De la estrategia amplia
de la entidad fluyen objetivos
más específicos. A nivel d la entidad están
enlazados e integrados con los objetivos mas específicos
establecidos para actividades varias, tales como ventas,
producción e ingeniería, asegurando que ellos Sean
consistentes. Tales sub-objetivos u objetivos de nivel de
actividad incluyen el establecimiento de metas y deben
relacionarse con los objetivos de línea de producto,
mercado,
financiación y utilidades.
Definiendo objetivos en los niveles de la entidad y de
actividad, una entidad puede identificar los factores
críticos de éxito.
Esos son asuntos claves que deben se correctos si las metas se
planearon para ser alcanzadas. Los factores críticos de
éxito se aplican para la entidad, para una unidad de
negocios, una
función, un departamento o un individuo. La
definición de objetivos le facilita a la
administración identifica los criterios de medición del desempeño, centrándose en los
factores críticos de éxito Categorías de
objetivos.
A pesar de la diversidad de objetivos, pueden establecerse
ciertas categorías principales:
Objetivos de operaciones. Hacen referencia a la
efectividad y eficiencia de las operaciones de la entidad,
incluyendo objetivos de desempeño y rentabilidad
así como recursos de salvaguardia contra las perdidas.
Varían dependiendo de la selección d los
administradores respecto de estructura y
desempeño.Objetivos de información financiera. Hacen
referencia a la preparación de "esta dos financieros
publicados" que Sean confiables, incluyendo la
prevención de información financiera publica
fraudulenta. Están orientados principalmente por
requerimientos externos.Objetivos de cumplimiento. Estos objetivos hacen
referencia a la adhesión a la leyes y regulaciones a
las cuales la entidad esta sujeta. Dependen de factores
externos, tales como regulaciones ambientales, y tienden a
ser similares para todas las entidades en algunos casos y
para toda una industria en otros casos.
Ciertos objetivos se derivan de la participación de una
entidad en los negocios. Un fondo mutuo puede valer sus
participaciones diarias, mientras otros negocios pueden hacerlo
trimestralmente. Todos los negocios comerciales publicitados
deben tener cierto registro en la
SEC'-4. Esos objetivos impuestos
externamente son establecidos por ley o
regulación, se ubican en la categoría de
cumplimiento y pueden ser de información financiera.
Los objetivos de operaciones
están basados mas en preferencias, juicios y estilos
administrativos. Existe una amplia variedad entre las entidades
simplemente porque la gente informada, competente y honesta puede
seleccionar diferentes objetivos. Mirando el desarrollo del
producto, por ejemplo, una entidad puede escoger ser un adaptador
tempranero, otra un seguidor rápido, y otra un rezagado
silencioso. Tales selecciones afectaran la estructura,
las habilidades, el personal y los
controles de la
investigación y de la función de desarrollo. En
consecuencia, ninguna formulación de objetivos puede ser
óptima para todas las entidades.
Objetivos de operaciones. Los objetivos de operaciones
se relacionan con la consecución de la misión
básica de una entidad, razón fundamental de su
existencia. Incluyen sub-objetivos relacionados con las
operaciones, dirigidos a engrandecer la efectividad y la eficiencia,
orientando la empresa hacia
sus metas ultimas.
Los objetivos de operaciones necesitan reflejar el ambiente
particular de negocios, industria y
economía en el cual funciona la entidad.
Los objetivos requieren, por ejemplo, ser relevantes frente a las
presiones competitivas por calidad, ciclos
de tiempo
reducidos para ofrecer el producto al mercado o cambios en la
tecnología. La administración debe ver si tales objetivos
están basados en la realidad y demandas del mercado y
están expresados en términos que permitan conocer
completamente las mediciones de desempeño.
Una definición clara de los objetivos y estrategias de
operación, enlazada con los sub-objetivos, es fundamental
para el éxito. Proporciona un punto central mediante el
cual la entidad comprometerá sus recursos
sustanciales. Si los objetivos de operaciones de una entidad no
son claros o no están bien concebidos, sus recursos pueden
malgastarse.
Objetivos de información financiera. Los
objetivos de información financiera se orientan a la
preparación de estados
financieros publicados que sean confiables, incluyendo
estados financieros interinos y condensados y datos financieros
seleccionados derivados de tales estados,'tales como ganancias
realizadas, de conocimiento
público. Las entidades necesitan conseguir objetivos de
información financiera para cumplir obligaciones
extremas. Estados financieros confiables son un requisito previo
para obtener capital
proveniente de inversionistas o de acreedores, y pueden ser
crediticios para la asignación de ciertos contratos o para
negociar con algunos proveedores.
Los inversionistas, acreedores, clientes y
proveedores a menudo se relacionan con los estados financieros
para valorar el desempeño de los administradores y para
comparar con pares y con inversiones
alternativas.
El termino confiabilidad, tal y como se usa con los objetivos
de información financiera involucra la preparación
de estados financieros presentados razonablemente de acuerdo con
principios
contables generalmente aceptados u otros relevantes y apropiados
y con los requerimientos reguladores para propósitos
externos. La presentación confiable es definida como:
Los principios contables seleccionados y aplicados tienen
general aceptación.Los principios contables son apropiados para las
circunstancias.Los estados financieros son informativos de asuntos que
pueden afectar su uso, entendimiento e
interpretación.La información presentada es clasificada y
sumarizada de manera razonable, esto es, no es ni totalmente
detallada no totalmente condensada, yLos estados financieros reflejan las transacciones y los
eventos fundamentales de manera tal que presentan la
posición financiera, los resultados de las operaciones
y los flujos de efectivo definidos en un rango de
límites aceptables, esto es, límites que son
razonables y prácticos para conseguir en los estados
financieros. También es inherente en la
presentación razonable el concepto de materialidad de
los estados financieros.
El soporte de esos objetivos es una serie de aserciones que
fundamentan los estados financieros de una entidad.
Existencia u ocurrencia: activos, pasivos e
intereses de los propietarios existen en una fecha
específica, y las transacciones registradas
representan eventos que ocurrieron durante un periodo
determinado.Totalidad: todas las transacciones y los otros
eventos y circunstancias que ocurrieron durante un periodo
específico, y que han sido reconocidos en ese periodo
tienen, de hecho, que haber sido registrados.Derechos y obligaciones: los activos son los
derechos, y los pasivos son las obligaciones, de la entidad
en una fecha determinada.Valuación o asignación: los
componentes de activos, pasivos, ingresos y gastos se
registran en las cantidades apropiadas de conformidad con
principios contables relevantes y apropiados. Las
transacciones son matemáticamente correctas y sumadas
adecuadamente, y registradas en los libros y registros de la
entidad.Presentación y revelación: los
ítems en los estados son descritos, ordenados y
clasificados.
Como ocurre con las otras categorías de objetivos,
existe una serie de objetivos y sub-objetivos relacionados. Los
factores que representan la presentación razonable pueden
ser vistos como los objetivos de la información financiera
básica. Ellos pueden soportarse mediante sub-objetivos
representados por las aserciones de los estados financieros, los
cuales a su turno están relacionados con los objetivos
identificados con las diversas actividades de una entidad.
Puesto que esas definiciones de representación y
aserciones razonables son descritas adelante para los estados
financieros, también, al menos conceptualmente,
fundamentan el desarrollo de otros informes
financieros difundidos, derivados de los estados financieros,
tales como información financiera interina y presionan la
liberación de ganancias reportadas. Ciertos de esos
factores, sin embargo, podrán no ser aplicables a otros
informes financieros difundidos. Por ejemplo, la
presentación y revelación de información
generalmente no será aplicable a unas ganancias
realizadas.
Objetivos de cumplimiento. Las entidades deben conducir
sus actividades, y a menudo tomar acciones
específicas, de acuerdo con leyes y
regulaciones aplicables. Esos requerimientos se pueden
relacionar, por ejemplo, con mercados,
precios,
impuestos, el ambiente, bienestar de los empleados y comercio
internacional. Esas leyes y regulaciones establecen los
niveles mínimos de comportamiento
los cuales son integrados por la entidad en su cumplimiento de
objetivos. Por ejemplo, las regulaciones se seguridad y
salud
ocupacional pueden hacer que una compañía
defina sus objetivos como, embalaje y etiquetado de todos los
químicos de acuerdo con las regulaciones. En este caso,
las políticas
y los procedimientos se
relacionaran con programas de
comunicaciones, inspecciones en el lugar y
entrenamiento.
El registro del cumplimiento de una entidad con las leyes y
regulaciones puede afectar de manera significativa tanto positiva
como negativamente su reputación en la comunidad.
Cobertura de objetivos.
Un objetivo en
una categoría; puede cubrir o soportar un objetivo en
otra. Por ejemplo, cerrar trimestralmente con 10 días de
trabajo puede
ser un objetivo que soporta primariamente unos objetivos de
operaciones, apoyar las reuniones de la administración para revisar el
desempeño de los negocios. Pero también soporta
oportunamente la información financiera al mismo tiempo
que cumple con las agencia reguladoras. Un objetivo, proporcionar
a los administradores de planta de dato pertinentes sobre
producción de materias primas mezclada en
una base oportuna puede relacionarse con todas las tres
categorías de objetivos. Las decisiones soporta das en
datos sobre los cambios deseados de la mezcla (operaciones),
facilitan e monitoreo de sustancias riesgosas (cumplimiento) y
provee entradas para la contabilidad de
costos (información financiera lo mismo que
operaciones).
Otro conjunto de objetivos hace referencia a la salvaguardia
de recursos. Si bien se trata principalmente de objetivos de
operación, ciertos aspectos de salvaguarda pueden ubicarse
en las otras categorías. Bajo la categoría de
operaciones está el uso eficiente de los activos
registrados de una entidad y de otros recursos, y la
prevención de sus perdidas mediante hurto, desperdicio,
ineficiencia o aquello que los saca fuera simplemente por malas
decisiones de negocios, tales como vender productos a
muy bajo precio,
extensión del crédito
a riesgos
dañinos, falla en la retención de emplea dos clave
o prevención de la violación de patentes, o
incurrir en obligaciones imprevistas. Cuando aplican
requerimientos legales o reguladores, ellos se convierten e
asuntos de cumplimiento. De otra manera, la meta de
asegurar que cualquier pérdida de activos es reflejada
adecuadamente en los estados financieros de la entidad representa
un objetivo de información financiera.
La categoría en la cual un objetivo se ubica, puede
algunas veces depender de la circunstancias. Continuando la
discusión sobre salvaguardia de activos, los controle para
prevenir los hurtos de activos -tales como mantener una valla
alrededor de lo inventarios, y un
celador verificando la autorización adecuada de
requisiciones par movimiento de
bienes– se
ubican en la categoría de operaciones. Esos controle
normalmente no serian relevantes para la confiabilidad de la
preparación de estado
financieros, puesto que cualquier perdida de inventarios
podría ser detectada mediante la inspección
física
periódica y registrada en los estados financieros. Sin
embargo, si para propósitos de información
financiera los administradores confían únicamente
en registros de
inventario
perpetuo, como puede ser el caso para información
interina, los controles de seguridad física también
se podrían ubicar dentro de la categoría de
información financiera.
La distinción e interrelación entre las
categorías puede ilustrarse además en el contexto
de la actividad de préstamos de un banco comercial.
Para propósitos de ilustración, asúmase que los
controles existen para asegurar que los archivos de
crédito contienen las historias de crédito de los
clientes actuales y datos sobre desempeño. Además,
asúmase en este ejemplo que los ejecutivos de
crédito del banco no usan esa información en la
toma de
decisiones de crédito. En lugar de ello, dan
aprobaciones de giros contra líneas de crédito
existentes, y de la misma manera incrementan el límite, lo
cual se hace intuitivamente. Los administradores financieros, sin
embargo, realizan revisiones periódicas para determinar
los niveles apropiados de reservas contra pérdidas en
préstamos. Bajo este escenario, los controles sobre las
operaciones tienen debilidades significativas, mientras que los
controles sobre la información financiera no lo hacen.
Prácticamente hablando, tal control laxo
sobre las operaciones seguramente derivar en desempeño
inaceptable de las utilidades. La primera evidencia
aparecerá en los indicadores de
desempeño y luego en las bajas utilidades reportadas o
eventualmente perdidas, solicitando a la alta
administración y, si es suficientemente serio, al consejo,
investigación y acción
necesarios. De esta manera, los controles de información
financiera pueden ayudar a orientar la debilidad de las
operaciones, evidenciando sus interrelaciones, pero la debilidad
está en el control de las operaciones
únicamente.
Vinculación
Los objetivos pueden ser complementarios y estar vinculados.
Los objetivos globales de la entidad no solamente deben ser
consistentes con las capacidades y posibilidades de la entidad,
también deben ser consistentes con los objetivos de sus
unidades de negocio y funciones. Los
objetivos globales deben dividirse en sub-objetivos, consistentes
con la estrategia global, y vinculados con las actividades a
través de la
organización.
Cuando los objetivos globales son consistentes con la practica
principal y el desempeño, la vinculación con las
actividades es conocida. Cuando, sin embargo, los objetivos
surgen de las practicas pasadas de una entidad, la
administración debe orientar los vínculos u operar
los riesgos crecientes. Dado que ellos surgen de la practica
pasada, la necesidad de unidades de negocios o sub-objetivos
funcionales que son consistentes con la nueva dirección, es igualmente importante.
Un objetivo para llenar más roles administrativos
internamente mediante promociones dependerá fuertemente de
los sub-objetivos vinculados para los procesos de
recursos
humanos relacionados con la plantación de la
sucesión, valuación, entrena-miento y desarrollo.
Los sub-objetivos pueden cambiarse sustancialmente si la practica
pasada descansaba en fuerte escrutinio externo.
Los objetivos de actividades también necesitan ser
claros, esto es, fácilmente comprensible por la gente que
realiza acciones para su consecución. También deben
ser medibles. El personal y la administración deben tener
un entendimiento mutuo de lo que debe cumplirse y de los medios para
determinar la extensión en que se deben cumplir.
El alcance y el esfuerzo implicados en los objetivos de una
actividad también son relevantes. La mayoría de
entidades establece un número de objetivos para cada
actividad, los cuales fluyen de los objetivos globales de la
entidad y de los estándares relacionados con el
cumplimiento y con los objetivos de información
financiera. Para procurar, por ejemplo, objetivos de operaciones
debe establecerse:
Compra de bienes que cumplan las especificaciones de
ingeniería establecidos;Negociar precios aceptables y otros términos;
Revisar y re-certificar anualmente a todos los vendedores
clave.
La consecución total de los objetivos que pueden
definirse para una actividad puede imponer los recursos
comprometidos para ello; es útil relacionar, entonces, e
l, conjunto de objetivos globales de una entidad con los recursos
disponibles. Una forma de aliviar la obligación de
recursos adicionales es cuestionar los objetivos d actividades
que no apoyan los objetivos globales de la entidad y el proceso de
negocios de la misma. A menudo, una función tendrá
un objetivo irrelevante que es extraído de las
prácticas pasadas (produciendo rutinas además de
reportes mensuales inutilizados, por ejemplo).
Otra manera de balancear objetivos y recursos es identificar
aquellos de actividad' que son muy importantes o críticos,
para la consecución de los objetivos globales. N todos los
objetivos son iguales, algunas entidades los priorizan. Las
entidades puede identificar ciertos objetivos de actividad que
Sean críticos, y prestar cuidadosa atención a las actividades de monitoreo
relacionadas con esos objetivos. Esta noción refleja el
concepto de
factores críticos de éxito discutidos atrás,
donde las cosas deberá ser correcta para conseguir los
objetivos de la entidad.
Consecución de los objetivos
Como se anoto, el establecimiento de objetivos es un requisito
previo para el control
interno efectivo. Los objetivos proporcionan los blancos
medibles hacia los cu a-, les la entidad se mueve en la
conducción de sus actividades. Sin embargo, aunque, una
entidad pueda tener una seguridad razonable respecto a que
ciertos objetivos serán conseguidos, ello no
necesariamente es común para todos los objetivos.
Como se analizo en el Capitulo 1, un sistema de
control interno efectivo deberá proveer una seguridad
razonable sobre que los objetivos de información
financiera se están consiguiendo. Similarmente,
deberá existir una seguridad razonable respecto a que los
objetivos de cumplimiento se están consiguiendo. Esas dos
categorías están basadas primariamente en
estándares externos establecidos independientemente de los
propósitos de la entidad, y obtenerlos depende del control
de la entidad.
Pero hay una diferencia cuando ello se da en los objetivos de
operaciones. Primero, ellos no están basados en
estándares externos. Segundo, una entidad puede
desempeñarse como lo programo, pero también ser
sacada del mercado por un competidor. Puede también ser
sujeto de eventos externos
-un cambio en el
gobierno, mal
tiempo y cosas parecidas- que no puede controlar. Puede haber
considerado algunos de esos eventos en su proceso de
definición de objetivos y haberlos tratado como de poca
probabilidad,
con un plan de
contingencia en caso de que ocurrieran. Sin embargo, tal plan
solamente mitiga el impacto de eventos externos. No asegura que
se consigan los objetivos. Buenas operaciones que tengan
consistencia con el interno de los objetivos no aseguran el
éxito.
La meta del control interno en esta área se centra
principalmente en: desarrollo consistente de objetivos y metas
por todas las secciones de la organización, identificación de los
factores claves de éxito e información oportuna a
la administración sobre el desempeño y las
expectativas. Aunque el éxito no se puede asegurar, la
administración deberá tener una seguridad razonable
de ser alertada cuando los objetivos están en peligro o no
están siendo conseguidos.
RIESGOS
El proceso de identificación y análisis de riesgos es un proceso
interactivo ongoing y componente critico de un sistema de control
interno efectivo. Los administradores se deben centrar
cuidadosamente en los riesgos en todos los niveles de la entidad
y realizar las acciones necesarias para administrarlos.
Identificación de riesgos
El desempeño de una entidad puede estar en riesgo a causa de
factores internos o extremos. Esos factores, a su turno, pueden
afectar tanto los objetivos establecidos como los
implícitos. Los riesgos se incrementan en la medida en que
los objetivos difieren crecientemente del desempeño
pasado. En un número de áreas de desempeño,
una entidad, a menudo, no define explícitamente los
objetivos globales puesto que considera aceptable su
desempeño. Aunque en esas circunstancias no hay
allí un objetivo explicito o escrito, existe un objetivo
implícito de no cambio o como es. Esto no significa que un
objetivo implícito, con riesgos internos o externos, por
ejemplo, permita ver como aceptable el servicio que
una entidad presto a sus clientes. Tampoco quiere decir que
puedan deteriorarse las prácticas de un competidor tal y
como son percibidas por sus clientes.
Mirando si un objetivo esta establecido o es implícito,
el proceso de valoración de riesgos de una entidad puede
considerar los que pueden ocurrir. Es importante que la
identificación de riesgos sea comprensiva. Debe considerar
todas las interacciones significativas -de bienes, servicios e
información entre una entidad y las partes externas
relevantes. Esas partes externas incluyen proveedores,
inversionistas, acreedores, accionistas, empleados, clientes,
compradores, intermediarios y competidores, tanto potenciales
como actuales, lo mismo que entidades cuerpos publicas y medios de
comunicación.
La identificación de riesgos es un proceso interactivo
y a menudo esta integrado con el proceso de plantación.
También es útil considerar los riesgos desde una
aproximación, hoja de papel en blanco, y no relacionar
únicamente los riesgos de la revisión previa.
Nivel de la entidad.
Los riesgos del nivel global de la entidad pueden provenir de
factores externos o internos. Ejemplos incluyen:
Factores externos
Los desarrollos tecnológicos pueden afectar la
naturaleza y oportunidad de la investigación y
desarrollo, o dirigir hacia la procura de cambios.Las necesidades o expectativas cambiantes de los clientes
pueden afectar el desarrollo del producto, el proceso de
producción, el servicio al cliente, los precios o las
garantías.La competencia puede alterar las actividades de mercadeo o
servicio.La legislación y regulación nuevas pueden
forzar cambios en las políticas y en las estrategias
de operación.Las catástrofes naturales pueden orientar los
cambios en las operaciones o en los sistemas de
información y hacer urgente la necesidad de planes de
contingencia. Los cambios económicos pueden tener un
impacto sobre las decisiones relacionadas con
financiación, desembolsos de capital y
expansión.
Factores internos
Una ruptura en el procesamiento de los sistemas de
información puede afectar adversamente las operaciones
de la entidad.La calidad del personal vinculado y los métodos de
entrenamiento y motivación pueden influenciar el nivel
de conciencia de control en la entidad.Un cambio en las responsabilidades de la
administración puede afectar la manera como se
efectúan ciertos controles.La naturaleza de las actividades de la entidad, y el
acceso de los empleados a los activos, pueden contribuir a
una equivocada apropiación de los recursos.Un consejo o comité de auditoria quo no
actúa o que no es efectivo puede proporcionar
oportunidades para indiscreciones.
Se han identificado muchas técnicas
para valorar riesgos. La mayoría -particularmente aquellas
desarrolladas por auditores internos y externos para determinar
el alcance de sus actividades- implican el use de métodos
cualitativos o cuantitativos para priorizar e identificar las
actividades altamente riesgosas. Otras prácticas incluyen:
revisiones periódicas de los factores económicos e
industriales que afectan los negocios, conferencias de los
administradores principales sobre planeación
de negocios y reuniones con analistas industriales. Los riesgos
se pueden identificar en conexión con
presupuestación de corto y largo plazo y con
planeación estratégica. No es importante conocer
cuales son los métodos
mediante los cuales una entidad identifica los riesgos. Lo que
sí es importante es quo la administración considere
cuidadosamente los factores que puedan contribuir a incrementar
los riesgos. Algunos factores a considerar incluyen: experiencias
pasadas sobre fallas en la consecución de objetivos;
calidad del personal; existencia de actividades distribuidas
geográficamente, de manera particular en el extranjero;
significado de una actividad para la entidad; y complejidad de
una actividad.
Un ejemplo para ilustrar: un importador de vestidos y calzado,
para descansar, estableció un objetivo global de la
entidad de llegar a ser un líder
industrial en mercancías de moda de alta
calidad. Los riesgos considerados en el nivel global de la
entidad incluyeron: fuentes de
abastecimiento, incluyendo la calidad, el numero y la estabilidad
de los manufactureros extranjeros; exposición
a las fluctuaciones en el valor de las
monedas extranjeras; oportunidad de recibir los embarques y
efecto de las demoras por las inspecciones en aduanas;
disponibilidad y confiabilidad de las compañías de
embarque y costos; probabilidad de
hostilidades internacionales y de embargos comerciales; y
presiones de los clientes e inversionistas para boicotear la
realización de negocios en un país extranjero cuyos
gobernantes pudieran adoptar políticas inaceptables. Tales
fueron en suma los riesgos más genéricamente
considerados, tales como el impacto de un deterioro en las
condiciones económicas, aceptaci6n de los productos en el
mercado, nuevos competidores en el mercado de la entidad, y
cambios en el ambiente o en las leyes reguladoras y en las
regulaciones.
La identificación de factores externos e internos que
contribuyen al riesgo en un nivel global de la entidad es un
asunto crítico para una valoración de riesgos
efectiva. Dado que los principales factores que contribuyen han
sido identificados, la administración puede entonces
considerar su significado y, de ser posible, vincular los
factores de riesgo con las actividades de negocio.
Nivel de actividad.
En adición a la identificación de riesgos a
nivel de la entidad, deben identificarse también los
riesgos a nivel de actividad. El tratar con los riesgos a este
nivel ayuda a centrar la valoración de riesgos en las
principales unidades de negocio o en funciones tales como ventas,
producción, mercadeo,
desarrollo de tecnología e investigación y
desarrollo. La valoración exitosa de los riesgos a
través de actividad también contribuye a mantener
niveles aceptables en el nivel global de la entidad.
En la mayoría de las instancias, para un objetivo
establecido o implícito, se pueden identificar diferentes
riesgos. En un proceso de consecución, por ejemplo, una,
entidad puede tener un objetivo relacionado con el mantenimiento
de un adecuado inventario de materias primas. Los riesgos de no
conseguir el objetivo de actividad pueden incluir bienes que no
cumplen las especificaciones, o no poder ser
adquiridos en las cantidades necesarias, a tiempo o a precios
aceptables. Esos riesgos pueden afectar la manera como se manejan
las especificaciones para comprar bienes a los vendedores, el use
y propiedad de
los presupuestos
de producción, identificación de fuentes
alternativas de proveedores y practicas de negociación.
Las causas potenciales para fallar en la consecución de
un objetivo varía entre lo obvio pasta lo oscuro, y de lo
significativo a lo insignificante en el efecto potencial.
Ciertamente, aparentemente es fácil identificar los
riesgos que afectan, significativamente la entidad. Para evitar
el sobredimensionamiento de los riesgos relevantes, esta
identificación es mejor hacerla aparte de la
valoración de la probabilidad de ocurrencia de los
riesgos. Existen, sin embargo, limitaciones practicas en el
proceso de identificación, y a menudo es difícil
determinar donde dibujar la línea de separación. No
tiene mucho sentido considerar el riesgo de la caída de un
meteoro desde el espacio sobre las instalaciones de
producción de una compañía, mientras que
puede ser razonable considerar el riesgo de choque de un
aeroplano contra una' instalación localizada cerca de un
aeropuerto.
Análisis de riesgos
Luego que una entidad ha identificado los riesgos globales de
la entidad y los riesgos de actividad, necesita pacer un
análisis de riesgos. La metodología para analizar riesgos puede
variar ampliamente porque muchos riesgos son difíciles de
cuantificar.
Sin embargo, el proceso que puede ser más o menos
formal- usualmente incluye:
Estimación del significado de un riesgo;
Valoración de la probabilidad (o frecuencia) de
ocurrencia del riesgo;Consideración de cómo puede administrarse el
riesgo, esto es, una valoración de que acciones deben
ser tomadas.
Un riesgo que no tiene un efecto significativo sobre la
entidad y una baja probabilidad de ocurrencia generalmente no
justifica atención seria. Un riesgo significativo con una
alta probabilidad de ocurrencia, de otra manera, usualmente
demanda
considerable atención. Las circunstancias entre esos
extremos usualmente requieren juicios difíciles. Es
importante que el análisis sea racional y cuidadoso.
Existen numerosos métodos para estimar el costo de una
perdida derivada de un riesgo identificado. La
administración debe estar atenta a ello y aplicar los que
considere apropiados. Sin embargo, muchos riesgos tienen
tamaño indeterminado. Lo mejor es describirlos como
grande, ponderado o pequeño.
Una vez que se ha valorado la significancia y la probabilidad
del riesgo, la administración necesita considerar
cómo debe administrarse. Ello implica juicio basado en
suposiciones sobre el riesgo, y un análisis de costos
razonable asociado con la reducción del nivel del riesgo.
Las acciones que se pueden tomar para reducir la importancia o la
probabilidad de ocurrencia del riesgo incluyen una gran cantidad
de decisiones administrativas que deben tomarse cada día.
Ese rango va desde identificar las alternativas de proveer
recursos o expandir líneas de productos hasta obtener
informes de operación más relevantes o programas de
mejoramiento del entrenamiento. En algunos casos las acciones
pueden eliminar virtualmente el riesgo, o contrarrestar su efecto
si ocurre. Ejemplos de ello son la integración vertical para reducir riesgos
de proveedores, prestar atención a la exposición
financiera y obtener adecuada cobertura de seguros.
Nótese que existe una distinción entre
valoración de riesgos, la cual es parte del control
interno, y los planes, programas u otras acciones resultantes
considerados necesarios por la administración para manejar
los riesgos. Las acciones emprendidas, como se discutió en
el parágrafo anterior, son una parte clave del proceso
administrativo total, pero no un elemento del sistema de
control interno.
Junto con las acciones para administrar riesgos se encuentra
el establecimiento de procedimientos para facilitar a la
administración que haga seguimiento a la
implementación y efectividad de las acciones. Por ejemplo,
una acción que una organización puede tomar para
administrar el riesgo de perdida de servicios de computación críticos es formular un
plan de recuperación de desastres. Deben, entonces,
efectuarse procedimientos para asegurar que el plan es
apropiadamente diseñado e implementado. Tales
procedimientos representan actividades de control, las cuales se
estudiaran en el Capítulo 4.
Antes de implantar procedimientos adicionales, la
administración debe considerar cuidadosamente si los
existentes pueden ser adecuados para manejar los riesgos
identificados. Dado que los procedimientos pueden satisfacer
objetivos múltiples, la administración puede
descubrir que no se justifican acciones adicionales; los
procedimientos existentes pueden ser suficientes o requieren un
mejor desempeño.
La administración también puede concluir que es
probable que siempre exista algún nivel de riesgo residual
no solamente porque los recursos siempre son limitados, sino
también a cause de otras limitaciones inherentes a cada
sistema de control interno.
El análisis de riesgos no es un ejercicio
teórico. A menudo es crítico para el éxito
de la entidad. Es más efectivo cuando incluye la
identificación de todos los procesos claves de negocio en
los cuales existe exposición potencial de alguna
consecuencia. Puede envolver análisis de procesos, tales
como identificación de dependencias clave y modos de
control significativos, y el establecimiento de responsabilidad. El análisis de procesos
efectivos presta especial atención a las dependencias que
cruzan la organización, identificando, por ejemplo: donde
se originan los datos, donde se almacenan, cómo se
convierten en información útil y quien use la
información. Las organizaciones
grandes, en general, necesitan ser particularmente vigilantes en
la orientación de las transacciones intracompanía e
intercompanía, así como en las dependencias claves.
Este proceso puede ser afectado positivamente por programas de
calidad los cuales, con una compra en por los empleados, puede
ser un elemento importante para contener el efecto de los
riesgos.
Desafortunadamente, la importancia del análisis de
riesgos se reconoce algunas veces muy tarde, como es el caso de
una firma principal de servicios financieros en la cual un
ejecutivo principal anunció un melancólico
epitafio: justamente no pensamos que encontraríamos muchos
riesgos.
MANEJO DEL CAMBIO
Los ambientes económicos, industriales y reguladores
cambian, y envuelven la actividad de las entidades. El control
interno efectivo bajo un conjunto de condición.
Corresponde a la idea que los empleados puedan adquirir parte
de la propiedad de las empresas. Lo cual
los líos no necesariamente será efectivo bajo
otras. Para la valoración de riesgos es fundamental un
proceso para identificar las condiciones cambiantes y tomar las
acciones necesarias.
Así, cada entidad necesita tener un proceso, formal o
informal, para identificar la condiciones que puedan afectar
significativamente su habilidad para conseguir sus objetivos.
Como se vera adelante en el Capitulo 5, una parte clave de ese
proceso implica sistemas de
información que capturen, procesen y reporten
información sobre eventos, actividades y condiciones que
señalen los cambios frente a los cuales la entidad
necesita reaccionar. Tal información puede implicar
cambios en las preferencias de los clientes a otros factores que
afecten la demanda por los productos o servicios de la
compañía. o, puede implicar nueva tecnología
que afecte el proceso de producción a otras actividades de
negocio, o desarrollos competitivos o legislativos o reguladores.
Con los requeridos sistemas de
información en funcionamiento, puede establecerse el
proceso para identificar y responder a las condiciones
cambiantes.
Este proceso será paralelo, o será parte del
proceso regular de valoración de riesgos de la entidad
descrito antes. Implica la identificación de las
condiciones cambiantes lo cual requiere tener en funcionamiento
mecanismos para identificar y comunicar sucesos o actividades que
afecten los objetivos de la entidad y el análisis de las
oportunidades asociadas o riesgos. Tal análisis incluye la
identificación de las causas potenciales de la
consecución o de las fallas en la consecución de un
objetivo, la valoración de la probabilidad de que tales
causas ocurran, la evaluación
del efecto probable sobre la consecución de los objetivos
y la consideración del grado en que deben controlarse los
riesgos o la manera de aprovechar las oportunidades.
Si bien el proceso mediante el cual una entidad maneja el
cambio es similar -si no parte de-, a su proceso regular de
valoración de riesgos, se discute separadamente. Esto es a
causa de su importancia critica para el control interno efectivo
y porque puede ser fácilmente sobreestimado o recibir
atención insuficiente en el curso del trato de los asuntos
de cada día.
Circunstancias que demandan atención
especial
Este centro de atención sobre el cambio administrativo
esta fundamentado en la premisa de que, dado su impacto
potencial, ciertas condiciones deberán ser sujeto de
consideración especial. La extensión de cuanta
atención de la administración requieren tales
condiciones, por supuesto, depende del efecto que puedan tener en
las circunstancias particulares. Tales condiciones son:
Cambio el ambiente de operación. Un ambiente
regulador o económico. significativo de Los riesgos
diferentes. La desinversión en la industria de Las
telecomunicaciones, y la desregulación de Las tasas de
comisión en la industria de corretaje, por ejemplo,
introduce a Las entidades en fin ambiente competitivo
cambiado ampliamente.Personal nuevo. Un ejecutivo principal nuevo en una
entidad puede no entender la cultura de la entidad, o
centrarse solamente en el desempeño de la
exclusión de Las actividades relacionadas con el
control. La alta rotación de personal, con ausencia de
entrenamiento y supervisión efectivos, puede generar
desastres.Sistemas de información nuevos o reconstruidos.
Normalmente Los controles efectivos pueden averiarse cuando
se desarrollan sistemas nuevos, particularmente cuando existe
presión de disminuir Los tiempos de ejecución,
por ejemplo, para obtener ventajas competitivas o realizar
movimientos tácticos.Crecimiento rápido. Cuando Las operaciones se
expanden significativa y rápidamente, Los sistemas
existentes pueden forzarse excesivamente hasta el punto de
que Los controles se averían; cuando se cambian Los
procesos o se añade personal de oficina, Los
supervisores existentes pueden ser incapaces de mantener
control adecuado.Tecnología nueva. Cuando se incorporan nuevas
tecnologías en el proceso de producción o en
Los sistemas de información, existe una alta
probabilidad de que Los controles internos necesiten ser
modificados. Las tecnologías justo-a-tiempo para
manejo de inventarios de manufactura, por ejemplo,
comúnmente requieren cambios en Los sistemas de costos
y en Los controles relacionados para asegurar reporte de
información significativa.Líneas, productos, actividades nuevas. Cuando una
entidad incorpora nuevas Líneas de negocios o realiza
transacciones con Las cuales no esta familiarizada, Los
controles existentes pueden no ser adecuados. Las
organizaciones de ventas y prestamos, por ejemplo que se
arriesgan en inversiones y prestamos en Los cuales tienen
poca o no experiencia previa, centrándose en como
controlar Los riesgos implicados.Reestructuración corporativa. Las
reestructuraciones resultantes, por ejemplo, de una compra
apalancada, o de declinaciones significativas de negocios o
de programas de reducción de costos pueden estar
acompañadas de reducciones de personal e inadecuadas
supervisión y segregación de funciones. O, fin
trabajo que desempeña una función clave de
control puede ser eliminado sin compensar Los controles en su
lugar. Un número de compañías
aprendió muy tarde que ellos hicieron recortes de
personal rápidos y en gran escala sin consideraciones
adecuadas de Las serias implicaciones de control.. Operaciones en el extranjero. La expansión o la
adquisición de operaciones en el extranjero acarrean
riesgos nuevos a menudo, Los cuales debe orientar la
administración. Por ejemplo, el ambiente de control es
apropiado para ser dirigido por la cultura y Las costumbres
de la administración local. También, Los
riesgos del negocio pueden derivar de factores singulares
para la economía local y para el ambiente regulador.
O, Los canales de comunicación y Los sistemas de
información pueden no estar bien establecidos y
disponibles para todos Los individuos.
Mecanismos.
Deben existir mecanismos para identificar Los cambios que se
deban realizar o que ocurrirán, en cualquier
suposición o condición material. Esos mecanismos no
necesitan elaborarse, y usualmente son más informales en
Las empresas pequeñas.
Los administradores-propietarios de una compañía
pequeña que fabrica maquinas de tamiz de seda, se refine
con Los jefes de ventas, finanzas,
compras, manufactura e
ingeniería. Durante el curso de una reunión de
media hora, orientan tecnologías, acciones de Los
competidores y nuevas demandas de Los clientes. Se analizan Los
riesgos y Las oportunidades, liderando inmediatamente Los planes
de acción para cada actividad. La implementación
comienza inmediatamente, y Los administradores-propietarios
continúan con visitas durante semanas y meses para cada
actividad a fin de ver de primera mano la manera como se esta
procediendo en la implementación, y si Los cambios en el
mercado se están orientando adecuadamente.
Mirada progresista
Para la extensión practicable, Los mecanismos deben
tener mirada progresista, a fin de que una entidad pueda
anticipar y planear para Los cambios significativos. Deben
implantarse sistemas progresistas para identificar Los riesgos
nuevos. Un banco comercial, por ejemplo, emplea fin consejo de
riesgos multidisciplinario para analizar productos nuevos en
términos de sus riesgos para el banco. Esos bancos que
identifican Las necesidades emergentes de Los clientes requieren
de horas, luego del trabajo bancario y una creciente receptividad
de Los clientes mediante sistemas de computación
interactivos que sean capaces de expandir significativamente sus
mercados bancarios de consumo
mediante la instalación y mercadeo efectivo do redes de maquinas de cajeros
automáticos de fácil acceso al usuario.
Naturalmente, el último que cambia afecta Los riesgos y
oportunidades, la mejor de Las probabilidades es que se tomen Las
acciones para tratar efectivamente con ellos.
Sin embargo, como ocurre con otros mecanismos de control, no
se pueden ignorar los costos relacionados. Ninguna entidad tiene
suficientes recursos para obtener y analizar completamente la
información sobre toda la cantidad de condiciones que la
afectan. Además, puesto que ninguna posee una bola de
cristal que le prediga adecuadamente el futuro, aunque tengan la
información relevante mas actualizada, ello no es
garantía de que sucesos o implicaciones futuras puedan ser
pronosticados correctamente. A menudo es difícil conocer
si una información aparentemente significativa es el
comienzo de una tendencia importante, o solamente una
aberración.
De acuerdo con ello, deben implantarse mecanismos razonables
para anticiparse a los cambios que puedan afectar la entidad,
ayudando a eludir los problemas que
to impiden y tomando ventaja de las próximas
oportunidades. Nadie puede predecir el futuro con certeza, lo
mejor es que una entidad pueda anticiparse a los cambios y a sus
efectos; solamente lo harán los pocos que se preparan para
no dejarse dar sorpresas desagradables.
APLICACIÓN A ENTIDADES PEQUEÑAS Y
MEDIANAS
El proceso de valoración de riesgos es probablemente
menos formal y menos estructurado en las entidades
pequeñas que en las grandes, pero los conceptos
básicos de este componente del control interno deben estar
presentes en cualquier entidad, independiente del tamaño.
Una entidad pequeña debe tener objetivos establecidos, si
bien ellos pueden ser implícita más que
explícitamente establecidos. Puesto que las entidades
pequeñas usualmente están más centralizadas
y tienen pocos niveles de autoridad, los
objetivos pueden ser fácil y efectivamente comunicados mas
directamente o sobre una base continúa a los niveles bajos
de la administración. Similarmente, los vínculos
entre los objetivos globales de la entidad con los objetivos de
actividad son usualmente claros y directos.
El proceso de identificar y analizar los riesgos que puedan
entorpecer la consecución de los objetivos
dependerá a menudo de la información recibida por
la alta administración de parte de empleados y
extraños. Un administrador-propietario puede aprender sobre
riesgos provenientes de factores externos mediante el contacto
directo con clientes, proveedores, banqueros, abogados, auditor
interno y otros extraños de la entidad. El CEO puede
familiarizarse con los riesgos provenientes de factores internos
mediante el contacto directo con todos los niveles de personal.
La valoración de riesgos en una entidad pequeña
puede ser particularmente efectiva a causa de la
compenetración en profundidad del CEO y otros
administradores claves lo cual, a menudo, significa que los
riesgos son valorados por gente que tiene acceso a la
información apropiada y además buen entendimiento
de sus implicaciones.
I', normales, de cada día, así como de aquellos
que resultan de las circunstancias menos comunes, de las
condiciones sustancialmente cambiadas (tales como nuevas
regulaciones, una declinación económica en la
actividad de negocios o expansión de la línea de
productos), puede ser altamente informal así como
efectiva. Las mismas reuniones informales entre el CEO y los
jefes de departamento y otras partes externas que proveen de
información útil en la identificación de los
riesgos puede también proporcionar el foro para analizarlos y tomar las
decisiones sobre cómo deben ser administrados tales
riesgos. Los planes de acción pueden ser ideados
rápidamente con un número limitado de gente. De
manera similar, la implementación puede haberse
inmediatamente que el CEO o los administradores claves visiten el
departamento afectado o tomar con los clientes o proveedores
aquellas medidas necesarias p para responder a ello. Es necesario
asegurar que se tomen las acciones requeridas.
EVALUACIÓN
Un evaluador se centrara en el proceso administrativo para
definición de objetivos, análisis de riesgos y
administración del cambio, incluyendo sus vínculos
y su relevancia con las actividades del negocio. Lo listado abajo
son asuntos que un ' evaluador puede considerar. La lista no es
completa, no todos los ítems se aplican a todos las
entidades; puede, sin embargo, servir como punto de arranque.
Objetivos globales de la entidad
Extensión en la cual los objetivos globales de la
entidad proveen declaraciones y orientaciones ampliamente
suficientes sobre lo que la entidad desea conseguir, y si son
lo suficientemente específicos como para relacionarse
directamente con ella.Efectividad con la cual los objetivos globales de la
entidad son comunicados a los empleados y al consejo de
directores.
Relación y consistencia de las estrategias con los
objetivos globales de la entidad. Consistencia de los planes y
presupuestos de negocio con los objetivos globales de la entidad,
planes estratégicos y condiciones actuales.
Objetivos a nivel de actividad
Vínculo de los objetivos a nivel de actividad con los
objetivos globales de la entidad y con los planes
estratégicos.
Relevancia de los objetivos a nivel de actividad para con todo
el proceso de negocios significativo.
Especificidad de los objetivos a nivel de
actividad.
Conveniencia de los recursos relacionada con los
objetivos.
Identificación de los objetivos importantes (factores
críticos de éxito) para la consecución de
los objetivos globales de la entidad.
Compromiso de todos los nivele, de la administración en
la información anti Riesgos
Conveniencia de los mecanismos para identificar los
riesgos provenientes de fuentes externas.Conveniencia de los mecanismos para identificar los
riesgos provenientes de fuentes internas.Identificación de los riesgos significativos para
cada objetivo importante a nivel de actividad.Totalidad y relevancia del proceso de análisis de
riesgos, incluyendo la estimación de los más
significativos, la valoración de la probabilidad de su
ocurrencia y la determinación de las acciones
requeridas.
Manejo del cambio
Existencia de mecanismos para anticipar, identificar y
reaccionar a los eventos o actividades rutinarias que afectan
la consecución de los objetivos globales o de los
objetivos a nivel de actividad de la entidad (implementados
usualmente por los administradores responsables de las
actividades que podrían ser afectadas por los
cambios).Existencia de mecanismos para identificar y reaccionar a
los cambios que puedan tener efecto más
dramático y penetrante sobre la entidad, y que puedan
demandar la atención de la alta
administración.
CAPITULO 4
ACTIVIDADES DE
CONTROL
Resumen del capitulo:
Las actividades de control son los procedimientos que
acuerdan a asegurar que se están llevando a cabo las
directivas administrativas. Tales actividades ayudan a asegurar
que se están tomando las acciones necesarias para manejar
los riesgos hacia la consecución de los objetivos de la
entidad. Las actividades de control se dan a todo lo largo y
ancho de la organización, en todos los niveles y en todas
las funciones. Incluyen un rango de actividades diversas como
aprobaciones, autorizaciones, verificaciones, reconciliaciones,
revisión del desempeño de operaciones, seguridad de
activos y segregación de responsabilidades.
Las actividades de control son políticas y
procedimientos, son acciones de las personas para implementar las
políticas, para ayudar a asegurar que se están
llevando a cabo las directivas administrativas identificadas como
necesarias para manejar los riesgos. Las actividades de control
se pueden dividir en tres categorías, basadas en la
naturaleza de
los objetivos de la entidad con los cuales se relaciona:
operaciones, información financiera, o cumplimiento.
Si bien algunos controles se relacionan únicamente con
un área, a menudo se sobreponen. Dependiendo de las
circunstancias, una actividad particular de control puede ayudar
a satisfacer los objetivos de la entidad en más de una de
las tres categorías. Así, los controles de
operaciones también pueden ayudar a asegurar
información financiera confiable, los controles de
información financiera pueden servir para efectuar
cumplimiento, y así todos los demás.
Por ejemplo, el administrador de ventas de un distribuidor de
partes, para conservar la participación en las ventas de
ciertos productos y localizaciones geográficas, obtiene
diariamente informes relámpago respecto de las cabeceras
de distrito. Dado que el administrador de ventas relaciona esa
información con las ventas registradas y las comisiones de
la gente de ventas reportadas por el sistema contable, esa
actividad de control se orienta a los objetivos relacionados
tanto con las operaciones como con la información
financiera. En una cadena de ventas al detal los créditos emitidos para las
mercancías retomadas por los clientes son controlados
mediante la secuencia numérica de los documentos y
sumada para propósitos de información financiera.
Esta suma también proporciona un análisis por
producto para use de los administradores de mercancías en
sus futuras decisiones de compra o para control de
inventarios. En este caso, las actividades de control
establecidas primariamente para información financiera
también sirven a las operaciones.
Aunque esas categorías son útiles para la
discusión sobre control interno, la categoría
particular en la cual un control debe ubicarse no es tan
importante como el papel que juega en la consecución de
los objetivos de una entidad en particular. Tipos de actividades
de control
Se han propuesto muchas descripciones diferentes de los
distintos tipos de actividades de control, incluyendo controles
preventivos, controles para detectar, controles manuales,
controles computarizados y controles administrativos. Las
actividades de control pueden ser descritas para objetivos de
control especificados, tales como asegurar que el procesamiento de
datos sea completo, exacto. Le siguen ciertas actividades de
control comúnmente desempeñadas por personal en
varios niveles en las organizaciones. Se presentan para ilustrar
el rango y la variedad de actividades de control, no para sugerir
una categorización particular.
Revisiones de alto nivel. Las revisiones se
realizan sobre el desempeño actual frente a
presupuestos, pronósticos, periodos anteriores y
competidores. Las iniciativas principales se rastrean tales
como arremetidas de mercadeo, mejoramiento de procesos de
producción y programas para contener o reducir costos
a fin de medir la extensión en la cual los objetivos
están siendo logrados. La implementación de
planes es monitoreada para el desarrollo, alianzas conjuntas
con o sin financiación, de nuevos productos. Las
acciones administrativas que se realizan y los consiguientes
informes representan actividades de control.Funciones directas o actividades administrativas.
Los administradores dirigen las funciones o las actividades
revisando informes de desempeño. Un administrador
responsable por los créditos de consumo de un banco
revisa los informes por sucursal, región y tigo de
préstamo (colateral), verificando sumas e
identificando tendencias, y relacionando resultados con
estadísticas económicas y objetivos. A su
turno, los administradores de sucursales reciben datos sobre
nuevos negocios de parte de los ejecutivos de
préstamos y segmentos de clientes locales. Los
administradores de sucursales se centran solamente en el
cumplimiento de hechos, por ejemplo, revisando los informes
requeridos por los reguladores sobre depósitos nuevos
bajo cantidades especificadas. Las conciliaciones se hacen
entre los flujos de caja diario frente a las posiciones netas
reportadas centralmente para transferencias e inversiones
nocturnas.Procesamiento de información. Se implementa
una variedad de controles para verificar que estén
completos y autorización de las transacciones. Los
datos que ingresan están sujetos a chequeos o a
cotejarse con los archivos de control. La orden de un
cliente, por ejemplo, es aceptada solamente por referencia a
un archivo de clientes aprobados y a un límite de
crédito. Las secuencias numéricas de las
transacciones son para dar razón de ello. Los archivos
totales se comparan y concilian con los balances de prueba y
con las cuentas de control. Las excepciones reciben
seguimiento especial por parte de personal de oficina, y se
informa a los supervisores cuando sea necesario. El
desarrollo de sistemas nuevos y de cambios frente a los
actuales es controlado, tanto en el acceso de datos, archivos
y programas. Los controles sobre el procesamiento de
información se discuten adelante.Controles físicos. Equipos, inventarios,
valores y otros activos se aseguran físicamente en
forma periódica son contados y comparados con las
cantidades presentadas en los registros de control.Indicadores de desempeño. Relacionar unos
con otros los diferentes conjuntos de datos -operacionales o
financieros- , edemas de analizar las interrelaciones e
investigar y corregir las acciones, sirven como actividades
de control. Los indicadores de desempeño incluyen, por
ejemplo, variaciones en los precios de compra, el porcentaje
de órdenes que son pedidos urgentes y el porcentaje
total de retorno de órdenes. Mediante la
investigación de resultados inesperados o de
tendencias poco usuales, los administradores identifican
circunstancias en las que el desarrollo subyacente de los
objetivos de actividad es peligroso o no esta siendo
conseguido. Si los administradores usan esa
información solamente para tomar decisiones de
operación, o también lo hacen bajo resultados
inesperados reportados por los sistemas de información
financiera, determina si el análisis de los
indicadores de desempeño sirve para propósitos
operacionales o si, únicamente, para propósitos
de control de información financiera.Segregación de responsabilidades. Las
responsabilidades se dividen, o segregan, entre diferentes
empleados para reducir el riesgo de error o de acciones
inapropiadas. Por ejemplo, las responsabilidades para
autorización de transacciones, el registro de ellas y
la manipulación de los activos relacionados, se
dividen. Un administrador que autoriza créditos de
ventas no debería ser responsable de mantener los
registros de cuentas por cobrar o de manipular los recibos de
caja. De manera similar, la gente de ventas no debería
tener la capacidad de modificar los archivos de precios de
producto o las tasas de comisiones.
Esos son solamente unos pocos entre una gran cantidad de
procedimientos que cada día se aplican en las empresas y
que sirven para forzar la adherencia a los planes de
acción establecidos, y que mantienen a las entidades en la
dirección adecuada hacia el cumplimiento de sus
objetivos.
Políticas y procedimientos.
Las actividades de control usualmente implican dos elementos:
el establecimiento de una política que pueda
cumplirse y, sirviendo como base para el segundo elemento,
procedimientos para llevar a cabo la política. Una
política, por ejemplo, puede solicitar una revisión
de las actividades de comercio con
los clientes mediante valores
negociados con el administrador de una sucursal. El procedimiento es
la revisión misma, desempeñada de manera oportuna y
con la atención prestada a factores establecidos en la
política, tales como la naturaleza y el volumen de
los valores
negociados, y su relación con el valor neto y la edad del
cliente.
Muchas veces las políticas se comunican oralmente. Las
políticas no escritas pueden ser efectivas cuando
corresponden a una práctica de largo tiempo de establecida
y bien entendida, y en organizaciones pequeñas donde los
canales de comunicación implican limitados estratos
administrativos y una interacción y supervisión cerradas del personal. Pero
analizando el asunto cuando la política esta escrita, ella
debe implementarse completa, consciente y consistentemente. Un
procedimiento no será útil si el mecanismo
desempeñado no esta centrado en las condiciones bajo las
cuales la política es dirigida.
Además, es esencial que las condiciones identificadas
como resultado de los procedimientos sean investigadas y se tomen
las acciones correctivas apropiadas. Las acciones consiguientes
pueden variar de acuerdo con el tamaño y la estructura'
organizacional de una empresa.
Ellas pueden variar desde un proceso de información formal
en una compañía grande -donde las unidades de
negocios establecen que objetivos no se han cumplido y que
acciones se están tomando para prevenir su recurrencia
hasta un administrador propietario de un negocio que se
reúne en el pasillo para hablar con el administrador de
planta, para discutir que ocurrió fuertemente y que se
requiere hacer.
INTEGRACIÓN CON LA VALORACIÓN DE
RIESGOS
Junto con la valoración de riesgos, la
administración debe identificar y poner en
ejecución acciones requeridas para manejar los riesgos.
Las acciones identificadas para manejar los riesgos
también sirven como centro de atención sobre las
actividades de control a poner en funcionamiento para ayudar a
asegurar que las acciones se están realizando de manera
adecuada y oportuna.
Por ejemplo, una compañía define como objetivo
cumplir o exceder las metas de ventas. Los riesgos identificados
incluyen tener conocimiento suficiente de las necesidades de los
clientes actuales y potenciales. Las acciones de la
administración para orientar los riesgos incluyen el
establecimiento de historias de compras de los clientes
existentes y comprender las iniciativas de investigación
de los nuevos mercados. Esas acciones también sirven como
puntos controles para el establecimiento de actividades de
control.
Los objetivos de control son en buena parte integrantes del
proceso mediante el cual una empresa se apoya
para conseguir sus objetivos de negocios. Las actividades de
control no se aplican por si mismas o porque se percibe que son
lo recto o adecuado a realizar. En este ejemplo, la
administración requiere dar los pasos para asegurar que
]as metas de venta se
están cumpliendo. Las actividades de control sirven como
mecanismo para administrar la consecución de ese objetivo.
Tales actividades pueden incluir el seguimiento del progreso del
desarrollo de las historias de compra de los clientes contra las
tablas de tiempo establecidas, y los pasos para asegurar la
exactitud de los datos reportados. En este sentido, el control se
construye directamente sobre el proceso administrativo.
CONTROL SOBRE LOS SISTEMAS DE INFORMACIÓN
Dada la extendida confianza que se tiene en los sistemas de
información, se necesitan controles sobre la totalidad de
tales sistemas: financiero, cumplimiento y operacional, grandes y
pequeñas.
La Mayoría de las entidades, incluyendo
compañías pequeñas o unidades de las
grandes, emplean computadores en el procesamiento de la
información. De acuerdo con ello, la discusión
siguiente esta centrada en los sistemas de información,
los cuales incluyen elementos tanto manuales como computarizados.
Para sistemas de información que son estrictamente
manuales, pueden aplicarse controles diferentes; tales controles,
aunque diferentes, se basaran en los mismos conceptos subyacentes
de control.
Se pueden usar dos grandes grupos de
actividades de control de sistemas de información. El
primero, controles generales -los cuales se aplican a la
mayoría, si no, a todas las aplicaciones de sistemas y
ayudan a asegurar su continuidad y operación adecuada. La
segunda categoría son los controles de aplicación,
los cuales incluyen pasos computarizados con la aplicación
de software y
manuales de procedimiento relacionados para controlar el
procesamiento de varios tipos de transacciones. De la misma
manera, esos controles sirven para asegurar que Sean completos,
exactos y reflejar validez de la información financiera y
otra en el sistema.
Esta terminología existe en diversas literaturas. Esos
controles algunas veces se denominan controles generales
computarizados, controles generales o controles de tecnología
de la información. Aquí se emplea el
término controles generales, por conveniencia.
Controles generales
Los controles generales incluyen comúnmente los
controles sobre las operaciones del centro de datos, la
adquisición y mantenimiento del software del sistema, las
seguridades de acceso, y el desarrollo y mantenimiento de las
aplicaciones del sistema. Esos controles aplican a todos los
sistemas, mainframe, minicomputadores y ambientes de
computación de usuario final.
Controles a las operaciones del centro de datos.
Incluyen trabajos de implementación y rutina, acciones del
operador, copias de seguridad y procedimientos de
recuperación, así como planeación de
contingencias o recuperación por desastres. En un ambiente
sofisticado, esos controles también ayudan a manejar la
capacidad de plantación y de asignación y use de
recursos. En un ambiente de alta tecnología, el trabajo
rutinario es automático y el lenguaje de
control es en línea. Las herramientas
de administración de almacenamiento
cargan archivos de datos a alias velocidades anticipándose
al siguiente trabajo. El cambio de supervisor no requiere
inicializar la consola manualmente, porque no está impreso
afuera; el asunto es mantenerse en el sistema. Cientos de
mensajes relampaguean cada segundo en una consola consolidada que
soporta múltiples mainframes. Los minicomputadores operan
toda la noche, sin atenderlos.
Controles al software del sistema. Incluye controles
sobre adquisición, implementación y mantenimiento
efectivos del software del sistema -el sistema
operativo, los sistemas de administración de bases de datos,
el software de telecomunicaciones, el software de seguridad y las
utilidades- los cuales operan el sistema y permiten que las
aplicaciones funcionen. El director maestro de las actividades
del sistema, el software del sistema, proporciona también
las funciones de partición, seguimiento y monitoreo del
sistema. El software del sistema puede informar sobre use de las
utilidades, de manera tal que si alguien accesa el poder de las
funciones de alterar datos, al menos su use es registrado e
informado para revisión.
Controles de seguridad de acceso. Estos controles hall
obtenido gran importancia en la medida en que las redes de
telecomunicaciones hall crecido. Los usuarios del sistema pueden
quedarse a mitad de camino alrededor del mundo o por debajo del
pasillo. Los controles de seguridad de acceso efectivo pueden
proteger el sistema, prevenir acceso inapropiado y el use no
autorizado del sistema. Si esta bien diseñado, pueden
interceptar personas expertas en obtener acceso ilegal a las
informaciones de computadores, así como para interceptar
otros violadores.
Las actividades de control de acceso adecuadas, tales como
frecuentes cambios en los números de dial-up, o
implementación de dial-back -donde el sistema llama a un
usuario potencial en un numero autorizado, mas que accesando
directamente al sistema- pueden ser métodos efectivos para
prevenir acceso no autorizado. Los controles de seguridades de
acceso restringen a los usuarios autorizados a solamente las
aplicaciones o funciones de aplicación que ellos requieren
para realizar sus trabajos, soportando una división de
responsabilidades apropiada. Deben revisarse con frecuencia los
perfiles de los usuarios a fin de permitir o restringir su
acceso. Los empleados formados o descontentos pueden ser para el
sistema mas amenaza que los Hackers; deben
revocarse inmediatamente los password y las identificaciones de
usuario para los empleados que se desvinculan. La integridad del
sistema se protege previniendo el use no autorizado y los cambios
al sistema.
Controles de desarrollo y mantenimiento de aplicaciones del
sistema. El desarrollo y el mantenimiento de las aplicaciones
de los sistemas hall sido tradicionalmente áreas altamente
costosas para la mayoría de las organizaciones. Los costos
totales para recursos de MIS, el tiempo requerido, ]as
habilidades de la gente para desempeñar esas tareas, y el
hardware y
software requeridos, son todos considerables. Para controlar esos
costos, muchas entidades tienen algunas formas de
metodología de desarrollo de sistemas. Esta provee la
estructura para diseño
e implementación de sistemas, esbozando fases especificas,
requerimientos de documentación, aprobaciones y chequeos para
controlar el desarrollo o mantenimiento del proyecto. La
metodología deberá proveer control apropiado sobre
los cambios al sistema, lo cual puede implicar solicitudes de
autorizaciones de cambio requeridas, revisión de los
cambios, aprobaciones, prueba de resultados, y protocolos de
implementación, para asegurar que los cambios se hacen
adecuadamente.
Una alternativa para el desarrollo en la empresa es el use de
paquetes de software, los cuales hall crecido en popularidad. Los
vendedores proveen sistemas flexibles, integrados con las
necesidades individuales mediante el use de opciones que hacen
parte integral de la estructura. Muchos sistemas desarrollan
metodologías orientadas a la adquisición de
paquetes del vendedor como una alternativa al desarrollo e
incluyen los pasos necesarios para proveer control sobre el
proceso de selección
e implementación.
Controles de aplicación
Como su nombre lo indica, los controles de aplicación
están diseñados para controlar aplicaciones en
proceso, ayudando a asegurar que el procesamiento sea completo y
exacto, autorización y validación de las
transacciones. Debe prestarse atención particular a las
interfases de aplicación, puesto que ellas a menudo
están vinculadas con otros sistemas que a su tumo
necesitan control, para asegurar que todos los inputs se reciban
para procesamiento y todos los outputs se distribuyan
apropiadamente.
Una de las contribuciones más significativas que los
computadores haven al control es su capacidad para prevenir
errores de entrada al sistema, así como su
detección, y corrección donde se encuentren. Para
hacer esto, la mayoría de los controles de
aplicación dependen de chequeos computarizados. Estos, se
componen de formato, existencia, razonabilidad y otros chequeos
sobre los datos que se incorporan en cada aplicación
durante su desarrollo. Cuando esos chequeos se diseñan
adecuadamente, pueden ayudar a proveer control sobre los datos
que están siendo ingresados al sistema:
Relaciones entre controles generales y de
aplicación
Esas dos categorías de control sobre los sistemas
computarizados están interrelacionadas. Los controles
generales se necesitan para asegurar el funcionamiento de los
controles de aplicación que dependen de los procesos
computarizados,
Por ejemplo, los controles de aplicación tales como
apareamientos computarizados y edición
de chequeos para análisis de datos son totalmente en
linear Ellos proveen retroalimentación inmediata Cuando alguna
cosa no encaja, o esta en el formato equivocado, a fin de que se
puedan realizar las correcciones. Despliegan mensajes de error
que indican que hay una equivocación en el dato, o
producir reportes de excepción para su seguimiento
subsecuente.
Si existen controles generales inadecuados, puede no ser
posible depender de los` controles de aplicación, los
cuales asumen que el sistema mismo funcionara adecuadamente,
apareándose con el archivo correcto,
o proporcionando un mensaje de error que exactamente refleje un
problema, o incluyendo todas las excepciones en un informe de
excepciones.
Otro ejemplo del balance requerido entre controles de
aplicación y generales es un control total, a menudo
empleado sobre cierto tipo de transacciones, implicando
documentos prenumerados. Estos usualmente son documentos
generados internamente, tales como órdenes de compra,
donde se emplean formas prenumeradas. Los duplicados se debilitan
o rechazan. Para efectuar esto como un control, dependiendo de su
diseño, el sistema rechazara un ídem inapropiado o
lo mantendrá en suspenso, mientras los usuarios consiguen
un informe que liste todos los ítems perdidos, duplicados,
o fuera de rango.
La respuesta esta en los controles generales. Los controles
sobre el desarrollo de sistemas requieren revisiones completas y
pruebas de las
aplicaciones para asegurar que la lógica
del programa de
informes es sólida, y que ha sido probada para investigar
que todas las excepciones se reportaron. Para establecer control
después de la implementación de la
aplicación, los controles sobre el acceso y el
mantenimiento aseguran que tales aplicaciones no sean accesadas o
cambiadas sin autorización pero que, si se requiere, se
puedan pacer cambios autorizados. Los controles de operaciones
del centro de datos y los controles del software del sistema
aseguran que se usen y actualicen adecuadamente los archivos
correctos.
La relación entre los controles de aplicación y
los controles generales es tal que los controles generales son
necesarios para soportar el funcionamiento de los controles de
aplicación, y juntos son necesarios para asegurar el
procesamiento completo y exacto de la información.
Desarrollo de resultados
Los resultados del control expresados, considerando el impacto
de mochas tecnologías emergentes. Incluyen CASE (ingeniería de
software asistida por computador),
herramientas de desarrollo, prototipos para crear sistemas
nuevos, procesamiento de imagen e
intercambio electrónico de datos. Esas tecnologías
afectaran la manera como se implementan los controles, sin
modificar los requerimientos básicos de control.
Un ejemplo, es la computación de usuario final (EUC),
que incrementa el poder de los microcomputadores y abarata los
minicomputadores permitiendo la distribución de datos y el poder de
computación. Los departamentos y las unidades de
línea haven su propio procesamiento a bajo costo, a menudo
soportados por redes independientes, en áreas locales. Son
sistemas mantenidos por el usuario, mas que software
desarrollados centralmente.
Para mantener el control necesario para los sistemas EUC, se
implementan y se imponen políticas para desarrollo,
mantenimiento y operación de sistemas. El ambiente de
procesamiento local debe gobernarse por un nivel de actividades
de control similar al ambiente de los más
tradicionales.
Una tecnología emergente es la inteligencia
artificial o sistemas
expertos. En el futuro, así como muchos sistemas se
integran en numerosas aplicaciones; si son desarrolladas por un
departamento de procesamiento de datos o usuarios finales, o
compradas- incluirán como decidir cuales aplicaciones se
acomodan mejor, cuales herramientas usar y como controlar el
desarrollo. Mucha gente siente que tales sistemas
últimamente serán controlados de la misma manera
como ahora lo es la computación de usuario final. Cuando
EUC se estableció, se emitieron conceptos similares antes
de establecer que controles debían implementarse a
través de actividades de control apropiadas.
ESPECIFICO PARA LA ENTIDAD
Puesto que cada entidad tiene su propio conjunto de objetivos
y su implementación de estrategias, existirán
diferencias en la estructura de objetivos y en las actividades de
control relacionadas. Aunque dos entidades tengan
idénticos objetivos y estructuras,
sus actividades de control serán diferentes. Cada entidad
es manejada por gente diferente que usa juicios individuales en
la aplicación del control interno. Además, los
controles reflejan el ambiente y la industria donde opera una
entidad, así como la complejidad de su
organización, su historia y su cultura.
El ambiente en el cual opera una entidad afecta los riesgos a
los que esta expuesta y puede presentar requerimientos de
información externa únicos, o requerimientos
especiales de tipo legal o regulador. Una industria química, por ejemplo,
debe manejar mayores riesgos ambientales que aquellos que afronta
una típica compañía de servicios, y debe
considerar la disposición de desechos en las revelaciones
de sus estados financieros.
La complejidad de una entidad, y la naturaleza y alcance de
sus actividades, afecta sus programas de control. Las
organizaciones complejas con mayor número de actividades
pueden tener resultados de control mas difíciles que las
organizaciones simples con menos variedad de actividades. Una
entidad con operaciones descentralizadas y un énfasis en
la autonomía local y en la innovación presenta diferentes
circunstancias de control que una altamente centralizada. Otros
factores que influyen en la complejidad de una entidad y, por
consiguiente, la naturaleza de sus controles incluyen:
localización y dispersión geográfica,
extensión y sofisticación de sus operaciones, y los
métodos de procesamiento de información.
Todos esos factores afectan las actividades de control de una
entidad, ]as cuales deben diseñarse de manera tai que
contribuyan a la consecución de sus objetivos.
APLICACIÓN A ENTIDADES PEQUEÑAS Y
MEDIANAS
Los conceptos subyacentes a las actividades de control en las
organizaciones pequeñas no son significativamente
diferentes de aquellos en las entidades grandes, pero la
formalidad con la cual operan variara. Además, las
compañías pequeñas pueden encontrar que
ciertos tipos de actividades de control no siempre son relevantes
cuando los administradores aplican controles altamente efectivos
a las entidades pequeñas o medianas.
Por ejemplo, el involucramiento directo del CEO y de otros
administradores claves en un nuevo plan de mercadeo,
y la retención de autoridad para ventas a crédito,
compras significativas y eliminación de barreras para
líneas de crédito, puede proporcionar fuerte
control sobre esas actividades, aminorando a obviando la
necesidad de actividades de control mas detalladas. El
conocimiento directo de primera mano de las ventas a los
clientes claves y la cuidadosa revisión de las razones
importantes y de otros indicadores de desempeño puede sex
útil al propósito de bajo nivel de actividades de
control típicas de las compañías
grandes.
Una segregación de responsabilidades inapropiada a
menudo conlleva dificultades para las organizaciones
pequeñas, al menos en la superficie. Aunque las
compañías que tienen unos pocos empleados, sin
embargo, usualmente pueden parcelar sus responsabilidades para
obtener las verificaciones y los balances necesarios. Pero si no
es posible -como puede ocasionalmente ser el caso una
inadvertencia directa de las actividades incompatibles por los
administradores propietarios puede proporcionar el control
necesario. Por ejemplo, no es común, cuando existe un
riesgo de pagos inapropiados de efectivo, para el
administrador-propietario ser el único autorizado para
firmar los cheques, o
requerir que los extractor bancarios mensuales sean enviados
directamente a e sin ser abiertos para revisar los cheques
pagados.
Los controles sobre los sistemas de información,
particular controles generales de computación y controles
más específicos de seguridades de acceso, pueden
presentar problemas en las entidades pequeñas y medianas.
Ello es debido a la frecuente manera informal como tales
actividades de control se implementan. Una vez más, una
solución puede encontrarse a menudo en la mayor injerencia
en la alta administración, típicamente encontrada
en las organizaciones pequeñas. La seguridad razonable de
que los errores materiales
serán detectados, a menudo viene del use continuo por
parte de la administración de la información
generada por el sistema, y relacionando era información
con el conocimiento directo de esas actividades, junto con la
existencia de ciertos controles claves aplicados por otro
personal.
EVALUACIÓN
Las actividades de control deben evaluarse en el contexto de
las directivas administrativas para manejar los riesgos asociados
con los objetivos establecidos para cada actividad significativa.
Un evaluador por consiguiente considerara si las actividades de
control se relacionan con el proceso de valoración de
riesgos y si son apropiadas para asegurar que las directivas de
la administración se están cumpliendo. Esto debe
hacerse para cada actividad de negocios significativa, incluyendo
los controles generales sobre los sistemas de información
computarizados. (Estas serán cada una de las actividades
identificadas en la evaluación de la valoración de
riesgos; ver Capitulo 3). Un evaluador considerara no solamente
si las actividades de control establecidas son relevantes para el
proceso de valoración de riesgos, sino también si
ellas están siendo aplicadas adecuadamente.
CAPITULO 5
INFORMACIÓN Y
COMUNICACIÓN
Página anterior | Volver al principio del trabajo | Página siguiente |