrar la
atención donde sea necesario. Bajo tal
aproximación, el director ejecutivo puede conducir a
los jefes de las unidades del negocio y al personal vinculado
clave para discutir una valoración inicial del
control. Las directivas deberán dar facilidad a
aquellos individuos para que discutan los conceptos de este
informe con su personal a cargo, proporcionando
supervisión al proceso inicial de valoración en
sus áreas de responsabilidad e informando sobre los
hallazgos encontrados. Otra aproximación puede incluir
una revisión inicial de las políticas
corporativas y de las unidades de negocio, así como de
los programas de auditoria interna. Cualquier cosa que se
haga en este sentido formara una auto-valoración
inicial la cual determinara que es necesario para y como
proceder con una evaluación extensa, mas en
profundidad. Ello debe asegurar que se estés
realizando los procedimientos de monitoreo ongoing. El tiempo
gastado en la evaluación del control interno
representa una inversión, pero una con un alto
retorno.
Miembros del consejo. Los miembros del consejo de
directores deben discutir con los administradores principales
el estado del sistema de control interno de la entidad y
proporcionar la supervisión requerida. Ellos deben
percibir insumos de parte de los auditores internos y
externos.
Otro personal. Los administradores y otro personal
deben considerar como se están conduciendo sus
responsabilidades de control a la luz de esta estructura
conceptual, y discutir con más personal principal las
ideas para fortalecer el control. Los auditores internos
deben considerar la extensión de su atención
sobre el sistema de control interno y pueden desear comparar
sus materiales de evaluación con las herramientas de
evaluación.
Legisladores y reguladores. Las directivas
gubernamentales que escriben o hacen cumplir las leyes
reconocen que ellos pueden tener concepciones equivocadas y
diferentes expectativas virtualmente respecto de cualquier
asunto. Las expectativas sobre el control interno
varían ampliamente en dos aspectos. Primero, ellos
difieren en la percepción de lo que el control interno
puede cumplir. Como se anoto, algunos observadores consideran
que los sistemas de control interno deberán, o
deberán, prevenir perdidas económicas, o al
menos prevenir a las compañías de estar fuera
del negocio. Segundo, aunque se llegue a un acuerdo sobre que
pueden y que no pueden hacer los sistemas de control interno,
y sobre la validez del concepto de seguridad razonable,
pueden existir puntos de vista dispares expresados en como
los reguladores pueden construir informes públicos
afirmando seguridad razonable mucho después de que
hayan ocurrido fallas en el control. Antes de que la
legislación o la regulación se relacione con
los informes administrativos sobre control interno como se
hizo arriba, debe llegarse a un acuerdo sobre una estructura
conceptual común del control interno, que incluya los
límites del control interno. Esta estructura
conceptual debe ser útil en tal acuerdo.
Organizaciones profesionales. Quienes producen las
reglas, así como otras organizaciones profesionales,
proporcionan orientación sobre administración
financiera, auditoria y asuntos relacionados; deben
considerar sus estándares y orientaciones a la luz de
esta estructura conceptual. Como la extensa diversidad de
conceptos y terminologías se elimina, todas las partes
se beneficiaran.
Educadores. Esta estructura conceptual debe ser
tema de investigación y análisis
académico, a fin de que en el futuro puedan "hacerse
mejoramientos. Con la presunción de que este informe
ha sido aceptado como una base común de entendimiento,
estos conceptos y términos deberán incluirse en
el currículo universitario.
Consideramos que este informe ofrece un buen número de
beneficios. Con este fundamento para el entendimiento mutuo,
todas las partes serán capaces de hablar un lenguaje
común y comunicarse más efectivamente. Los
ejecutivos de negocios estarán preparados para valorar los
sistemas de control frente a un estándar,
fortalecerán los sistemas y conducirán sus empresas hacia
los objetivos establecidos. Las investigaciones
futuras se apoyaran en una base establecida. Los legisladores y
reguladores serán capaces de obtener un entendimiento
creciente sobre el control interno, sus beneficios y limites. Con
todas las partes empleando una estructura conceptual de control
interno común, tales beneficios serán realidad.
PARTE II
FRAMEWORK
(Estructura Conceptual
CAPITULO 1
DEFINICIÓN
Resumen del capitulo: El control interno se define como un
proceso, ejecutado por personal de la entidad, diseñado
para cumplir objetivos específicos. La definición
es amplia, abarca todos los aspectos del control de un negocio,
permitiendo así que un directivo se centre en objetivos
específicos. El control interno consta de cinco
componentes interrelacionados, los cuales son inherentes a la
forma como la administración maneja la empresa. Los
componentes están ligados, y sirven como criterio para
determinar cuando el sistema es objetivo.
Un objetivo clave de este estudio es ayudar a la
administración del negocio y a otras entidades a mejorar
el control de las actividades de sus organizaciones.
Pero el control interno significa distintas cosas para diferentes
personas. Y la amplia variedad de denominaciones y significados
impide un entendimiento común del control interno. Un
objetivo importante, entonces, es integrar varios conceptos de
control interno en una estructura conceptual en la cual se
establezca una definición común y se identifiquen
los componentes del control. Esta estructura conceptual esta
diseñada para ajustar la mayor parte de los puntos de
vista y proporcionar un punto de arranque para la
valoración del control interno de las entidades
individuales, para las iniciativas futuras de quienes elaboran
reglas y para la educación.
Control Interno
El control interno se define así:
Control interno es un proceso, ejecutado por el consejo de
directores, la administración y otro personal de una
entidad, diseñado para proporcionar seguridad razonable
con miras a la consecución de objetivos en las siguientes
categorías:
Efectividad y eficiencia de las operaciones.
Confiabilidad en la información financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Esta definición refleja ciertos conceptos
fundamentales:
El control interno es un proceso. Constituye un medio para
un fin, no un fin en sí mismo.El control interno es ejecutado por personas. No son
solamente manuales de políticas y formas, sino
personas en cada nivel de una organización.Del control interno puede esperarse que proporcione
solamente seguridad razonable, no seguridad absoluta, a la
administración y al consejo de una entidad.El control interno esta engranado para la
consecución de objetivos en una o más
categorías separadas pero interrelacionadas.
Esta definición de control interno es amplia por dos
razones. Primero, es la manera como la mayoría de los
ejecutivos principales intercambian puntos de vista sobre control
interno en la administración de sus negocios. De hecho, a
menudo ellos hablan en términos de control y están
dentro de controles.
Segundo, acomoda subconjuntos del control interno. Quienes
esperan encontrar centros separados, por ejemplo, en los
controles sobre información financiera o en controles
relacionados con el cumplimiento de leyes y regulaciones. De
manera similar, un centro dirigido sobre los controles en
unidades particulares o actividades de una entidad, pueden
modificarse.
La definición también proporciona una base para
evaluar la efectividad del control interno, la cual es estudiada
en este capitulo. Los conceptos fundamentales señalados
atrás, se analizan en los apartes siguientes.
Un proceso.
El control interno no es un evento o circunstancia, sino una
serie de acciones que penetran las actividades de una entidad.
Tales acciones son penetrantes, y son inherentes a la manera como
la administración dirige los negocios.
El proceso de los negocios, que es conducido con o a lo largo
de las unidades o funciones de
la
organización, es administrado mediante el proceso
básico gerencial de planeación, ejecución y monitoreo.
El control interno es parte de ese proceso y esta integrado al
mismo. Les facilita funcionar y monitorear su conducta y
relevancia continuada. Es una herramienta usada por la
administración, no un sustituto de la
administración.
Esta conceptualización del control interno es muy
diferente de la perspectiva de algunos observadores quienes ven
el control interno como un añadido a las actividades de la
entidad, o como una carga necesaria, impuesta por los reguladores
o por los dictados de burócratas extremadamente celosos.
El sistema de control interno esta entrelazado con las
actividades de operación de una entidad y fundamentalmente
existe por razones de negocios. Los controles internos son
más efectivos cuando se construyen dentro de la
infraestructura de la entidad y son parte de la esencia de la
empresa. Deben ser construidos en mucho más que
construidos sobre.
Los controles construidos en pueden afectar directamente la
capacidad de una entidad para alcanzar sus objetivos, y soporta
las iniciativas de calidad de los negocios. La búsqueda de
calidad esta directamente relacionada con la manera como se
dirigen los negocios, y por la manera como ellos son controlados.
Las iniciativas de calidad hacen parte de la estructura de
operación de una empresa, lo
cual es evidenciado por:
Los ejecutivos principales buscan asegurar que los valores
de calidad se construyan de la manera como la
compañía hace negocios.Estableciendo objetivos de calidad enlazados con la
recolección y análisis de información de
la entidad y otros procesos.Usando el conocimiento de prácticas competitivas y
expectativas de los clientes para dirigir el mejoramiento
contínuo de la calidad.
Esos factores de calidad van paralelos en los sistemas de
control interno efectivos. De hecho, el control interno no esta
solamente integrado a los programas de calidad, sino que
usualmente es fundamental para su éxito.
La construcción de controles también
tiene implicaciones importantes en los costos involucrados y en
el tiempo de
respuesta:
La mayoría de empresas se enfrentan a mercados
altamente competitivos y necesitan reducir sus costos.
Agregando nuevos procedimientos separados a los existentes,
añaden costos. Centrándose en las operaciones
existentes y en su contribución al control interno
efectivo, y construyendo controles en sus actividades de
operaciones básicas, hace a la entidad más
flexible y competitiva.
Personal
El control interno es ejecutado por un consejo de directores,
la administración y otro personal de una entidad. Es
realizado por las personas de una organización quienes
establecen los objetivos de la entidad y ubican los mecanismos de
control en su sitio.
Similarmente, el control interno afecta las acciones de la
gente. El control interno reconoce que la gente no siempre
comprende, comunica o desempeña de una manera consistente.
Cada individuo
lleva a su lugar de trabajo un
trasfondo y unas habilidades técnicas
únicas, y tiene necesidades y prioridades diferentes.
Tales realidades afectan y son afectadas por el control
interno. La gente debe conocer sus responsabilidades y sus
límites
de autoridad. De
acuerdo con ello, deben existir lazos claros y cerrados entre los
deberes de la gente y la manera como se llevan a cabo, lo mismo
que con los objetivos de la entidad.
El personal de la organización incluye al consejo de
directores, así como la administración y otras
personas. Aunque los directores suelen ser vistos como quienes
primariamente proporcionan supervisión, también proporcionan
dirección y aprueban ciertas transacciones
y políticas. Por lo tanto, son un elemento importante del
control interno.
Seguridad razonable
El control interno, no tanto como es diseñado y
operado, puede proporcionar solamente seguridad razonable a la
administración y al consejo de directores con miras a la
consecución de los objetivos de una entidad. La probabilidad de
conseguirlos está afectada por las limitaciones inherentes
a todos los sistemas de control interno. Ellas incluyen la
realidad de que los juicios humanos en la toma de decisiones
pueden ser defectuosos, las personas responsables del
establecimiento de los controles necesitan considerar sus costos
y beneficios relativos, y la desintegración puede ocurrir
a causa de fallas humanas tales como errores simples o
equivocaciones. Adicionalmente, los controles pueden
circunscribirse a la colusión de dos o más
personas. Finalmente, la administración tiene la capacidad
de desbordar el sistema de control interno.
Objetivos
Cada entidad fija su misión,
estableciendo los objetivos que espera alcanzar y las estrategias para
conseguirlos. Los objetivos pueden ser para la entidad, como un
todo, o específicos para las actividades dentro de la
entidad. Aunque muchos objetivos pueden ser específicos
para una entidad particular, algunos son ampliamente
participados. Por ejemplo, los objetivos comunes a casi todas las
entidades son la consecución y el mantenimiento
de una reputación positiva dentro del comercio y los
consumidores, proporcionando estados financieros confiables a los
accionistas, y operando en cumplimiento de las leyes y
regulaciones.
Para este estudio, los objetivos se ubican dentro de tres
categorías:
Operaciones, relacionadas con el use efectivo y eficiente
de los recursos de la entidad.Información financiera, relacionada con la
preparación de estados financieros públicos
confiables.Cumplimiento, relacionado con el cumplimiento de la
entidad con las leyes y regulaciones aplicables.
Esta categorización sitúa el énfasis en
aspectos separados del control interno. Tales categorías
distintas pero interrelacionadas (un objetivo particular se puede
ubicar en más de una categoría) orientan diversidad
de necesidades y pueden ser responsabilidad directa de ejecutivos diferentes.
Esta categorización también permite distinguir to
que se puede esperar de cada categoría de control
interno.
De un sistema de control interno se puede esperar que
proporcione una seguridad razonable para la consecución de
los objetivos relacionados con la confiabilidad de la
información financiera y con el cumplimiento de leyes y
regulaciones. El cumplimiento de tales objetivos, en gran parte
basados en estándares impuestos por
sectores externos, depende de cómo se desempeñen
las actividades dentro del control de la entidad.
Sin embargo, la consecución de los objetivos de
operación -tales como un retorno particular sobre la
inversión, participación en el
mercado o ingreso
de nuevas líneas de producto– no
siempre está bajo el control de la entidad. El control
interno no puede prevenir juicios o decisiones incorrectas, o
eventos
externos que puedan causar una falla en el negocio para la
consecución de sus objetivos de operación. Para
lograr estos objetivos, el sistema de control interno puede
proporcionar seguridad razonable solamente si la
administración y, en su papel de supervisión, el
consejo están siendo acatados, de manera oportuna, en la
orientación dada para la consecución de ellos.
Componentes
El control interno esta compuesto por cinco componentes
interrelacionados. Se derivan de la manera como la
administración dirige un negocio, y están
integrados en el proceso de administración. Tales
componentes son:
Ambiente de control. La esencia de cualquier
negocio es su gente -sus atributos individuales, incluyendo
la integridad, los valores éticos y la competencia y
el ambiente en que ella opera. La gente es el motor que
dirige la entidad y el fundamento sobre el cual todas las
cosas descansan.Valoración de riesgos. La entidad debe ser
consciente de los riesgos y enfrentarlos. Debe señalar
objetivos, integrados con ventas, producción,
mercadeo, finanzas y otras actividades de manera que opere
concertadamente. También debe establecer mecanismos
para identificar, analizar y administrar los riesgos
relacionados.Actividades de control. Se deben establecer y
ejecutar políticas y procedimientos para ayudar a
asegurar que se están aplicando efectivamente las
acciones identificadas por la administración como
necesarias para manejar los riesgos en la consecución
de los objetivos de la entidad.Información y comunicación. Los
sistemas de información y comunicación se
interrelacionan. Ayudan al personal de la entidad a capturar
e intercambiar la información necesaria para conducir,
administrar y controlar sus operaciones.Monitoreo. Debe monitorearse el proceso total, y
considerarse como necesario hacer modificaciones. De esta
manera el sistema puede reaccionar dinámicamente,
cambiando a medida que las condiciones lo justifiquen.
Tales componentes del control interno, así como sus
relaciones, se describen en el modelo (ver
figura N° 1). El modelo describe el dinamismo de los sistemas
de control interno. Por ejemplo, la valoración de riesgos
no influye solamente en las actividades de control, sino que
también puede ser altamente requerida para reconsiderar
las necesidades de información y comunicación, o las actividades de
monitoreo de la entidad. Así, el control interno no es un
proceso serial, en el cual los componentes afectan solamente al
siguiente. Es un proceso interactivo multidireccional en el cual
casi todos los componentes pueden influenciar a las otras.
Muestra 1
Componentes del Control Interno
El ambiente de
control proporciona una atmósfera en la cual
la gente conduce sus actividades y cumple con sus
responsabilidades de control. Sirve como fundamento para los
otros componentes. Dentro de este ambiente, la
administración valora los riesgos para la
consecución de los objetivos específicos. Las
actividades de control se implementan para ayudar a asegurar que
se están cumpliendo las directivas de la
administración para manejar los riesgos. Mientras tanto,
se captura y comunica a través de toda la
organización la información relevante. El proceso
total es monitoreado y modificado cuando las condiciones lo
justifican.
Muestra 2
Relación entre Objetivos y
Componentes
Existe una relación directa entre objetivos, los cables
son aquello que una entidad busca conseguir, y los componentes,
que representan aquello que se necesita para conseguir los
objetivos.
El control interno relevante para la empresa en su conjunto o
para cualquiera de sus unidades activas.
Se necesita información en todas las tres
categorías de objetivos para administrar efectivamente las
operaciones de negocio, preparar estados financieros confiables y
determinar el cumplimiento.
Todos los cinco componentes son aplicables e importantes para
conseguir los objetivos de las operaciones.
Dos entidades pueden o no tener el mismo sistema de control
interno. Las compañías y sus necesidades de control
interno difieren ampliamente por industria y por tamaño,
así como por culture y filosofía administrativa. Así,
mientras todas las entidades necesitan cada uno de los
componentes para mantener el control de sus actividades, el
sistema de control interno de una compañía, a
menudo, será muy diferente de otros.
Relaciones entre objetivos y componentes
Existe relación directa entre los objetivos, aquellos
que una entidad busca conseguir, y los componentes, aquellos que
se requieren para conseguir los objetivos. Las relaciones pueden
describirse mediante una matriz
tridimensional, la cual es presentada en la figura N° 2.
Las tres categorías de objetivos operaciones,
información financiera y cumplimiento se representan
en las columnas verticales.Los cinco componentes se representan por filas.
Las unidades o actividades de una entidad, las cuales el
control interno relaciona, se describen mediante la tercera
dimensión de la matriz.
Cada componente de fila corta al través y aplica a
todas las tres categorías de objetivos. Un ejemplo es
descrito separadamente en el lado izquierdo de la muestra, como una
sección que jalona afuera: los datos financieros
y no-financieros generados de recursos internos y externos, como
una parte del componente de información y
comunicación, son necesarios para la administración
efectiva de las operaciones de negocio, el desarrollo de
estados financieros confiables y determina que la entidad
está cumpliendo con las leyes aplicables. Otro ejemplo
(que no es descrito de manera separada), el establecimiento y
ejecución de políticas y procedimientos de
control para asegurar que los planes, programas y otras
directivas de la administración se llevan a cabo
-representan el componente actividades de control- también
es relevante para todas las otras tres categorías de
objetivos.
De manera similar, mirando las categorías de objetivos,
todos los cinco componentes son relevantes para cada una. Para la
consecución de la categoría, la efectividad y la
eficiencia de las operaciones, por ejemplo, todos los cinco
componentes son aplicables e importantes. Ello es ilustrado de
manera separada en la base izquierda de la figura N° 2.
El control interno es relevante para toda la empresa, o para
una de sus partes. Su relación es descrita por la tercera
dimensión, la cual representa subsidiarias, divisiones a
otras unidades del negocio, o funcionales a otras actividades
tales como compras, producción y mercadeo. De
acuerdo con ello, uno se puede centrar en cualquiera de las
células
de la matriz. Por ejemplo, se puede considerar la celda
base-derechafrente, que representa el ambiente de control y su
relación con los objetivos de operaciones de una
división particular de la compañía.
Efectividad
Los diferentes sistemas de control interno de las entidades
operan en diversos niveles de efectividad. De manera similar, fin
sistema particular puede operar de varias maneras en diferentes
tiempos. Cuando fin sistema de control interno refine los
siguientes estándares, se le puede denominar efectivo.
El control interno es efectivo en cada una de las tres
categorías, respectivamente, si el consejo de directores y
la administración tienen seguridad razonable de que:
Entienden que la duración en el tiempo durante el
cual se están consiguiendo los objetivos de las
operaciones de la entidad.Los estados financieros publicados están siendo
preparados confiablemente.Se esta cumpliendo con las leyes y las regulaciones
aplicables.
Puesto que el control interno es fin proceso, su efectividad
se mide a través del tiempo.
La determinación de cuando fin sistema particular de
control interno es efectivo es fin juicio resultante de evaluar
si los cinco componentes se dan y funcionan efectivamente. Su
funcionamiento efectivo proviene de la seguridad razonable
mirando 1 consecución de una u más de las
categorías establecidas. Así, tales componentes sir
ven de criterio para el control interno efectivo.
Si bien se pueden satisfacer los cinco criterios, ello no
significa que cada componente pueda funcionar de manera
idéntica, o en el mismo nivel, en entidades diferentes.
Pueden existir algunos intercambios entre los componentes. Puesto
que los con' troles pueden servir a una variedad de
propósitos, esos controles en un componente pueden ser
aplicados en otros componentes. Adicionalmente, los controles
pueden diferir en el grado en que manejan fin riesgo
particular, bien como controles complementarios, o con efectos
limitados; pueden ser satisfactorios al mismo tiempo.
Esos componentes y criterios se aplican a fin sistema de
control interno total, o una o más categorías de
objetivos. Cuando se considera cualquier categoría
controles sobre informes financieros, por ejemplo- se deben
satisfacer todos los cinco criterios, en orden a concluir que el
control interno sobre la información financiera e
efectiva.
Los capítulos siguientes deben considerarse cuando se
quiera determinar si fin sistema de control interno es efectivo.
Debe reconocerse:
Puesto que el control interno es una parte del proceso
administrativo, los componentes se discuten en el contexto de
lo que la administración esta haciendo en la
ejecución de fin negocio. No todo lo que la
administración hace, sin embargo, es fin elemento del
control interno. El establecimiento de objetivos, por
ejemplo, que es una importante responsabilidad
administrativa, es fin pre-requisito para el control interno.
De manera similar, muchas decisiones y acciones de la
administración no representan control interno. La
figura N° 3 presenta una lista de las acciones
administrativas mas comunes e indica cuales se consideran
componentes del control interno. (El significado de este
listado tampoco es total y no representa una vía
única para describir las actividades de la
administración).
Los principios discutidos se aplican a todas las
entidades, independientemente del tamaño. Puesto que
algunas entidades pequeñas y medianas pueden
implementar de manera diferente los factores componentes con
relación a las grandes, ellas calladamente pueden
tener control interno efectivo. Cada capitulo sobre los
componentes tiene una sección que ilustra tales
circunstancias.Cada capitulo sobre componentes contiene una
sección de evaluación con factores que uno
puede considerar en la evaluación del componente. No
se pretende que tales factores se incluyan en su totalidad,
no todos ellos son relevantes en cada circunstancia; se
ofrecen como ilustración para desarrollar fin programa
de evaluación mas comprensivo o apropiado.
Muestra 3 El Control Interno y el Proceso | |||
Actividades administrativas | Control Interno | ||
Definición de objetivos, misión y valores |
| ||
Planeación estratégica |
| ||
Establecimiento de factores del ambiente de control | |||
Definición de los objetivos por nivel de |
| ||
Identificación y análisis de riesgos | |||
Administración de riesgos |
| ||
Dirección de las actividades de control | |||
Identificación, captura y comunicación de | |||
Monitoreo | |||
Acciones correctivas |
|
CAPITULO 2
AMBIENTE DE
CONTROL
Resumen del capitulo: El ambiente de control establece el
tono de una organización, para influenciar la conciencia de
control de su gente. Es el fundamento de todos los demos
componentes del control interno, proporcionando disciplina y
estructura. Los factores del ambiente de control incluyen la
integridad, los valores
éticos y la competencia de la
gente de la entidad; la filosofía de los administradores y
el estilo de operación; la manera como la
administración asigna autoridad y responsabilidad, y como
organiza y desarrolla a su gente y la atención y dirección que le presta
el consejo de directores.
El ambiente de control tiene una influencia profunda en la
manera como se estructuran las actividades del negocio, se
establecen los objetivos y se valoran los riesgos. Esto es cierto
no solamente en su diseño, sino también en la
manera como opera en la practica. El ambiente de control esta
influenciado por la historia y por la cultura de la
entidad. Influye en la conciencia de control de su gente. Las
entidades efectivamente controladas se esfuerzan por tener gente
competente, inculcan actitudes de
integridad y conciencia de control a todo lo ancho de la empresa,
y establecen un tono por lo alto positivo. Establecen las
políticas y los procedimientos apropiados, incluyen a
menudo un código
de conducta escrito, el cual fomenta la participación de
los valores y el trabajo en
equipo, en aras de conseguir los objetivos de la entidad.
FACTORES DEL AMBIENTE DE CONTROL
El ambiente de control cubre los factores discutidos arriba.
Si bien todos ellos son importantes, el momento en el cual cada
uno es aplicado variara con la entidad. Por ejemplo, el director
ejecutivo de una entidad con una pequeña fuerza de
trabajo y con operaciones centralizadas puede no establecer
líneas formales de responsabilidad y políticas de
operación detalladas y puede, sin embargo, tener un
ambiente de control apropiado.
Integridad y valores éticos
Los objetivos de una entidad y la manera como se logren,
están basados en preferencias, juicios de valor y
estilos administrativos. Tales preferencias y juicios de valor
trasladados a estándares de conducta, reflejan la
integridad de los administradores y su compromiso con los valores
éticos.
Puesto que la buena reputación de una entidad se valora
así, el estándar de conducta debe ir más
allá del solo cumplimiento de la ley. Para la
buena reputación de las mejores compañías,
la sociedad
espera más que eso.
La efectividad de los controles internos no puede elevarse por
encima de la integridad y de los valores éticos de la
gente que los crea, administra y monitorea. La integridad y los
valores éticos son elementos esenciales del ambiente de
control, y afectan el diseño, la administración y
el monitoreo de los otras componentes del control interno.
La integridad es un pre-requisito para el comportamiento
ético en todos los aspectos de las actividades de una
empresa. Como lo concibe la Treadway Commission, Un clima
ético corporativo fuerte en todos los niveles es vital
para el bienestar de la corporación, de todos sus
componentes, y del público en general. Tal clima
contribuye de manera importante a la efectividad de las
políticas de la compañía y de los sistemas
de control, y ayuda a influenciar la conducta que no esta sujeta
de la misma manera a los más elaborados sistemas de
control.
Establecer valores éticos a menudo es difícil a
causa de la necesidad de considerar lo concerniente a distintos
estamentos. Los valores de la alta gerencia deben equilibrar lo
que concierne a la empresa, a sus empleados, proveedores,
clientes, competidores y público. El equilibrio de
ello puede constituir un esfuerzo complejo y frustrante porque
los intereses a menudo son opuestos. Por ejemplo, suministrar un
producto esencial (petróleo,
manera o alimento) puede originar algunos problemas
ambientales.
Los administradores de las empresas bien dirigidas han
aceptado el punto de vista de que la ética paga,
que la conducta ética es
buen negocio. Abundan ejemplos positivos y negativos. La publicidad muy
bien manejada por una compañía farmacéutica
respecto de la crisis de uno
de sus principales productos fue
salidamente ética así como también
salidamente de negocios. El impacto que malas noticias,
suavemente filtradas, tienen en las relaciones con los clientes o
en los niveles de precios, tales
como leves caídas en las utilidades o actos ilegales,
generalmente es mayor que si se hicieran revelaciones plenas tan
rápido como fuese posible.
No es bueno centrarse solamente en los resultados a corto
plazo, puede haber daño
igualmente en el corto plazo. El concentrarse en la línea
de base -ventas o
utilidades a cualquier costo– a menudo
produce acciones y reacciones no buscadas. Las tácticas de
ventas de alta presión,
crueldad en las negociaciones u ofertas implícitas de
reacciones violentas, por ejemplo, pueden provocar reacciones de
efectos inmediatos (lo mismo que duraderos).
La conducta ética y la integridad administrativa son
producto de la cultura corporativa. La cultura corporativa
incluye estándares éticos y de comportamiento, la
manera cómo ellos son comunicados y cómo se
refuerzan en la práctica. Las políticas oficiales
especifican lo que la administración espera que suceda. La
cultura corporativa determina lo que actualmente sucede, y cuales
reglas se obedecen, se propenden o ignoran. La alta
administración -comenzando con el CEO- juega un papel
clave en la determinación de la cultura corporativa. El
CEO generalmente es la
personalidad dominante en una organización, y a menudo
señala su tono ético.
Incentivos y tentaciones. Hace algunos anos un estudio
sugirió que ciertos factores organizacionales pueden
influenciar la probabilidad de practicas de información
financiera fraudulentas y cuestionables. Esos mismos factores
también influyen en la conducta ética.
Los individuos pueden involucrarse en actos deshonestos,
ilegales o antitéticos simplemente porque sus
organizaciones les ofrecen fuertes incentivos o
tentaciones para hacerlo. El énfasis en los resultados,
particularmente en el corto plazo, fomenta un ambiente en el cual
el precio de los
fracasos puede llegar a ser muy alto.
Los incentivos citados, que permiten involucrarse en
prácticas de información financiera fraudulenta o
cuestionable y, por extensión, otras formas de conducta
antitética, son:
Presiones para cumplir objetivos de desempeño
irreales, particularmente resultados de corto plazo,Alias recompensas dependientes del desempeño, y
Cortes de operaciones superiores y bajos en los planes de
bonos.
El estudio mencionado también citó tentaciones a
los empleados para involucrarse en actos impropios:
Controles no existentes o inefectivos, tales como malas
segregaciones de funciones en áreas sensibles, que
ofrecen facilidad para robos o para encubrir malos
desempeños.Alta descentralización que abandona la buena
administración, ignorante de acciones tomadas en los
niveles bajos de la organización y por consiguiente
reduce las oportunidades de conseguir resultados.Una función de auditoria interna débil que
no time la capacidad de detectar e informar conductas
impropias.Un consejo de directores inefectivo que no proporciona
advertencias a la negligencia de la alta
administración.Sanciones insignificantes o no publicadas a conductas
impropias, para de esta manera perder sus valores y
desinhibirlos.
Eliminar o reducir esas iniciativas y tentaciones puede
significar un largo camino hacia la disminución de
conductas indeseables. Como se sugirió, esto puede
adquirirse siguiendo practicas de negocios sólidas y
rentables. Por ejemplo, los incentivos de desempeño
-acompañados de controles adecuados- pueden ser una
útil técnica administrativa siempre que los
objetivos de desempeño sean realistas. Señalar
objetivos de desempeño realistas es una sólida
práctica motivadora, reduce el estrés
derivado de obtener el máximo de los objetivos, así
como la posibilidad de información financiera fraudulenta
que crean los objetivos irreales. De manera similar, un sistema de
información bien controlado puede servir como
salvaguardia contra la posibilidad de desempeño
incorrecto.
Proporcionando y comunicando orientación moral.
Además de los incentivos y tentaciones discutidos, el
estudio antes mencionado encuentra una tercera causa de las
prácticas de información financiera fraudulenta y
cuestionable. El estudio encontró que en muchas de las
compañías que sufrieron efectos de
información financiera con poder de
engañar, la gente involucrada ni siquiera conocía
que lo que estaba haciendo era equivocado o erróneo,
consideraban que estaban actuando en favor del mejor interés de
la organización. Esta ignorancia, es a menudo, ocasionada
por una estructura o una orientación moral pobre, mucho
más que por una intención a engañar. De esta
manera, no solamente se deben comunicar los valores
éticos, sino que se debe dar orientación explicita
señalando que es correcto y que esta equivocado.
La manera más efectiva de transmitir un mensaje de
comportamiento ético en la' organización es el
ejemplo. La gente imita a sus líderes. A los empleados les
gusta desarrollar las mismas actitudes acerca de lo que es
correcto y equivocado -y respecto del control interno- como se
actúa en la alta administración. El
conocimiento que tiene el CEO sobre hacer las cosas correctas
éticamente, cuando se esta frente a una difícil
decisión de negocios, significa un mensaje fuerte a todos
los niveles de la organización. Presentar un buen ejemplo
no es sencillo. La jerarquía debe comunicar verbalmente a
los empleados los valores y los estándares de
comportamiento de la entidad. Hace algunos anos un estudio
concluyó que un código formal de conducta
corporativa es un método
ampliamente usado para comunicar a los empleados las expectativas
acerca de deberes e integridad. Los códigos orientan una
variedad de sucesos de comportamiento, tales como integridad y
ética, conflictos de
interés, pagos ilegales impropiamente diferentes, y
acuerdos anti-competitivos. Estimulados en parte por revelaciones
de escándalos en la industria de defensa, muchas
compañías han adoptado tales códigos en anos
recientes, junto con los necesarios canales de
comunicación y monitoreo. Aunque los códigos de
conducta pueden ser titiles, no constituyen el único
camino para transmitir los valores éticos de una
organización a los empleados, proveedores y clientes.
La existencia de un código de conducta escrito; junto
con la documentación respecto de que ellos lo
recibieron y entendieron, no asegura que este siendo seguido. El
cumplimiento con los estándares éticos, ya sea que
estén o no incluidos en un código de conducta
escrito, se asegura mejor mediante las acciones y los ejemplos de
la alta administración. De particular importancia resultan
los castigos a los empleados que violan tales códigos,
mecanismos que existen para asegurar que ellos informen de
violaciones sospechosas, y acciones disciplinarias contra
empleados que fallan en el reporte de violaciones. Los mensajes
enviados mediante acciones de la administración
rápidamente se integran a la cultura corporativa.
Compromisos para la competencia
La competencia debe reflejar el conocimiento y
las habilidades necesarios para realizar las tareas que definen
los trabajos individuales. Que tan bien se requiere que se
cumplan esas tareas es generalmente una decisión de la
administración, quien considerara los objetivos de la
entidad, las estrategias y planes para la consecución de
los objetivos. A menudo existe un intercambio entre la
competencia y los costos, no es necesario, por ejemplo, pagar un
ingeniero eléctrico para cambiar una bombilla.
La administración necesita especificar los niveles de
competencia para los trabajos particulares y convertirlos en
requisitos de conocimiento y habilidades. Los conocimientos y las
habilidades necesarios podrán a su tumo depender de la
inteligencia,
entrenamiento
y experiencia de los individuos. Entre los muchos factores
considerados en el desarrollo de niveles de conocimiento y
habilidades están la naturaleza y
grades de juicio que se debe aplicar a un trabajo
específico. A menudo puede darse un intercambio entre
supervisión y nivel de competencias
requerido del individuo.
Consejo de directores o comité de auditoria
EL ambiente de control y el tono en el nivel alto se ven
influenciados significativamente por el consejo de directores y
por el comité de auditoria de la entidad. Tales factores
incluyen la independencia
frente a los administradores por parte d el consejo o del
comité de auditoria, la experiencia y la posición
social 15 de sus miembros, la extensión de su
participación y del escrutinio de las actividades, y lo
apropiado que puedan ser sus acciones. Otro factor es el grado de
dificultad de las preguntas emanadas y perseguidas por la
administración mirando los planes de desempeño. La
interacción del consejo o comité de
auditoria con los auditores internos y externos es otro factor
que afecta el ambiente de control.
Debido a su importancia, un consejo de directores, consejo de
fideicomisarios u otro cuerpo similar, activo e involucrado -que
tenga un grado apropiado de experiencia administrativa,
técnica y otra, acoplado con el nivel y pensamiento a
fin de que pueda desempeñar adecuadamente el gobierno, la
orientación y advertencia necesarios es fundamental para
un control interno efectivo. Y, dado que el consejo debe e estar
preparado para indagar y escrutar las actividades de los
administradores, presentar los puntos de vista alternativos y
tener el valor de actuar frente a acciones inconvenientes, es
necesario que tenga directores externos. Como, los ejecutivos y
los empleados a menudo son miembros del consejo altamente
efectivos e importantes, ofrecen conocimiento de la
compañía en las juntas. Pero debe realizarse un
balance=. Si bien las compañías pequeñas
así como las medianas, pueden encontrar dificultades para
atraer o incurrir en los costos de tener una mayoría de
directores externos -que no es el caso usual en las grandes
organizaciones- es importante que el consejo o tenga al menos un
grupo
aceptable de directores externos. El número debe
considerar las circunstancias de la entidad, pero normalmente se
necesitan más de un director externo para que un consejo
tenga el balance requerido.
La necesidad y las funciones de los consejos directivos y de
los comités de auditoria se verán adelante bajo el
titulo Aplicación a las Entidades Pequeñas y
Medianas.
Filosofía y estilo de operación de la
administración
La filosofía y el estilo de operación de la
administración afecta la manera como la empresa es
manejada, incluyendo el conjunto de riesgos normales de los
negocios. Una entidad que ha tenido éxito asumiendo
riesgos significativos puede tener una percepción
diferente sobre el control interno que otra que ha tenido
austeridad económica o consecuencias reguladoras como
resultado de sus incursiones en negocios de alto riesgo. Una
compañía administrada informalmente puede controlar
las operaciones ampliamente mediante el contacto cara a cara con
los administradores claves. Otra, administrada mas formalmente
puede confiar en políticas escritas, indicadores de
desempeño e informes de excepción.
Otros elementos de la filosofía y el estilo de
operación de los administradores incluyen actitudes frente
a la información financiera, selección
conservadora o agresiva frente a los principios
contables alternativos, conciencia y conservadurismo con los
estimados contables que se estén desarrollando, y
actitudes frente al procesamiento de
datos y funciones de contabilidad y
de personal. Cómo la administración debe cumplir
sus responsabilidades se verá en el Capitulo 8.
Estructura organizacional
La estructura
organizacional de una entidad proporciona la estructura
conceptual mediante la cual se planean, ejecutan, controlan y
monitorean sus actividades para la consecución de los
objetivos globales. Las actividades pueden relacionarse con lo
que a veces se denomina cadena de
valor: actividades de acceso al interior (recepción),
operaciones o producción, salida al exterior (embarque),
mercadeo, ventas y servicio.
Pueden existir funciones de apoyo, relacionadas con la
administración, recursos
humanos o desarrollo de tecnologías.
Los aspectos significativos para el establecimiento de una
estructura organizacional incluyen la definición de las
áreas claves de autoridad y responsabilidad y el
establecimiento de las líneas apropiadas de
información. Por ejemplo, el departamento de auditoria
interna debe tener acceso sin restricción al ejecutivo
jefe que no es directamente responsable de la preparación
de los estados financieros de la compañía y debe
tener autoridad suficiente para asegurar la cobertura de
auditoria apropiada y para haber cumplir sus ordenes y
recomendaciones.
Una entidad desarrolla una estructura organizacional adaptada
a sus necesidades. Algunas son centralizadas, otras
descentralizadas. Algunas tienen relaciones de información
directas, otras son más organizaciones matriciales.
Algunas entidades están organizadas por industria o
línea de producto, por ubicación geográfica
o por una distribución particular o red de mercadeo. Otras
entidades, incluyendo muchas unidades estatales o gobiernos
locales e instituciones
sin ánimo de lucro, están organizadas sobre una
base funcional.
La conveniencia de la estructura organizacional de una entidad
depende, en parte, de su tamaño y de la naturaleza de sus
actividades. Una organización altamente estructurada,
incluyendo líneas y responsabilidades de
información formal, puede ser apropiada para una entidad
grande con numerosas divisiones operativas, incluyendo
operaciones en el extranjero. Sin embargo, una entidad
pequeña puede impedir el flujo de información
necesario. Cualquiera que sea la estructura, las actividades de
una entidad serán organizadas para llevar a cabo las
estrategias diseñadas par a cumplir los objetivos
específicos.
Asignación de autoridad y responsabilidad
Esto incluye la asignación de autoridad y
responsabilidad para actividades de operación, y el
establecimiento de relaciones de información y de protocolos de
autorización. Involucra el grado en el cual los individuos
y los equipos son animados a usar su iniciativa en la
orientación y en la solución de problemas,
así como los límites de su autoridad.
También se refiere a las políticas que describen
las practicas apropiadas para el tipo de negocio, el conocimiento
y la experiencia del personal clave, y lo s recursos previstos
para cumplir con sus deberes.
Existe una tendencia creciente para promover la autoridad en
forma descendiente para originar la toma de decisiones solamente
en el personal ejecutivo. Una entidad puede orientarse más
al mercado o centrarse en la calidad, acaso para eliminar
defectos, reducir los tiempos o incrementar la
satisfacción del cliente. Para
ello, la empresa necesita reconocer y responder a las prioridades
cambiantes en las oportunidades de mercado, en las relaciones de
negocios y en las expectativas del público. La
distribución de autoridad y responsabilidades a menudo son
diseñadas para encausar las iniciativas individuales les,
dentro de ciertos límites. La delegación de
autoridad, o empowerment,
significa cede el control central de ciertas decisiones de
negocios a líneas bajas, a los individuos que están
cerrando diariamente las transacciones del negocio. Esto puede
envolver empowerment para venta de
productos o descuentos en precios; negociación de contratos de
suministro, licencias o patentes a largo plazo; o realizar
alianzas o joint ventures.
Un cambio crítico es delegar solamente en lo requerido
para la consecución de los objetivos. Esto requiere
asegurar que la aceptación de riesgos esta basada en
prácticas sólidas para la identificación y
minimización de los riesgos, incluyendo aquellos de
tamaño y ponderación de perdidas potenciales contra
ganancias en la consecución de buenos resultados en los
negocios.
Otro cambio consiste en asegurar que todo el personal entienda
los objetivos de la entidad. Es esencial que cada individuo
conozca como sus acciones interrelacionan y contribuyen a la
consecución de los objetivos.
La delegación acrecentada algunas veces esta
acompañada o es el resultado de extralimitación o
desinflamento de la estructura organizacional de una entidad, y
es intencional. La plena intención del cambio estructural
para encausar la creatividad,
la iniciativa y la capacidad para reaccionar rápidamente
pueden engrandecer la competitividad
y la satisfacción del cliente. Tal delegación
acrecentada puede acarrear un requerimiento implícito por
un nivel alto de competencia de los empleados, así como
una mayor responsabilidad'–O. También requiere
procedimientos efectivos para que la administración
monitoree los resultados. Junto con el mejoramiento, las
decisiones orientadas al mercado, el empowerment puede
incrementar el número de decisiones indeseables o no
anticipadas. Si un administrador de
distrito de ventas decide que la autorización para vender
por encima del 35% de lista justifica un descuento temporal del
45% para ganar participación en el mercado, la
administración puede necesitar conocer si ello supera las
reglas o aceptar que tales decisiones son de avanzada.
El ambiente de control es gratamente influenciado por la
extensión en la cual los individuos reconocen que ellos
deberán ser responsables. Esto sostiene ciertamente la
manera como los directores ejecutivos, quienes tienen la
responsabilidad última por todas las actividades de una
entidad, incluyendo el sistema de control interno.
Políticas y prácticas sobre recursos
humanos.
Las prácticas sobre recursos humanos usan el
envío de mensajes a los empleados para percibir los
niveles esperados de integridad, comportamiento ético y
competencia. Tales practicas se relacionan con empleo,
orientación, entrenamiento, evaluación,
consejería, promoción, compensación y acciones
remediales. Por ejemplo, normas para
vincular los individuos mas calificados, con énfasis en su
bagaje educacional, experiencia previa de trabajo, logros pasados
y evidencia de integridad y comportamiento ético,
significan un compromiso de la entidad con gente competente y
confiable. Las practicas de reclutamiento
que incluyen entrevistas
formales, a profundidad y presentaciones informativas y
totalmente claras sobre la historia, la cultura y el estilo de
operación de la entidad, significan que la entidad esta
comprometida con sus empleados. Las políticas de
entrenamiento que comunican funciones y responsabilidades
prospectivas y que incluyen practicas tales como cursos de
entrenamiento y seminarios, estudio de casos simulados y
ejercicios practicas, ilustran los niveles esperados de
desempeño y comportamiento. La rotación de personal
y las promociones orientadas al desempeño periódico
evaluado, demuestran el compromiso de la entidad con el avance
del personal calificado hacia altos niveles de responsabilidad.
Los programas de compensación competitivos que incluyen
incentivos sirven para motivar y reforzar los resultados de
desempeño. Las acciones disciplinarias sirven de mensaje a
los empleados en cuanto a que las violaciones a los
comportamientos esperados no serán toleradas.
Es esencial que el personal este preparado para los nuevos
cambios que realiza la empresa tornándola, más
compleja, orientados en parte por las tecnologías
rápidamente cambiantes y por la competencia creciente. La
educación
y el entrenamiento, ya sea por instrucción en salones de
clase,
auto-estudio o experiencia en el trabajo, deben servir a la gente
de una empresa para conservar la buena marcha y mantener el
ambiente envolvente. Deben también fortalecer las
habilidades de la entidad para realizar iniciativas de calidad.
El empleo de gente competente y el entrenamiento' sobre la marcha
no son suficientes. El proceso de educación debe ser
ongoing''.
DIFERENCIAS E IMPLICACIONES
El ambiente de control de las divisiones de operación
autónoma y foránea de una entidad, así como
de las subsidiarias domesticas, puede variar ampliamente debido a
las diferencias en las preferencias, los juicios de valor y los
estilos de administración de los funcionarios operativos
principales. Esos ambientes de control pueden variar por diversas
razones. Puesto que dos divisiones operativas o externas o
subsidiarias domesticas no son administradas de la misma manera,
es improbable que tales ambientes de control sean los mismos. Es
importante, sin embargo, reconocer el efecto que la
variación en los ambientes de control pueda tener sobre
los otros componentes de un sistema de control interno.
El impacto de un ambiente de control inefectivo puede ser de
largo alcance, posiblemente derivando en perdidas financieras,
deterioro de la imagen publica o
fracaso en los negocios. Considérese, por ejemplo, el caso
de la defensa de un contratista considerado como de control
interno efectivo. La compañía tuvo sistemas de
información y actividades de control bien
diseñados, extensos manuales de
políticas que prescribían las funciones de control,
y amplias rutinas de conciliación y supervisión. Ha
sufrido auditorias
gubernamentales frecuentes. El ambiente de control, sin embargo,
fue significativamente imperfecto. La administración
principal no esperaba conocer si estaban ocurriendo hechos
incorrectos. Cuando los signos de las
actividades fraudulentas se hicieron fuertes, los ejecutivos de
la administración principal los negaron. La defensa del
contratista encontró que estaba involucrado en actividades
fraudulentas con el Pentágono, fue valorada como
sutilmente significativa y padeció vergüenza
pública de cobertura media extensiva.
La actitud y el
interés de la alta gerencia por un control interno
efectivo deben cubrir toda la organización. No es
suficiente pronunciar las palabras correctas. Una actitud de lo
digo, no lo hago muy difícilmente podrá originar un
ambiente sano.
APLICACIÓN A LAS ENTIDADES PEQUEÑAS Y
MEDIANAS
Puesto que cada entidad puede asumir los conceptos subyacentes
en este capitulo, las entidades medianas y pequeñas pueden
implementar los factores del ambiente de control de una manera
muy diferente a como lo hacen las entidades grandes. Por ejemplo,
una compañía pequeña puede no tener un
código de conducta escrito, pero ello no necesariamente
significa que la compañía no tenga una cultura que
enfatice la importancia de la integridad y determinado
comportamiento ético. Siempre que haya un compromiso
visible y directo del CEO o de los administradores-propietarios y
de la gerencia con la integridad y el comportamiento ético
puede ser comunicado oralmente en las reuniones de staff, las
reuniones uno-a-uno y las relaciones con vendedores y clientes.
Su propia integridad y su propio comportamiento, sin embargo, son
críticos y deben ser consistentes con el mensaje oral a
causa del contacto de primera mano que los empleados tienen con
ellos. Usualmente, debido a los pocos niveles de
administración, la velocidad del
mensaje conduce, a través de la organización, a
conductas aceptables.
Así mismo, las políticas de recursos humanos
pueden no estar formal izadas, como se esperaba en una
compañía grande. Las políticas y practicas
pueden, sin embargo, existir y ser comunicadas. El CEO puede
hacer explicitas sus expectativas respecto del tipo de personas a
vincular para realizar un trabajo particular, y puede participar
activamente en el proceso de vinculación. La
documentación formal no siempre es necesaria para que una
política
se tenga y opere efectivamente.
A causa de la importancia critica de un consejo de directores
o de cuerpos similares, de la misma manera las entidades
pequeñas requieren de tal consejo o cuerpo para un control
interno efectivo. Como se noto, a menudo es más
difícil y costoso para una compañía
pequeña mantener una mayoría de directores
externos, y puede ser innecesario hacerlo. La independencia
requerida a menudo puede obtenerse mediante un pequeño
número de directores externos. El factor sobresaliente es
que debe señalarse una masa crítica, de la cual, simplemente, es
suficiente que los directores externos vean lo que el consejo
realiza, los asuntos complicados y toma las acciones
difíciles cuando sea necesario. Existe una sola
excepción a la necesidad de tai consejo. Se da en una
entidad que es administrada por sus propietarios, y no va en
búsqueda de capital fuera
de ella, un consejo, si bien puede ser útil, sin embargo
no es necesario para un control interno efectivo.
EVALUACIÓN
Un evaluador debe considerar cada factor del ambiente de
control para determinar cuando existe un ambiente de control
positivo. Se presentan a continuación varios aspectos a
tener en cuenta. La lista no es completa, no todos los
ítems se aplican a todas las entidades, pero sirven como
punto de partida. Si bien algunos de los ítems son
altamente subjetivos y requieren juicio considerable,
generalmente son relevantes para la efectividad del ambiente de
control.
Integridad y valores éticos
Existencia e implementación de códigos de
conducta y otras políticas mirando las
prácticas de negocios aceptables, los conflictos de
interés, o los estándares esperados de
comportamiento ético y moral.Relaciones con los empleados, proveedores, clientes,
inversionistas, acreedores, aseguradores, competidores, y
auditores, etc. (por ejemplo, si los administradores orientan
el negocio sobre un piano de alta ética, e insisten en
que otros lo hagan, o presten poca atención a los
asuntos éticos).Presión por cumplir objetivos de desempeño
irreales -particularmente por resultados de corto plazo- y
extensión en la cual la compensación esta
basada en la consecución de tales objetivos de
desempeño.Compromiso por la competencia
Descripciones formales o informales de trabajo u otras
maneras de definir tareas que. comprenden trabajos
particulares.Análisis del conocimiento y de las habilidades
necesarias para desempeñar adecuadamente los
trabajos.Consejo de directores o comité de auditoria
Independencia frente a la administración, que tanta
es necesaria, lo mismo que si se suscitan dudas,
difíciles y probadas.Frecuencia y oportunidad de las reuniones y que sean
apoyadas por el director financiero y/o los ejecutivos de
contabilidad, los auditores internos y los auditores
externos.Suficiencia y oportunidad mediante la cual se proporciona
información al consejo o comité de miembros,
para permitir monitoreo de los objetivos y estrategias de la
administración, la posición financiera y los
resultados de operación de la entidad, y los
términos de los acuerdos significativos.Suficiencia y oportunidad mediante la cual el consejo o
comité de auditoria recibe información
sensitiva, investigaciones y actos impropios (por ejemplo,
gastos de viaje de ejecutivos principales, litigios
significativos, investigaciones de agencias reguladoras,
desfalcos, peculado o use indebido de activos, violaciones de
las reglas internas del negocio, pagos políticos,
pagos legales).Filosofía y estilo de operación de la
administraciónNaturaleza de los riesgos de negocio aceptados, p.ej.,
cuando la administración a menudo entra en convenios
particulares de alto riesgo, o es extremadamente conservadora
en la aceptación de riesgos.Frecuencia de interacción entre la
administración principal y la administración
operativa, particularmente cuando operan desde localizaciones
geográficamente apartadas.Actitudes y acciones hacia la información
financiera, incluyendo disputas sobre aplicación de
acuerdos contables (p.ej., selección de
políticas contables conservadoras versus liberales;
cuando los principios contables han sido erróneamente
aplicados, no se revela información financiera
importante, se manipulan o falsifican registros).
Estructura organizacional
Conveniencia de la estructura organizacional de la
entidad, y su habilidad para proporcionar el flujo de
información necesario para administrar sus
actividades.Claridad en la definición de las responsabilidades
clave de los administradores, y su entendimiento de esas
responsabilidades.Claridad en el conocimiento y experiencia de los
administradores clave, a la luz de sus responsabilidades.Valoración de autoridad y responsabilidad
Asignación de responsabilidad y delegación
de autoridad para cumplir con las metas y con los objetivos
organizacionales, las funciones de operación y los
requerimientos reguladoras, incluyendo responsabilidad por
los sistemas de información y autorizaciones para
cambios.Conveniencia de estándares y procedimientos
relacionados-con-el-control, incluyendo descripciones de
trabajo de los empleados.Numero apropiado de gente, particularmente con respecto al
procesamiento de datos y a las funciones de contabilidad, con
los niveles de habilidades requeridos relativos al
tamaño de la entidad y a la naturaleza y complejidad
de las actividades y sistemas.Políticas y prácticas de recursos
humanosForma de aplicación de las políticas y los
procedimientos para vinculación, entrenamiento,
promoción y compensación de empleados.Conveniencia de las acciones remédiales
desarrolladas en respuesta a desviaciones de las
políticas y los procedimientos aprobados.Si el chequeo de la experiencia de los candidatos a empleo
es adecuado, particularmente en relación con las
acciones o actividades principales consideradas como
inaceptables por la entidad.Si son adecuados los criterios de retención y
promoción de empleados y técnica de
recolección de información (p.ej., evaluaciones
de desempeño) y relación con el código
de conducta u otras orientaciones de comportamiento.
CAPITULO 3
VALORACIÓN DE
RIESGOS
Resumen del capitulo: Cada entidad enfrenta una variedad
de riesgos derivados de fuentes externas e internas, los cuales
deben valorarse. Una condición previa para la
valoración de riesgos es el establecimiento de objetivos,
enlazados en niveles diferentes y consistentes internamente. La
valoración de riesgos es la identificación y
análisis de los riesgos relevantes para, la
consecución de los objetivos, formando una base para la
determinación de como deben administrarse los
riesgos.
Dado que las condiciones económicas, industriales,
reguladoras y de operación continuarían cambiando,
se necesitan mecanismos para identificar y tratar los riesgos
especiales asociados con el cambio.
Todas las entidades, sin hacer caso de tamaño,
estructura, naturaleza o clase de industria, enfrentan riesgos en
todos los niveles de sus organizaciones. Los riesgos afectan la
habilidad de la entidad para sobrevivir; afortunadamente compiten
dentro de su industria; mantienen su fortaleza financiera y la
imagen publica positiva y mantienen la calidad total de
sus productos, servicios y
gente. No existe una manera práctica para reducir los
riesgos a cero. En verdad, la decisión de estar en los
negocios crea riesgos. La administración debe determinar
cuantos riesgos es prudente aceptar, y se esfuerza por
mantenerlos dentro de esos niveles.
La definición de objetivos es una condición
previa para la valoración de riesgos. Primero que todo,
deben definirse los objetivos a fin de que la
administración pueda identificar los riesgos y tomar las
acciones necesarias para administrarlos. La definición de
objetivos, entonces, es una parte clave del proceso
administrativo. No es un componente del control interno, pero
es un prerrequisito para hacer posible el control interno. Este
capitulo expone primero los objetivos y luego la discusión
de los riesgos.
OBJETIVOS
La definición de objetivos puede ser un proceso
altamente estructurado o informal. Los objetivos pueden definirse
explícitamente, o ser implícitos, tal como
mantenerse en un nivel pasado de desempeño. Los objetivos
a menudo están representados por la misión de la
entidad y por la declaración de valores. El conocimiento
de las fortalezas y debilidades de la entidad, y de las
oportunidades y amenazas, conduce hacia una estrategia
global. Generalmente el plan
estratégico es establecido de manera amplia, teniendo
que ver con el nivel alto de asignación de recursos y
prioridades.
Página anterior | Volver al principio del trabajo | Página siguiente |