Resumen del capítulo. Debe identificarse,
capturarse y comunicarse información pertinente en una forma v
oportunidad que facilite a la gente cumplir sus
responsabilidades. El sistema de
información produce documentos que
contienen información operacional, financiera y
relacionada con el cumplimiento, la cual hace posible operar y
controlar el negocio. Ella se relaciona no solamente con los
datos
generados internamente, sino también con la
información sobre sucesos, actividades y condiciones
externas necesarios para la tome de decisiones y la
información externa de negocios.
También debe darse una comunicación efectiva era un sentido
amplio, que fluya hacia abajo, a lo largo y hacia arriba de
la
organización. Todo el personal debe
recibir un mensaje claro por parte de la alta administración respecto a que las
responsabilidades de control deben
asumirse seriamente. Ellos deben entender su propio papel en el
sistema de
control
interno, lo mismo que como estas actividades individuales se
relacionan con el trabajo de
los demás. Ellos deben tener un medio de
comunicación de la información significativa en
sentido contrario. Ellos también necesitan
comunicación efectiva con las partes externas, tales corno
clientes,
proveedores,
reguladores y accionistas.
Cada empresa debe
capturar información pertinente, financiera y no
financiera, relacionada con actividades y eventos tanto
externos como internos. La información debe ser
identificada por la
administración como relevante para el manejo del
negocio. Debe entregársele a la gente que la necesita, en
una forma y oportunidad que le permita llevar a cabo su control y
sus otras responsabilidades.
INFORMACIÓN
La información se requiere en todos los niveles de una
organización para operar el negocio y
moverlo hacia la consecución de los objetivos de
la entidad en todas las categorías, operaciones,
información financiera y cumplimiento. Se use un
ordenamiento de la información. La información
financiera, por ejemplo, se use no solamente para desarrollar
estados
financieros de difusión externa, también se
emplea para decisiones de operación, tales como monitoreo
del desempeño y asignación de recursos. Los
reportes administrativos de mediciones monetarias y relacionadas
permite el monitoreo, por ejemplo, de utilidades definidas,
desempeño de cuentas por
cobrar por tipo de cliente,
participación en el mercado,
tendencias en las reclamaciones de los clientes y estadísticas de accidentes.
Las mediciones financieras sistemas
confiables también son especiales para planeación, presupuestos,
establecimiento de precios,
evaluación
del desempeño de vendedores, y de operaciones
conjuntas y otras alianzas.
De igual manera, la información operacional es especial
para el desarrollo de
los estados financieras. Ello incluye lo rutinario –compras, ventas y otras
transacciones o mismo que información sobre los
competidores, liberación de productos o
condiciones económicas, que pueden afectar las valuaciones
de inventarios y de
cuentas por
cobrar. Puede necesitarse información operativa tal como
emisiones de partículas aéreas o datos personales
para adquirir objetivos tanto de cumplimiento como de
información financiera. De la misma manera, la
información desarrollada de fuentes tanto
internas como externas, financieras como no-financieras, es
relevante para todas las categorías de objetivos.
La información es identificada, capturada, procesada y
reportada mediante sistemas de
información. El termino sistemas de información
frecuentemente es usado en el contexto del procesamiento de
datos generados internamente, relacionados con las
transacciones, tales como compras y ventas, y actividades de
operación interna, tales como producción en proceso. Los
sistemas de información -que pueden ser computarizados,
manuales o
combinación de ellos- ciertamente orientan todos esos
asuntos. Pero, como se usa aquí, es un concepto mucho
más amplio. Los sistemas de información
también se relacionan con información sobre
eventos, actividades y condiciones externas. Tal
información incluye: datos económicos
específicos del mercado o de la industria que
señalan cambios en demanda por
los productos o servicios de
la compañía; datos sobre bienes y
servicios que la entidad necesita para su proceso de producción; inteligencia
de mercadeo sobre la
evolución de las preferencias o demandas de
los clientes; e información sobre actividades de
desarrollo de los productos de los competidores e iniciativas
legislativas o reguladoras.
Los sistemas de información operan algunas veces en un
modo de monitoreo, realizando captura rutinaria de datos
específicos. En otros casos, se realizan acciones
especiales para obtener la información requerida.
Considérese, por ejemplo, los sistemas que capturan
información sobre la satisfacción de los clientes
con los productos de la entidad. Los sistemas de
información pueden identificar y reportar regularmente las
ventas por producto y
lugar, ganancias y pérdidas de los clientes, retornos y
solicitudes de asignación, aplicaciones de las provisiones
de garantía de productos y retroalimentación directa en la forma de
quejas y otros comentarios. De otra manera, deben hacerse
esfuerzos especiales de tiempo en
tiempo para obtener información sobre los cambios en los
requerimientos del mercado mirando las especificaciones técnicas
del producto, o entregas de los clientes o servicios requeridos.
Esta información puede obtenerse mediante cuestionarios,
entrevistas,
estudios de la demanda del mercado elaborados con base amplia o
grupos de
interés.
Los sistemas de información pueden ser formales o
informales. Las conversaciones con clientes, proveedores,
reguladores y empleados proveen a menudo de la información
más crítica
requerida para identificar riesgos y
oportunidades. Desmanes similares, la asistencia a seminarios
profesionales o industriales y la participación como
miembros de asociaciones de comercio u
otras pueden proporcionar información valiosa.
La conservación de información consistente con
las necesidades se torna particularmente importante cuando una
entidad opera frente a cambios industriales fundamentales,
competidores altamente innovadores y que se mueven
rápidamente o clientes significativos que demandan
desplazamiento. Los sistemas de información deben cambiar
de acuerdo con las necesidades para apoyar los nuevos objetivos
de la entidad relacionados, por ejemplo, con reducir el ciclo de
tiempo para ofrecer los productos al mercado, el outsourcing de
ciertas funciones y los
cambios en la fuerza de
trabajo. En
tales ambientes es de especial necesidad diferenciar las
mediciones que sirven como indicadores de
advertencia temprana de aquellos que provienen estrictamente de
los datos contables históricos. Ambos son importantes, y
los últimos, cuando se usan efectivamente, pueden
proporcionar señales
de advertencia. Pero para ser efectivos, los sistemas de
información deben no solamente identificar y capturar la
información financiera y no financiera requerida, sino
también procesar y reportar en una franja de tiempo y de
manera tal que sean útiles para controlar las actividades
de la entidad.
Sistemas estratégicos e integrados
Los sistemas de información a menudo son parte integral
de las actividades operacionales. Ellos no solamente capturan la
información necesaria en la toma de
decisiones para controlar, como se discutió antes,
sino que también son crecientemente diseñados para
llevar a cabo las iniciativas estratégicas. Un estudio
emitido recientemente se indica que el cambio
administrativo más importante en los 1990s es integrar la
planeación, el diseño
y la implementación de sistemas con la estrategia global
de la organización.
La práctica de subcontratar trabajos de manufactura a
agentes externos o compañías no vinculadas. Tiene
como uno de sus objetivos principales proporcionar
información sobre sistemas de información y
actividades de control relacionadas.
Sistemas de apoyo a las iniciativas
estratégicas. El use estratégico de los
sistemas de información ha significado éxito
para muchas organizaciones.
Los primeros ejemplos de tal use incluyen el sistema de reservas
de una aerolínea que permite a los agentes de viaje acceso
fácil a la información de vuelos y registro de
ellos. Otro ejemplo citado a menudo es el proveedor de hospital
que da acceso en línea a su sistema directamente con los
hospitales, creando una ventaja competitiva amplia puesto que
ellos pueden hacer las órdenes desde su sitio vía
terminal. Esos ejemplos, y otros, muestran que los sistemas
permiten la diferencia en la consecución de la ventaja
competitiva.
Como el mundo de los negocios aprendió como usar los
nuevos sistemas que dan mejor información, la
mayoría de las organizaciones siguen el rastro de sus
productos en sus áreas de ventas, y si a líneas
particulares les esta yendo mejor que a otras. El use de tecnología ayuda a
responder de mejor manera a las crecientes tendencias del
mercado, de manera tal que los sistemas se usan para apoyar
estrategias de
negocios proactivas más que reactivas.
Integración con las operaciones. El use
estratégico de los sistemas demuestra el cambio que ha
ocurrido desde los sistemas únicamente financieros a los
sistemas integrados en ]as operaciones de una entidad. Esos
sistemas ayudan a controlar el proceso de los negocios, siguiendo
y registrando transacciones en una base de tiempo real,
incluyendo a menudo muchas de las operaciones de la
organización en un ambiente de
sistemas integrado, complejo.
En operaciones de manufactura. Los sistemas de
información apoyan todas las fases de producción.
Se usan para pruebas de
aceptación y recepción de material primas, selección
y combinación de componentes, control de
calidad sobre productos terminados, actualización de
inventarios y de registros de
clientes y distribución de productos terminados. En
muchos ambientes, esos pasos se encuentran ligados mediante
sistemas de
control de procesos y
robots en una extensión tal que sólo unas pocas
manos tienen contacto con el producto.
El efecto de los sistemas integrados de operaciones es
dramático, como puede verse en el sistema de inventarios
justo a tiempo
(JIT). Las compañías que emplean JIT conservan
inventarios mínimos a mano, reduciendo considerablemente
sus costos. Los
sistemas mismos ordenan y programan automáticamente el
arribo de materias primas, generalmente mediante el use de EDI
(intercambio electrónico de datos). Las organizaciones que
usan JIT dependen de sus sistemas para cumplir los objetivos de
producción, puesto que ese monitoreo cerrado sería
imposible sin ellos.
La mayoría de los sistemas de
producción mas nuevos están altamente
integrados con otros sistemas organizacionales y pueden incluir
los sistemas financieros de la organización. Los datos
financieros y los registros contables se actualizan
automáticamente cuando los sistemas desempeñan
otras aplicaciones.
Existe un ejemplo de cómo pueden trabajar tales
sistemas: las compañías de seguros de hoy,
demandan poder estar
enlazadas en línea. Los ajustadores" expresan sus dudas al
sistema sobre los límites de
un tipo particular de reclamación, verifican si un
reclamante esta asegurado e imprimen un cheque por la
reclamación. Al mismo tiempo, actualizan el archivo de
reclamos, las estadísticas de reclamos y otros archivos
relacionados. En contraste con un sistema no integrado en el cual
cada reclamación es procesada separadamente con cada
aplicación o sub-sistema. El sistema integrado ayuda a
controlar las operaciones, puesto que las liquidaciones en
línea son rápidas, más eficientes y mas
efectivas que el viejo método
basado en papel. El produce información financiera, y
puede responder preguntas como: Cuantas reclamaciones se pagaron
durante este periodo? ¿Cuánto se pagó?
También facilita el cumplimiento con requerimientos
reguladores mediante preguntas como: ¿las reclamaciones
procesadas se cubren y se pagan oportunamente? ¿Son
adecuadas las reservas para perdidas?
Tecnologías coexistentes. A pesar de los cambios
de búsqueda con la revolución
en la tecnología de sistemas de información, es un
error asumir que los sistemas más nuevos proporcionan
mejor control precisamente porque son nuevos. De hecho, lo
opuesto a ello puede ser cierto. Los sistemas viejos hall sido
probados y comprobados mediante su use y proporcionan lo que se
requiere. El proceso es tal que los sistemas de una
organización a menudo implican adaptar tales
requerimientos, y se convierten en una amalgama de muchas
tecnologías.
La adquisición de tecnología es un aspecto
importante de la estrategia corporativa, y las selecciones
relacionadas con la tecnología pueden ser factores
críticos en la consecución de objetivos de
crecimiento. Las decisiones sobre su selección e
implementación dependen de muchos factores. Estos incluyen
objetivos organizacionales, necesidades del mercado,
requerimientos competitivos y, de manera muy importante,
cómo los nuevos sistemas ayudaran a realizar el control, y
a su turno deben ser sujetos de los controlas necesarios, para
promover la consecución de los objetivos de la
entidad.
Calidad de la información
La calidad de la
información generada por sistemas afecta la habilidad de
la gerencia para
tomar decisiones apropiadas para la administración y el control de las
actividades de la entidad. Los sistemas modernos proporcionan a
menudo habilidad para preguntar en línea, de manera tal
que está disponible información fresca para las
respuestas.
Es crítico que los reportes contengan datos apropiados
suficientes para soportar un control efectivo. La calidad de esta
información incluye indagar si:
Contenido apropiado. ¿Se necesita la
información contenida en el?Información oportuna. ¿Está
disponible cuando es requerida?Información actual. ¿Está disponible
la más reciente?Información exacta. Los datos son correctos?
Información accesible. ¿Pueden obtenerse
fácilmente por las partes apropiadas? Todas esas
preguntas deben hacerse en el momento de diseñar el
sistema. Si no, es probable que este no proveerá la
información que requieren los administradores y otro
personal.
Dado que tener la información correcta, a tiempo, en el
lugar correcto, es esencial para efectuar el control, los
sistemas de información, puesto que ellos mismos son un
componente del sistema de control interno, también deben
controlarse. La calidad de la información puede depender
del funcionamiento de las actividades de control.
COMUNICACIÓN
La comunicación es inherente a los sistemas de
información. Como se discutió atrás, los
sistemas de información pueden proporcionar
información al personal apropiado a fin de que ellos
puedan cumplir sus responsabilidades de operación,
información financiera y de cumplimiento. Pero las
comunicaciones
también deben darse en un sentido amplio,
relacionándose con las expectativas, las responsabilidades
de los individuos y de los grupos, y otros asuntos
importantes.
Interna
Además de recibir datos relevantes para administrar sus
actividades, todo el personal, particularmente aquel que tiene
importantes responsabilidades de administración operativa
o financiera, necesita recibir un mensaje claro de parte de la
alta administración respecto de que las responsabilidades
de control interno deben tomarse seriamente. Tanto la claridad
del mensaje como la efectividad con la cual es comunicado, son
importantes.
Además, las responsabilidades específicas deben
definirse claramente. Cada individuo
necesita entender lo s aspectos relevantes del sistema de control
interno, como trabaja y cuál es su papel y su responsabilidad en el sistema. Sin ese
entendimiento, los problemas
aparecerán fácilmente. En una
compañía, por ejemplo, los jefes de unidad son
requeridos para firmar un reporte mensual afirmando que se han
realizado las conciliaciones especificadas. Cada mes, los
reportes fueron firmados y presentados. Luego, sin embargo,
después de que fueron descubiertos problemas serios, se
conoció que los dos últimos jefes de unidad no
conocían lo que realmente se esperaba de ellos. Uno
consideraba que la conciliación estaba completa cuando la
cantidad de la diferencia entre dos figuras era simplemente
identificada. Otro tomaba el proceso de conciliación
solamente un paso adicional, considerando que su objetivo
estaba satisfecho cuando cada ítem de la
conciliación individual era identificado. De hecho, el
proceso intentado no se completo sino hasta cuando se expresaron
las diferentes razones y se tomaron las acciones correctivas
necesarias.
En el desempeño de sus responsabilidades, el personal
debe saber que si ocurren eventos inesperados, debe prestarse
atención no solamente al evento mismo, sino
también a su causa. De esta manera, puede identificarse
una debilidad potencial en el sistema y tomarse las acciones
necesarias para prevenir su recurrencia. Por ejemplo, el hallazgo
de un inventario
invendible debe originar no solamente un registro apropiado en
los informes
financieros, sino también en una determinación en
primer lugar de por que los inventarios se tomaron
invendibles.
La gente también necesita conocer como sus actividades
se relacionan con el trabajo de otros. Este conocimiento
es necesario para reconocer un problema o para determinar su
causa y sus acciones correctivas, necesita conocer que comportamiento
es esperado, o aceptable, y cuál es inaceptable. Han
existido instancias de información financiera fraudulenta
en las cuales los administradores, bajo presiones para cumplir
presupuestos, adulteran resultados de operaciones. En algunas de
tales instancias, ninguno le expreso a los individuos que tales
informes adulterados podían ser ilegales o de alguna
manera inapropiados. Esto subraya la naturaleza
crítica de la manera como se comunican los mensajes en una
organización. Un administrador que
instruye a sus subordinados diciéndoles, cumpla el
presupuesto.
No me importa como to haga, solamente hágalo, puede enviar
inadvertidamente un mensaje incorrecto.
El personal también necesita tener medios para
comunicar información significativa hacia arriba, en una
organización. Los empleados que atienden directamente a
los clientes y que se relacionan con asuntos de operación
crítica, a menudo se encuentran en la mejor
posición para reconocer los problemas que ellos enfrentan.
Los representantes de ventas o los ejecutivos de cuenta pueden
aprender de los clientes importantes sobre las necesidades de
diseño de productos. El personal de producción
puede estar enterado de las deficiencias del proceso de costeo.
El personal de compras puede enfrentarse a incentivos
impropios de parte de los proveedores. Los empleados del
departamento de contabilidad
pueden aprender respecto de estados exagerados de ventas o
inventario, o identificar instancias en las cuales los recursos
de la entidad se usaron para beneficio personal.
Para que tal información sea reportada hacia arriba,
deben existir canales abiertos de comunicación, así
como una abierta buena voluntad para escuchar. La gente necesita
confiar en lo que sus superiores realmente esperan conocer
respecto de sus problemas para de era manera relacionarse con
ellos efectivamente. La mayoría de los administradores
reconocen intelectualmente que ellos debieran ponerse los zapatos
del mensajero. Pero cuando son absorbidos por las presiones de
cada día, pueden tornarse no-receptivos frente a la gente
que les trae problemas reales. Los empleados están prestos
a recoger las señales habladas o no-habladas respecto a
que sus superiores no tienen el tiempo o el interés para
tratar los problemas que ellos han descubierto. Combinando tales
problemas, el administrador que no es receptivo a la
información perturbadora, corrientemente es el
último en saber que los canales de comunicación han
sido efectivamente cerrados.
En la mayoría de los casos, las líneas normales
de información en una organización son los canales
apropiados de comunicación. En Algunas circunstancias, sin
embargo, se necesitan líneas de comunicación
separadas que sirvan de mecanismo salva-guardia en caso de que
los canales normales sean inoperativos. Algunas
compañías proporcionan un canal directo con el
ejecutivo principal, el auditor interno jefe o el consejero legal
de la entidad. El director ejecutivo de una
compañía se hace a sí mismo disponible una
tarde a la semana, y hace conocer bien que las visitas de los
empleados sobre un tema son realmente bienvenidas. Otro ejecutivo
principal visita periódicamente los empleados en la
planta, fomentando una atmósfera en la que
la gente puede comunicar problemas e intereses. Sin canales de
comunicación abiertos y una buena voluntad para escuchar,
puede bloquearse el flujo de información hacia arriba en
una organización.
En todos los casos, es importante que el personal entienda que
no habrá represalias para el reporte de información
relevante. Como se anoto en el Capitulo 2, se envía un
mensaje claro con la existencia de mecanismos que fomenten en los
emplea dos el reporte de violaciones sospechosas al código
de conducta de una
entidad, y el tratamiento a los empleados que realizan tales
reportes. Mucho se ha escrito respecto a la deseable
protección a los silbidos de soplones, mar frecuentemente
en el contexto de empleados gubernamentales. Algunas
comentaristas se oponen con expresiones de interesarse respecto
de entidades que comienzan a atascar tratando con aserciones
infundadas de empleados resentidos.
Ciertamente, debe haber un equilibrio en
todo ello. Es importante que la administración comunique
los mensajes correctos y proporcione vehículos razonables
para legitimar la información que fluye hacia arriba.
Las comunicaciones entre la administración y el consejo
de directores y sus comités, son críticas. La
administración debe mantener actualizado al consejo
respecto del desempeño, desarrollos, riesgos, principales
iniciativas, y cualesquier otros eventos u ocurrencias que Sean
relevantes. La mejor de las comunicaciones dirigidas al consejo,
la mar efectiva de todos, es advertir el incumplimiento de sus
responsabilidades, y de su actuación como consejo de
auscultamiento sobre los asuntos críticos y en el
proporcionar advertencia y consejo. De la misma manera, el
consejo debe comunicar a la administración cual es la
información que necesita, y proporcionarle dirección y retroalimentación.
Externa
Existe necesidad de comunicación apropiada no solamente
con la entidad, sino hacia el exterior. Mediante canales de
comunicación abiertos, los clientes y proveedores pueden
proporcionar datos de entrada altamente significativos respecto
del diseño o calidad de los productos o servicios,
facilitando a la entidad orientarse al desarrollo de las demandas
o preferencias de los clientes. También, cualquiera que se
relacione con la entidad debe reconocer que las acciones
impropias, tales como retornos a otros pagos impropios, no se
toleraran. Las compañías se deben comunicar
directamente con los vendedores, por ejemplo, mirando como la
compañía espera actúen los empleados de los
vendedores para actuar de acuerdo con ello.
Las comunicaciones recibidas de las partes externas con
frecuencia proporcionan información importante sobre el
funcionamiento del sistema de control interno. El entendimiento
que los auditores externos tienen respecto de las operaciones de
una entidad y los sucesos y sistemas de control de los negocios
relacionados le proporcionan a la administración y al
consejo importante información de control.
Reguladores tales como la banca estatal o
]as autoridades aseguradoras, reportan los resultados de las
revisiones o exámenes de cumplimiento que puedan aclarar
las debilidades de control. Los reclamos o preguntas sobre
embarque, recepción, facturación a otras
actividades, a menudo identifican problemas de operación.
Ellos deberían recibirse por personal independiente del
que realiza la transacción original. El personal debe
estar dispuesto a reconocer las implicaciones de tales
circunstancias, e investigar y tomar las acciones correctivas
necesarias.
Las comunicaciones dirigidas a accionistas, reguladores,
analistas financieros y otras partes externas deberán
proporcionar información relevante para sus necesidades, a
fin de que ellos puedan entender fácilmente las
circunstancias y los riesgos que enfrenta la entidad. Tales
comunicaciones deben ser comprensibles, deben proveer
información pertinente y oportuna y, por supuesto, estar
de acuerdo con los requerimientos legales y reguladores.
Las comunicaciones de la administración dirigidas a
panes externas ya sean abiertas y venideras y serias en su
continuidad o de otra manera también envían
mensajes internamente a través de la
organización.
Medios de comunicación
La comunicación adopta formas tales como manuales de
políticas, memorandos, boletín de
noticias del
consejo y mensajes en videocinta. Cuando los mensajes se
transmiten oralmente -en grupos grandes, pequeñas
reuniones o sesiones uno a uno el tono de la voz y el lenguaje
corporal sirven para enfatizar lo que se esta' diciendo.
Otro medio poderoso de comunicación es la acción
que toma la administración en el tanto con los
subordinados. Los administradores deben recordarse a si mismos,
las acciones hablan más fuertemente que las palabras. Sus
acciones están, a su vez, influenciadas por la historia y la cultura de la
entidad, basándose en las observaciones pasadas de como
sus superiores se relacionaron en situaciones similares.
Una entidad con una larga y rica historia de operar con
integridad, y cuya cultura esta' bien entendida por la gente a
todo lo largo de la operación, seguramente
encontrará pocas dificultades para comunicar su mensaje.
Una entidad sin tal tradición requerirá mayor
esfuerzo en la manera como se comunicar los mensajes.
APLICACIÓN A ENTIDADES PEQUEÑAS Y
MEDIANAS
Los sistemas de información en las organizaciones
pequeñas son ciertamente menos formales que en las grandes
organizaciones, pero su papel es justamente significativo. Con la
tecnología de computación y de información actual,
los datos generados internamente se pueden procesar efectiva y
eficientemente en la mayoría de las organizaciones,
considerando su tamaño. Los sistemas de información
en las entidades pequeñas típicamente
también identificaran y reportarán sobre eventos,
actividades y condiciones externas relevantes, pero su
efectividad usualmente es afectada significativamente por y
dependiente de la habilidad de la alta administración para
monitorear los eventos externos. Las discusiones realizadas por
un administrado r propietario u otro personal administrativo con
los clientes y proveedores claves, por ejemplo, puede ser una
fuente importante de información sobre el desarrollo de
las preferencias de los clientes o para suministrar los recursos
necesarios para monitorear las condiciones cambiantes y los
riesgos relacionados.
La comunicación interna efectiva entre la alta
administración y los empleados puede ser bien fácil
de conseguir en una compañía pequeña o
mediana, más que en una empresa
grande, a causa del pequeño tamaño de la
organización y de sus pocos niveles, así como de la
gran visibilidad y disponibilidad del CEO. En efecto, la
comunicación interna ocurre mediante las reuniones
diarias y las actividades en las cuales el CEO y los
administradores claves participan. Sin los canales de
comunicación formal que se encuentran típicamente
en las grandes empresas, las
entidades pequeñas encuentran que los más
frecuentes contactos día a día realizadas con una
política
de puertas abiertas por parte de los ejecutivos principales,
proporcionar comunicación efectiva. Y un las acciones
hablan más fuertemente que las palabras puede ser un medio
de comunicación importante -tanto interna como
externamente- en una organización pequeña, puesto
que los altos ejecutivos interactúan directamente en gran
proporción con los empleados, clientes y proveedores de la
entidad.
EVALUACIÓN
Un evaluador considerara la conveniencia de los sistemas de
información y comunicación para las necesidades de
la entidad. Los asuntos listados abajo son algunos de los que
puede considerar. La lista no es completa, cada ítem no
necesariamente se aplicara a cada entidad; puede, sin embargo,
servir como un punto de arranque.
Información
Obtención de información externa e interna,
y suministro a la administración de los reportes
necesarios sobre el desempeño de la entidad relativo a
los objetivos establecidos.Proporcionar información correcta a la gente con
detalle suficiente y de manera oportuna que les permita
cumplir eficiente y efectivamente sus responsabilidades.Desarrollo o revisión de sistemas de
información basados en un plan estratégico para
sistemas de información enlazado con la estrategia
global de la entidad- y sensible a la consecución de
los objetivos globales de la entidad y a los objetivos de
nivel de actividad.Apoyo de la administración para el desarrollo de
los sistemas de información necesarios, el cual es
demostrado por la asignación de recursos apropiados,
humanos y financieros.
Comunicación
Efectividad con la cual se comunican los deberes de los
empleados y las responsa
Habilidades de control.
Establecimiento de canales de comunicación para que
la gente reporte asuntos indeseables sospechados.Receptividad por parte de la administración frente
a las sugerencias de los empleados respecto de maneras de
aumentar la productividad, la calidad u otros mejoramientos
similares.Suficiencia de la comunicación a lo largo de la
organización (por ejemplo, entre actividades de
obtención y producción) y la totalidad y
oportunidad de la información y su suficiencia para
permitir que la gente se descargue efectivamente de sus
responsabilidades.Apertura y efectividad de los canales con clientes,
proveedores y otras partes externas para comunicación
de información sobre las cambiantes necesidades de
los
Clientes.
Extensión en la cual las partes externas han tenido
conciencia de los estándares éticos de la
entidad.Oportunidad y propiedad de las acciones hacia arriba, por
parte de los administradores, derivadas de las comunicaciones
recibidas de clientes, vendedores, reguladores u otras partes
externas.
CAPITULO 6
MONITOREO
Resumen del capitulo. Los sistemas de
control interno requieren que sean monitoreados, un proceso que
valora la calidad del desempeño del sistema en el tiempo.
Ello es realizado mediante acciones de monitoreo ongoing,
evaluaciones separadas o una combinación de las dos. el
monitoreo ongoing ocurre en el curso de las operaciones. Incluye
las actividades regulares de administración y supervisión, así como otras acciones
personales tomadas en el desempeño de sus obligaciones.
El alcance y la frecuencia de las evaluaciones separadas
dependerá primariamente de la valoración de riesgos
y de la efectividad de los procedimientos de
monitoreo ongoing. Las deficiencias del control interno deben
reportarse hacia arriba, informando los asuntos delicados a la
gerencia, a la junta directiva.
Los sistemas de control interno cambian con el tiempo. La
manera como se aplican los controles tiene que evolucionar.
Debido a que los procedimientos pueden tornarse menos efectivos,
o quizás no se desempeñen ampliamente. Ello puede
ocurrir a causa de la llegada de personal nuevo, la
variación de la efectividad del entrenamiento y
la supervisión, la reducción de tiempo y recursos u
otras presiones adicionales. Además, las circunstancias
para las cuales se diseño el sistema de control interno
pueden también cambiar, originando que se llegue a ser
menos capaces de anticiparse a los riesgos originados por las
nuevas condiciones. Por consiguiente, la administración
necesita determinar si el sistema de control interno
continúa siendo relevante y capaz de manejar los nuevos
riesgos.
El monitoreo asegura que el control interno continua operando
efectivamente. Este proceso implica la valoración, por
parte del personal apropiado, del diseño y de la
operación de los controles en una adecuada base de tiempo,
y realizando las acciones necesarias. Se aplica para todas las
actividades en una organización, lo mismo que algunas
veces para contratistas externos. El monitoreo puede hacerse de
dos maneras: mediante actividades ongoing o mediante evaluaciones
separadas. Los sistemas de control interno usualmente se
estructuraran para monitorearse a si mismos sobre una base
ongoing en algún grado. A mayor grado de efectividad del
monitoreo ongoing, se necesitan menos evaluaciones separadas. La
frecuencia de las evaluaciones separadas necesarias para que la
administración tenga una seguridad
razonable respecto de la efectividad del sistema de control
interno es asunto del juicio de la administración. Para
tomar una determinación, deben hacerse las siguientes
consideraciones: la naturaleza y el grado de los cambios que
ocurren y sus riesgos asociados, la competencia y la
experiencia de la gente en la implementación de los
controles, lo mismo que los resultados del monitoreo ongoing.
Usualmente, alguna combinación de monitoreo ongoing y
evaluaciones separadas asegurara que el sistema de control
interno mantenga su efectividad en el tiempo.
Debe reconocerse que los procedimientos de monitoreo ongoing
se construyen en las actividades normales, repetitivas, de una
entidad. Puesto que se desempeñan en una base de tiempo
real, reaccionan dinámicamente a las condiciones
cambiantes, y ; están integradas en la entidad, son mas
efectivas que los procedimientos desempeñados en
conexión con evaluaciones separadas. Dado que las
evaluaciones separadas se realizan luego de los hechos, los
problemas a menudo serán identificados mas
rápidamente por las rutinas de monitoreo ongoing. Algunas
empresas con sólidas actividades de monitoreo ongoing
conducirán al menos a una evaluación
separada de su sistema de control interno, o de parte del mismo,
cada uno o dos anos. Una entidad que percibe una necesidad de
evaluaciones separadas frecuentes deberá centrarse en las
maneras de engrandecer sus actividades de monitoreo ongoing y,
por consiguiente, enfatizar en controles de tipo construir en,
versus controles, añadidos en.
ACTIVIDADES DE MONITOREO ONGOING
Son múltiples las actividades que sirven para
monitorear la efectividad del control interno en el curso
ordinario de las operaciones. Incluyen actos regulares de
administración y supervisión, comparaciones,
conciliaciones y otras acciones rutinarias.
Las siguientes son ejemplos de actividades de monitoreo
ongoing:
En el desarrollo de las actividades regulares de
administración, la gestión operativa obtiene
evidencia de que el sistema de control interno
continúa funcionando. Cuando los reportes de
operación están integrados o se concilian con
el sistema de información financiera y se usan para
administrar operaciones en una base ongoing, las
inexactitudes o excepciones significativas a los resultados
anticipados es probable que sean detectadas
fácilmente. Por ejemplo, administradores de ventas,
compras y producción en niveles de división,
subsidiaria y corporación se encuentran tratando con
las operaciones y pueden cuestionar los informes que difieren
significativamente de su conocimiento de las operaciones. La
efectividad del sistema de control interno es aumentada
mediante la información oportuna y completa y mediante
la solución de esas excepciones.
Las comunicaciones recibidas de partes externas corroboran
la información generada internamente o señalan
problemas. Los clientes corroboran implícitamente los
datos de facturación pagando sus facturas. Mediante el
dialogo, los reclamos de los clientes respecto de la
facturación pueden indicar deficiencias
sistémicas en el procesamiento de las transacciones de
ventas. De la misma manera, los reportes emitidos por los
administradores de inversión respecto de ganancias,
perdidas e ingresos de valores pueden corroborar o
señalar problemas con tos registros de la entidad (o
de los administradores). Una revisión de la
compañía de seguros sobre las políticas
y practicas de seguridad proporciona información sobre
el funcionamiento de los controles, desde perspectivas de
seguridad operacional como de cumplimiento, sirviendo de era
manera como una técnica de monitoreo. Los reguladores
también pueden comunicarse con la entidad respecto del
cumplimiento u otros asuntos que se reflejan en el
funcionamiento del sistema de control interno.
La estructura organizacional apropiada y las actividades
de supervisión proporcionan una visión amplia
de las funciones de control y de la identificación de
deficiencias. Por ejemplo, las actividades de oficina sirven
como un control sobre lo adecuado y completo que es el
procesamiento de transacciones supervisado rutinariamente. De
la misma manera, las obligaciones de los individuos que se
dividen entre diferente gente sirven para comprobar uno con
otro. Ello también sirve para prevenir el fraude de
empleados puesto que inhibe la habilidad de un individuo para
encubrir sus actividades sospechosas.
Los datos registrados mediante los sistemas de
información se comparan con los activos fijos. Los
inventarios de productos terminados, por ejemplo, se pueden
examinar periódicamente. Los conteos se comparan con
los registros contables, y se reportan las diferencias.
Los auditores internos y externos regularmente
proporcionan información sobre la manera como los
controles internos pueden fortalecerse. En muchas entidades,
los auditores dedican considerable atención a evaluar
el diseño de controles internos y a probar su
efectividad. Se identifican las debilidades potenciales y se
recomiendan a la administración acciones alternativas,
acompañadas a menudo de información útil
para realizar determinaciones de costo-beneficio. Los
auditores internos o el personal que desempeña
funciones similares de revisión pueden ser
particularmente efectivos en el monitoreo de las actividades
de una entidad.
Los seminarios de entrenamiento, las sesiones de
planeación y otras reuniones proporcionan
retroalimentación importante a la
administración respecto de si los. controles son
efectivos. Además de los problemas particulares que
pueden señalar asuntos de control, la conciencia de
control de los participantes a menudo se convierte en
aparente.
Al personal se le pregunta periódicamente para
establecer explícitamente si entiende y cumple con el
código de conducta de la entidad. El personal de
operación y financiero puede similarmente ser
requerido para establecer si determinados procedimientos de
controles, tales como conciliar cantidades especificadas, se
está desempeñando regularmente. Tales estados
pueden ser verificados por personal administrativo o de
auditoria interna.
Puede verse que cada una de esas actividades de monitoreo
ongoing orienta aspectos importantes de cada uno de los
componentes del control interno.
EVALUACIONES SEPARADAS
Mientras que los procedimientos de monitoreo ongoing
usualmente proporcionan retroalimentación importante sobre
la efectividad de otros componentes de control, puede ser
útil tomar de tiempo en tiempo una mirada fresca, centrada
directamente en la efectividad del sistema. Ello también
proporciona una oportunidad para considerar la continua
efectividad de los procedimientos de monitoreo ongoing.
Alcance y frecuencia
Las evaluaciones del control interno varían en alcance
y frecuencia, dependiendo del significado de los riesgos que
están siendo controlados y de la importancia de los
controles en la reducción de aquellos. Los controles que
se orientan a riesgos de prioridad alta y a aquellos más
críticos para reducir un riesgo dado,
tenderán a ser evaluados más frecuentemente. La
evaluación de un sistema de control interno completo que
será necesitada con menos frecuencia que la
valoración de controles específicos puede motivarse
por diversas razones: estrategia principal o cambio
administrativo, adquisiciones y disposiciones, o cambios
significativos en las operaciones o en los métodos de
procesamiento de información financiera. Cuando se toma
una decisión para evaluar el sistema de control interno
completo de una entidad, la atención se debe dirigir a
cada uno de los componentes del control interno con respecto a
todas las actividades significativas.
El alcance de la evaluación también
dependerá de las tres categorías de objetivos
operaciones, información financiera y cumplimiento a los
cuales se está orientando.
¿Quién evalúa?
A menudo, las evaluaciones toman la forma de auto-
valoraciones, en las que las personas responsables por una unidad
o función
particular determinan la efectividad de los controles para sus
actividades. El director ejecutivo de una división, por
ejemplo, puede dirigir la evaluación de su sistema de
control interno. Puede personalmente valorar los factores del
ambiente de control, y tener individuos a cargo de las
actividades de operación de las distintas divisiones para
determinar la efectividad de los otros componentes. Los
administradores de línea pueden centrar su atención
principalmente en los objetivos de operaciones y de cumplimiento,
y el contralor de división puede centrarse en los
objetivos de información financiera. Luego, todos los
resultados estarán sujetos a la revisión del
director ejecutivo. La valoración de la división
será considerada por la administración corporativa,
junto con las evaluaciones del control interno de las otras
divisiones.
Los auditores internos normalmente realizan evaluaciones del
control interno como parte de sus obligaciones regulares, o por
petición especial del consejo de directores, la gerencia o
los ejecutivos de subsidiarias o divisiones. De la misma manera,
la administración puede usar el trabajo de los auditores
externos para considerar la efectividad del control interno.
Puede emplearse una combinación de esos esfuerzos para
conducir cualquiera de los procedimientos de evaluación
que la administración considere necesarios.
El proceso de evaluación
La evaluación del sistema de control interno es un
procedimiento
en si mismo. Puesto que las aproximaciones y las técnicas
varían, deberá existir una disciplina en
el proceso, así como ciertas bases inherentes a el.
El evaluador debe entender cada una de las actividades de la
entidad y cada uno de los componentes del sistema de control
interno que están siendo dirigidos. Puede ser útil
centrarse primero en como operan las funciones significativas del
sistema, generalmente referidas como diseño del sistema.
Ello puede implicar discusiones con el personal de la entidad y
revisión de la documentación existente.
El evaluador debe determinar como trabaja el sistema
actualmente. Los procedimientos diseñados para operar de
una manera particular pueden ser modificados en el tiempo para
operar en forma diferente. O, pueden no operar ampliamente.
Algunas veces se establecen controles nuevos pero no son
conocidos por las personas que describieron el sistema y no
están incluidos en la documentación disponible. Una
determinación del actual funcionamiento del sistema puede
acompañarse de discusiones conjuntas realizadas con el
personal que desempeña o es afectado por los controles,
examinando registros del desempeño de los controles o una
combinación de procedimientos.
El evaluador debe analizar el diseño del sistema de
control interno y los resultados de las pruebas aplicadas. El
análisis debe conducirse frente a los
criterios establecidos, con el objetivo último de
determinar si el sistema provee seguridad razonable con respecto
a los objetivos establecidos.
Metodología
Esta disponible una amplia variedad de metodologías y
herramientas,
incluyendo listas de verificación, cuestionarios y
técnicas de diagramas de
flujo. En la literatura de negocios y
académica se presentan técnicas cuantitativas.
También, se han presentado listas de objetivos de control,
identificando los objetivos genéricos del control
interno.
Como parte de su metodología de evaluación, algunas
compañías comparan sus sistemas de control interno
con los de otras entidades, referidos comúnmente como
benchmarking.
Una compañía puede, por ejemplo, medir su sistema
contra compañías que tienen reputación de
tener particularmente sistemas de control interno. Las
comparaciones se pueden haber directamente con los de otra
compañía, o bajo los auspicios de asociaciones de
comercio o industriales. Los consultores administrativos pueden
ser capaces de proporcionar información comparativa, y
funciones de revisión similares en alguna industrial,
pueden ayudar a la compañía a evaluar su sistema de
control con base en el de empresas del mismo género.
Una advertencia, cuando se comparan sistemas de control interno,
deben considerarse las diferencias que siempre existen en
objetivos, hechos y circunstancias. Y, deben tenerse en mente los
cinco componentes individuales y las restricciones del control
interno.
Documentación
La extensión de la documentación del sistema de
control interno de una entidad varía con el tamaño,
la complejidad y factores similares de la entidad. Las empresas 1
grandes usualmente tienen manuales de políticas, organigramas
formales descripciones de trabajo escritas, instrucciones de
operación, diagramas de
flujo del sistema y de información, etc. Las
compañías pequeñas que requieren han
considerado menos documentación.
Muchos controles son informales e indocumentados, no obstante
lo cual algunas se desempeñan regularmente y son altamente
efectivos. Esos controles se pueden robar de la misma manera como
lo son los controles documentados. El hecho de que existan
controles no documentados no significa que el control interno no
sea efectivo, o que no pueda ser evaluado. Un nivel apropiado de
documentación usualmente pace más eficiente la
evaluación. Ello es útil en otros aspectos:
facilita el entendimiento de los empleados sobre como opera el
sistema y sus roles particulares, y hace que sea fácil
modificarlo cuando sea necesario.
El evaluador puede decidir documentar el proceso de
evaluación mismo. Usualmente redacta sobre la
documentación existente del sistema de control interno de
la entidad, lo cual usualmente será complementado con la
documentación adicional del sistema, junto con
descripciones de las pruebas y análisis realizados en el
proceso de evaluación.
La naturaleza y la extensión de la documentación
normalmente será mas sustantiva cuando se hacen informes
sobre el sistema o sobre la evaluación, dirigidos a partes
adicionales. Cuando la administración quiere hacer un
informe dirigido
a partes externas mirando la efectividad del sistema de control
interno, deberá considerar el desarrollo y la
retención de documentación para soportar el
informe. Tal documentación puede ser útil si el
informe es cambiado subsecuentemente.
Plan de acción
Los ejecutivos dirigen evaluaciones de los sistemas de control
interno para, en primer lugar, poder considerar los siguientes
aspectos sugeridos sobre donde iniciar y que hacer:
Decidir sobre el alcance de la evaluación, en
términos de las categorías de objetivos,
componentes del control interno y actividades a orientar.Identificar actividades de monitoreo ongoing que
rutinariamente proporcionan tranquilidad respecto a que el
control interno es efectivo.Analizar el trabajo de evaluación del control
realizado por auditores internos, y considerar los hallazgos
relacionados con el control hechos por los auditores
externos.Priorizar por unidad, componente o global las mayores
áreas de riesgo que exigen atención
inmediata.Basados en lo anterior, desarrollar un programa de
evaluación con segmentos cortos y largos.Realizar en conjunto la evaluación por parte de
todas las partes que la puedan llevar a cabo. Y al mismo
tiempo, considerar no solamente el alcance y la
duración, sino también la metodología y
las herramientas a usar, los datos de entrada provenientes de
auditores internos y externos y de reguladores, los medios
para informar los hallazgos y la documentación
esperada.Monitorear el progreso y la revisión de los
hallazgos.Ver que se realizan las acciones siguientes, y modificar
los segmentos de evaluación subsecuentes si es
necesario.
Aunque mucho trabajo será delegado, es importante, sin
embargo, que la persona
responsable de dirigir la evaluación administre el proceso
hasta su culminación.
INFORMACIÓN DE DEFICIENCIAS
Las deficiencias en el sistema de control interno de una
entidad brotan de muchas fuentes, incluyendo los procedimientos
de monitoreo ongoing de la entidad, las evaluaciones separadas
del sistema de control interno y las partes externas.
El término deficiencia como se emplea aquí es
definido en sentido amplio como una condición dentro de la
cual un sistema de control interno es digno de atención.
Una deficiencia, por consiguiente, puede representar una falta
percibida, potencial o real, o una oportunidad para fortalecer el
sistema de control interno a fin de proporcionar una mayor
probabilidad
de que se pueden conseguir los objetivos de la entidad.
Fuentes de información
Una de las mejores fuentes de
información sobre deficiencias es el mismo sistema de
control interno. Las actividades de monitoreo ongoing de una
empresa, incluyendo las actividades administrativas y la diaria
supervisión de los empleados, genera intuiciones al
personal directamente implicado en las actividades de la entidad.
Esas intuiciones son conseguidas en tiempo real y pueden
proporcionar identificación rápida de las
deficiencias. Otras fuentes de deficiencias de control son las
evaluaciones separadas de un sistema de control interno. Las
evaluaciones realizadas por la administración, los
auditores internos u otro personal pueden iluminar áreas
que requieren mejoramiento.
Un buen número de panes externas frecuentemente
proporciona información importante sobre el funcionamiento
del sistema de control interno de una entidad. Incluye clientes,
vendedores y otros que hacen negocios con la entidad, contadores
bíblicos independientes y reguladores. Los informes
provenientes de fuentes externas deben considerarse
cuidadosamente a causa de sus implicaciones para el control
interno, y deben tomarse las acciones correctivas apropiadas.
¿Que debe informarse?
¿Que debe informarse? No es posible una respuesta
universal, pues esto es altamente subjetivo. Sin embargo, pueden
trazarse ciertos parámetros.
De hecho, todas las deficiencias de control interno que puedan
afectar la consecución de los objetivos de la entidad
deben informarse a aquellos que toman las acciones necesarias,
como se discute en la sección siguiente. La naturaleza de
los asuntos a comunicar variara dependiendo de la autoridad de
los individuos para relacionarse con circunstancias que surjan, y
las actividades globales de los superiores.
Considerando que requiere comunicarse, es necesario mirar las
implicaciones de los hallazgos. Por ejemplo, un vendedor
señala que las comisiones de venta ganadas
fueron computadas incorrectamente. El personal del departamento
de nómina
investiga y encuentra que se use un precio
desactualizado de un producto particular, dando como resultado
una subcomputación de comisiones, así como se
subfacturó a los clientes. Las acciones a tomar pueden
incluir el recalculo de todas las comisiones de los vendedores y
la facturación puesto que el cambio de precio
originó el efecto. Por que no se use el nuevo precio en
primer lugar? ¿Que controles existen para asegurar que los
incrementos en precio se ingresan al sistema de
información correcta y oportunamente? ¿Existe
algún problema en el programa de
computación que calcula las comisiones de ventas y la
facturación a clientes? Si lo hay, existen controles sobre
el desarrollo de software o se requiere
atención para realizar cambios de software?
¿Podrá otro componente del control interno
identificar el problema de manera oportuna para que el vendedor
no sea quien señale el error?
Así, un problema aparentemente simple con una
solución evidente puede tener crecientes implicaciones de
control. Esto subraya la necesidad de reportar errores u otros
problemas hacia arriba. Es esencial que se informen no solo
transacciones o eventos particulares, sino que se revaliden los
potenciales controles defectuosos.
Se puede argumentar que ningún problema es tan
insignificante como investigar las implicaciones de los controles
desautorizados. La toma por parte de un empleado de unos pocos
pesos de un fondo de caja menor para su use personal, por
ejemplo, podrá no ser significativa en términos de
ese evento particular, y probablemente no en términos de
la cantidad total de la caja menor. Así, investigar ello
puede no valer la pena. Sin embargo, tal aparente
condonación personal por el use del dinero de la
entidad puede enviar a los empleados un mensaje
incomprensible.
¿A quien informar?
La información generada por los empleados en la
realización de sus actividades de operación
regulares usualmente es reportada a sus superiores mediante los
canales normales. A su turno, el superior en cuestión
comunica hacia arriba o lateralmente en la organización
hasta que la información llegue a la gente que puede
actuar sobre el particular. Como se vio en el Capitulo 5,
deberán existir canales de comunicación
alternativos para reportar información sensible así
como actos ilegales o impropios.
Los hallazgos de deficiencias de control interno usualmente se
reportaban no solamente a los responsables de la función o
actividad implicada, que están en posición de tomar
la acción correctiva, sino también al menos al
nivel de administración que es responsable directo de la
persona. Este proceso permite a los individuos proporcionar el
apoyo o la percepción
necesarios para tomar la acción correctiva y para
comunicarse con aquellos otros en la organización cuyas
actividades pueden afectarse. Cuando los hallazgos cruzan los
limites organizacionales, la información deberá
cruzar y dirigirse directamente al nivel suficientemente alto
para asegurar la acción apropiada.
Directrices sobre reportes
El proporcionar la información necesaria sobre las
deficiencias de control interno a la parte correcta es
crítico para la continuada efectividad de un sistema de
control interno. Pueden establecerse para identificar que
información es necesaria en un nivel particular de toma de
decisiones.
Tales protocolos
están basados en la regla general que dice que un
administrador debe recibir la información de control
necesaria para afectar la acción o el comportamiento de la
gente bajo su responsabilidad, o para conseguir los objetivos de
la actividad. Un director ejecutivo normalmente esperara ser
advertido, por ejemplo, de las diversas infracciones serias a las
políticas y a los procedimientos. También espera
información de apoyo sobre la naturaleza de los asuntos
que pueden tener consecuencias financieras significativas o
implicaciones estratégicas, o que puedan afectar la
reputación de la entidad. Los administradores principales
esperaran ser advertidos de las deficiencias de control que
afectan sus unidades. Ejemplos incluyen cuando los activos con
valor
monetario específico están en riesgo, cuando la
competencia del personal esta debilitándose, o cuando las
conciliaciones financieras importantes no se están
realizando correctamente. Los administradores deberán ser
informados de las deficiencias de control en sus unidades con
crecientes niveles de detalle tanto como se mueven hacia abajo en
la estructura
organizacional.
Los protocolos son establecidos por los supervisores, quienes
le definen a los subordinados que asuntos deben informarse. El
grado de especificidad variara, usualmente incrementándose
en los niveles bajos de la organización. Puesto que los
protocolos de información pueden inhibir los reportes
efectivos si la definición hecha es demasiado estrecha,
ellos pueden engrandecer el proceso de información si se
les provee de la flexibilidad suficiente.
Algunas veces las partes a quienes se deben comunicar las
deficiencias proporcionan directivas específicas con
relación a la información a reportar. Un consejo de
directores o un comité de auditoria, por ejemplo, pueden
solicitar a los administradores o a los auditores internos o
externos comunicar solamente aquellos hallazgos de deficiencias
reunidos en un umbral de seriedad o importancia. Un umbral de ese
tipo, empleado por la profesión de los contadores
públicos es denominado condiciones reportables. Es
definido como: …deficiencias significativas en el diseño
o en la operación de la estructura de
control interno, que pueden afectar negativamente la capacidad de
la organización para registrar, procesar sumar e informar
datos financieros consistentes con las aserciones de la
administración en los estados financieros.
Esta definición se relaciona con los objetivos de
información financiera, si bien se considera que el
concepto probablemente pueda adaptarse para cubrir objetivos de
operaciones y de cumplimiento.
APLICACIÓN A ENTIDADES PEQUEÑAS Y
MEDIANAS
Las actividades de monitoreo ongoing de las entidades
pequeñas y medianas es más probable que sean
informales e implican al CEO y a otros administradores claves.
Sus controles de monitoreo son típicamente un producto en
función del monitoreo del negocio. Este es realizado
mediante la disponibilidad del implicamiento en la mayoría
si no en todos los aspectos de las operaciones. Su implicamiento
cerrado en las operaciones a menudo originara variaciones
significativas frente a las expectativas e imprecisiones en los
datos de operación o financieros. Un
propietario-administrador de un negocio pequeño puede
visitar frecuentemente la planta, las facilidades de
reunión o almacenamiento, y
compara los inventarios físicos con las cantidades
reportadas por el sistema de procesamiento de datos. El
conocimiento directo de los clientes significativos y de las
quejas de los vendedores, así como de cualesquiera
comunicaciones de los reguladores, también puede alertar
al administrador de una empresa pequeña sobre los
problemas de operación o de cumplimiento que puedan
señalar un resquebrajamiento en los controles.
Las entidades pequeñas y medianas probablemente
realizan menos evaluaciones separadas de sus sistemas de control
interno, y la necesidad de evaluaciones separadas pueden ser a
menudo para las actividades de monitoreo ongoing altamente
efectivas. Las compañías medianas pueden tener un
auditor interno que realice evaluaciones separadas. A menudo las
entidades pequeñas pueden asignar al personal de
contabilidad ciertas funciones de trabajo que sirvan para evaluar
los controles. Algunas entidades solicitan que sus auditores
externos realicen evaluaciones de ciertos aspectos del sistema de
control, o quizás en una base de rotación, para
proporcionar al CEO información sobre su efectividad.
A causa de estructuras de
organización mas limitadas, las deficiencias que brotan de
los procedimientos de monitoreo pueden comunicarse
fácilmente a la persona correcta. El personal en una
entidad pequeña usualmente tiene un entendimiento claro de
los tipos de problemas que requieren ser informados hacia arriba.
Lo que no siempre es aparente, es quien es responsable de la
determinación de la causa de un problema y de la toma de
las acciones correctivas. Esto es tan importante para una
organización pequeña o mediana, como lo es para una
grande.
EVALUACIÓN
Considerando la extensión en la cual es monitoreada la
efectividad continua del control interno, deben tenerse en cuenta
tanto las actividades de monitoreo ongoing como las evaluaciones
separadas del sistema de control interno, o porciones de los
mismos. Lo listado abajo son asuntos que se pueden considerar. La
lista no es completa, no todos se aplicarán a cada
entidad, pero puede, sin embargo, servir como punto de
arranque.
Monitoreo ongoing
Extensión en la cual el personal, en el
desempeño de sus actividades regulares, obtiene
evidencia de si el sistema de control interno continúa
funcionando.Extensión en la cual las comunicaciones
provenientes de partes externas corroboran la
información generada internamente, o indica
problemas.Comparaciones periódicas de las cantidades
registradas por el sistema de contabilidad con los activos
físicos.La sensibilidad frente a las recomendaciones de auditores
internos y externos como medios para fortalecer los controles
internos.Extensión en la cual los seminarios de
entrenamiento, las sesiones de planeación y las otras
reuniones proporcionan retroalimentación a la
administración sobre si los controles operan
efectivamente.Si el personal es preguntado periódicamente para
establecer si entiende y cumple con el código de
conducta de la entidad y desempeña regularmente
actividades criticas de control.Efectividad de las actividades de auditoria interna.
Evaluaciones separadas
Alcance y frecuencia de las evaluaciones separadas del
sistema de control interno.Conveniencia del proceso de evaluación.
Si la metodología del sistema de evaluación
es lógica y apropiada.Conveniencia del nivel de documentación.
Reporte de deficiencias
Existencia de mecanismos para captura e información
de las deficiencias de control interno identificadas.Conveniencia de los protocolos de reporte.
Conveniencia de las acciones hacia arriba.
CAPITULO 7
RESTRICCIONES DEL
CONTROL INTERNO
Resumen del Capitulo: El control interno, no importa que
bien haya sido diseñado y operado, puede proporcionar
solamente seguridad razonable a la administración y al
consejo de directores mirando la consecución de los
objetivos de una entidad. La probabilidad de
conseguirlos está afectada por restricciones inherentes en
todos los sistemas de control interno. Ellas toman en cuenta que
el juicio humano en la tonta de decisiones puede fallar, y que
los resquebrajamientos pueden ocurrir a causa de tales fallas
humanas como errores simples o equivocaciones. Adicionalmente,
los controles pueden circunscribirse por la colusión de
dos o más personas, y la administración tiene la
habilidad para desbordar el sistema de control interno. Otro
factor limitante es la necesidad de considerar lo relacionado con
los costos y beneficios del control.
El control interno ha sido visto por algunos observadores como
el que asegura que una entidad no fallara, esto es, que la
entidad siempre conseguirá sus objetivos de
operación, financieros y de cumplimiento. En este sentido,
el control interno algunas veces es visto como la cura para todos
los males reales y potenciales de los negocios. Este punto de
vista no es correcto, el control interno no es una panacea.
Considerando las restricciones del control interno, deben
reconocerse dos conceptos distintos:
Primero, el control interno lo mismo que el control
interno efectivo opera a niveles diferentes con
relación a los distintos objetivos. Para los objetivos
relacionados con la efectividad y la eficiencia de las
operaciones de una entidad consecución de su
misión básica, objetivos de rentabilidad y
semejantes- el control interno puede ayudara asegurar que la
administración sea consciente del progreso de la
entidad, o no. Pero no puede proporcionar igual seguridad
razonable de que los mismos objetivos se
conseguirán.
Segundo, el control interno no puede proporcionar
seguridad absoluta con respecto a cualquiera de las tres
categorías de objetivos.
El primer conjunto de restricciones reconoce que ciertos
eventos o condiciones están simplemente por fuera del
control
administrativo. Esto se discutió en el Capítulo
3 bajo el titulo Consecución de Objetivos. El segundo
tiene que ver con la realidad de que el sistema no siempre hace
lo que se intenta hacer. Lo mejor que se puede esperar de
cualquier sistema de control interno es que se obtenga una
seguridad razonable.
La seguridad razonable ciertamente no implica que los sistemas
de control interno fallaran frecuentemente. Muchos factores,
individual y colectivamente, sirven para fortalecer el concepto
de seguridad razonable. El efecto acumulativo de los controles
que satisfacen objetivos múltiples y la naturaleza
multipropósito de los controles reducen el riesgo de que
una entidad no consiga sus objetivos. Además, las
operaciones y responsabilidades de operación normales,
diarias, de la gente funcionando en diversos niveles de una
organización están dirigidas a la
consecución de los objetivos de la entidad. En verdad, en
medio de una parte de entidades bien controladas, es muy probable
que la mayoría estén regularmente apreciando el
movimiento
hacia sus objetivos de operaciones, regularmente
conseguirá sus objetivos de cumplimiento, y
producirá consistentemente período a
período, año a año estados financieros
confiables. Sin embargo, a causa de las restricciones inherentes
discutidas atrás, no hay garantía respecto a que,
por ejemplo, un evento incontrolable, una equivocación o
un reporte de incidentes impropio nunca puedan ocurrir. En otras
palabras, incluso un sistema de control interno efectivo puede
experimentar una falla. Seguridad razonable no es seguridad
absoluta.
Juicio
La efectividad de los controles estará limitada por la
realidad de las fallas humanas en la toma de decisiones. Tales
decisiones deben tomarse mediante juicios humanos en el tiempo
requerido, basados en información disponible, y bajo las
presiones del giro de los negocios. Algunas decisiones basadas en
juicios humanos pueden' después, con la clarividencia de
análisis posteriores, ser el fundamento para producir
menos que los resultados deseables, y pueden requerir
cambios.
La naturaleza de las decisiones relacionadas con el control
interno que pueden hacerse basadas en juicios humanos es descrita
después abajo en la discusión de
resquebrajamientos, desbordamiento de la administración y
costos versus beneficios.
Resquebrajamientos.
Aunque los controles internos estén bien
diseñados, pueden resquebrajarse. El personal puede
interpretar mal las instrucciones. Se pueden hacer juicios
equivocados, o cometer errores debido a negligencia,
distracción o fatiga. Un supervisor del departamento de
contabilidad responsable de la
investigación de inconsistencias puede simplemente
olvidarse de o fallar en la orientación de la investigación hasta no ser capaz de
realizar las correcciones apropiadas. El personal temporal que
ejecuta responsabilidades de control durante las vacaciones o
personal enfermo puede no desempeñarse correctamente. Los
cambios en los sistemas pueden ser implementados antes que el
personal haya sido entrenado para reaccionar apropiadamente a los
signos de
funcionamiento incorrecto.
DESBORDAMIENTO DE LA ADMINISTRACIÓN
Un sistema de control interno solamente puede ser tan efectivo
como la gente que es responsable de su funcionamiento. De la
misma manera que en las entidades efectivamente controladas
-aquellas que generalmente tienen altos niveles de integridad y
conciencia de
control- un administrador puede ser capaz de desbordar el control
interno.
El termino desbordamiento de la administración se
emplea aquí para significar el violar las políticas
o los procedimientos pre-establecidos con propósitos
ilegítimos con la intención de que el personal
obtenga o acreciente la presentación de la
condición financiera o del estado de
cumplimiento de una entidad. Un administrador de una
división o unidad, o un miembro de la alta
administración, puede desbordar el sistema de control por
muchas razones: para incrementar ingresos
reportados para cubrir un decrecimiento no anticipado en la
participación en el mercado, o para aumentar los
beneficios reportados para cumplir presupuestos irreales, para
empujar el valor de mercado de la entidad antecedente a una
oferta o venta
publica, para cumplir ventas o protección de beneficios
para apalancar desembolso de bonos ligados al
desempeño, para simular el cubrimiento de violaciones de
acuerdos de convenios de deuda, o para ocultar la falta de
cumplimiento con requerimientos legales. Las prácticas de
desbordamiento incluyen falsificaciones para banqueros, abogados,
contadores y vendedores, y la emisión intencional de
documentos falsos tales como órdenes de compra y facturas
de venta.
El desbordamiento de la administración no debe
confundirse con la intervención de la
administración, la cual representa las acciones de la
administración para salirse de las políticas o
procedimientos prescritos con propósitos legítimos.
La intervención de la administración es necesaria
para relacionarse con transacciones no-recurrentes y
no-estándares que de otra manera pueden manejarse de
manera inapropiada por el Sistema de control. La
previsión de la intervención de la
administración es necesaria en todos los sistemas de
control interno puesto que estos no se pueden diseñar para
anticiparse a cada condición. Las acciones de la
administración para intervenir son generalmente
manifiestas y comúnmente documentadas o, de otra manera,
reservadas para el personal apropiado, mientras que las acciones
para desbordarse, generalmente no están documentadas o
manifiestas, con la intención de sobrepasarlas.
Colusión
Las actividades colusorias de dos o más individuos
pueden derivar en fallas de control. Los individuos que
actúan colectivamente para perpetrar y encubrir una
acción de detección a menudo pueden alterar los
datos financieros u otra información administrativa de
manera que no pueda ser identificada por el sistema de control.
Por ejemplo, puede haber colusión entre un empleado que
desempeña una función de control importante y un
cliente, proveedor u otro empleado. En un nivel diferente,
algunos estratos de ventas o divisiones administrativas pueden
coludir para evadir controles de manera tal que los reportes
cumplan presupuestos u objetivos de incentivo.
Costos versus beneficios
Los recursos siempre tienen limitaciones, y por lo tanto las
entidades deben considerar lo relativo a los costos y beneficios
derivados de establecer controles.
Para determinar si se debe establecer un control particular,
debe considerarse el riesgo de fallar y el efecto potencial sobre
la entidad, junto con los costos relacionados con el
establecimiento de un control nuevo. Por ejemplo, puede no ser
rentable para una compañía instalar un sofisticado
control de
inventarios para monitorear los niveles de materia prima
si el costo de la
materia prima
usada en el proceso de producción es bajo, el material no
es perecedero, está propenso a suplir recursos existentes
y esta disponible el espacio de almacenamiento.
La medición de costos y beneficios para la
implementación de controles se hace con diferentes niveles
de precisión. Generalmente, es fácil tratar con el
lado de costos de la ecuación que, en muchos casos, puede
cuantificarse de una manera verdaderamente precisa. Todos los
costos directos asociados con la institucionalización de
un control, y los costos indirectos Cuando son medibles de manera
práctica, usualmente se consideran. Algunas
compañías también incluyen los costos de
oportunidad asociados con el use de los recursos.
En otros casos, sin embargo, puede ser más
difícil cuantificar los costos. Puede se difícil
cuantificar el tiempo y el esfuerzo relacionados, por ejemplo,
con ciertos factores de control ambiental, tales como el
compromiso de los administradores con lo valores
éticos o la competencia del personal; valoración de
riesgos; y captura de cierta información externa como
inteligencia de mercadeo o desarrollo de las preferencias de los
clientes. El lado de los beneficios a menudo requiere
evaluación más; subjetiva. Por ejemplo, los
beneficios de programas de
entrenamiento efectivos son usualmente fáciles
aparentemente, pero difíciles de cuantificar. Sin embargo,
se pueden considerar ciertos factores en la evaluación de
beneficios potenciales: la probabilidad de que la
condición indeseada ocurra, la naturaleza de las
actividades, y e potencial efecto financiero u operativo que el
evento pueda tener en la entidad.
La complejidad de las determinaciones costo-beneficio
está dada por la interrelación de los controles con
las operaciones de negocios. Donde los controles están
integrados con, o construidos en, el proceso
administrativo y de negocios, es difícil aislar tanto
los costos como los beneficios.
De manera similar, muchas veces una variedad de controles
puede servir, individual o conjuntamente, para mitigar un riesgo
particular. Considérese el caso de los despachos
retornados. Cuando se registran, ¿es suficiente conciliar,
actualizar los archivos maestros de inventarios y cuentas por
cobrar con los retornos totales? Se necesita verificar
también los códigos de las cuentas individuales de
los clientes, y si lo son, den que extensión? ¿Es
suficiente la conciliación mensual de los archivos de la
subsidiaria con los archivos maestros? O, use necesitan
procedimientos mas extensos para asegurar que los registros de la
subsidiaria están adecuadamente actualizados para las
devoluciones? ¿Y que mecanismos operan para centrar la
atención en si las devoluciones son sintomáticas de
un problema sistémico en el diseño del producto,
manufactura, embarque, facturación o servicio al
cliente? Las respuestas a esas cuestiones dependen de los
riesgos implicados en las circunstancias particulares y de los
costos y beneficios relacionados con el establecimiento de cada
procedimiento de control.
Las determinaciones costo-beneficio también
varían considerablemente dependiendo de la naturaleza del
negocio. Por ejemplo, un sistema de computación que
proporciona información sobre la frecuencia con la cual
los clientes generan sus ordenes de compra, el valor del
dólar de las ordenes, y el numero de los ítems
comprados por orden, son muy importantes para un catalogo de
ordenes por correo de la compañía. Para un
manufacturero de altura de la línea, los clientes que
realizan viajes en
embarcaciones, tal información detallada sobre el perfil
del cliente podrá ser menos importante. Dada la
insignificancia relativa de una actividad particular o de un
riesgo relacionado, puede no ser necesario realizar un
análisis costo-beneficio total. El esfuerzo de realizar
tal análisis no se justifica.
El cambio está en encontrar el balance correcto. El
control excesivo es costoso y contra productivo. Los clientes que
hacen órdenes telefónicas no tolerarán
procedimientos de aceptación de órdenes que sean
muy engorrosas o consumidoras de tiempo. Un banco que hace
créditos apreciables a prestamistas
potenciales que saltan a través de las argollas, no
registran muchos nuevos préstamos. Muy poco control, de
otra manera, presenta riesgos indebidos de debitos malos. En un
ambiente altamente competido se necesita un balance apropiado. Y,
a pesar de las dificultades, se continuarán tomando
decisiones costo-beneficio.
CAPITULO 8
ROLES Y
RESPONSABILIDADES
Resumen del capitulo: Cada persona en una
organización tiene alguna responsabilidad respecto del
control interno. La administración, sin embargo, es
responsable del sistema de control interno de una entidad. El
director ejecutivo jefe es el responsable último y debe
asumir la "propiedad" del
sistema de control. Los directivos financieros y de contabilidad
son centrales en la manera como la administración ejerce
el control, si bien todo el personal administrativo juega papeles
importantes y es responsable del control de las actividades de
sus unidades. De manera similar, los auditores internos
contribuyen a la efectividad ongoing del sistema de control
interno, pero ellos no tienen la responsabilidad primaria por
establecerlo y mantenerlo. El consejo de directores y su
comité de auditoria proporciona importante cobertura y
supervisión del sistema de control interno. Un
número de partes externas, tales como los auditores
externos, a menudo contribuyen a la consecución de los
objetivos de la entidad y proporcionan información
útil para la ejecución del control interno. Sin
embargo, no son responsables por la efectividad de, no pacer
parte del sistema de control interno de la entidad.
El control interno es ejecutado por un número de
partes, cada una con responsabilidades importantes. El consejo
directivo (directamente o a través de sus comités),
la administración, los auditores internos y otro personal
hacen contribuciones importantes para un sistema de control
interno efectivo. Otras partes, tales como los auditores externos
y los cuerpos reguladores, algunas veces están asociados
con el control interno. Existe una distinción entre
aquellos que son parte del sistema de control interno de una
entidad y aquellos que no lo son, pero cuyas acciones sin embargo
pueden afectar el sistema o ayudar a conseguir los objetivos de
la entidad.
Las partes internas de una organización son componentes
del sistema de control interno. Ellas contribuyen, cada una
según su propia manera, al control interno efectivo, esto
es, a proporcionan seguridad razonable respecto de que los
objetivos especificados de la entidad se están
consiguiendo.
Las partes externas de una entidad pueden también
ayudarla a conseguir sus objetivos mediante acciones que provean
información útil para la entidad en la
ejecución del control, o mediante acciones que contribuyan
independientemente a sus objetivos. Sin embargo, solamente con la
contribución de una parte directa o indirecta- a la
consecución de los objetivos, no hará, en
relación con eso, que desempeñe un papel del
sistema de control interno de la entidad.
Página anterior | Volver al principio del trabajo | Página siguiente |