El control interno

¿Qué es el Control Interno?

El control interno es definido en forma amplia como un proceso, efectuado por el Consejo de Administración, la Dirección y el resto del personal de una Entidad, diseñado para proporcionar una razonable seguridad con miras a la realización de objetivos en las

siguientes categorías:

• Efectividad y eficiencia de las operaciones • Confiabilidad de la información financiera

• Acatamiento de las leyes y regulaciones aplicables

La primera categoría apunta a los objetivos básicos de la empresa, incluyendo metas de desempeño rentabilidad y salvaguarda de recursos.

La segunda está relacionada con la

preparación y publicación de estados financieros dignos de confianza, incluyendo estados financieros intermedios y resumidos e información financiera derivada de dichos estados tales como ganancias por distribuir, reportadas públicamente.

La tercera se ocupa del cumplimiento de las

leyes y regulaciones a que la empresa está sujeta.

La Importancia del Control A partir de la publicación del informe COSO

(Control Interno- Estructura Integrada) en septiembre

de 1992 y en cuyo desarrollo participaron

representantes de organizaciones profesionales de contadores, de ejecutivos de finanzas

y de Auditores Internos, ha resurgido en forma impresionante la atención hacia el

mejoramiento del control interno y un mejor gobierno corporativo, lo, cual fue derivado

de la presión pública para un mejor manejo de los recursos públicos o privados en

cualquier tipo de organización, esto ante los numerosos escándalos, crisis financieras o

fraudes, durante los últimos decenios.

Estructura del control interno propuesta por el modelo COSO. Identifica cinco componentes interrelacionados:

1. Ambiente de Control

2. Evaluación de riesgos

3. Actividades de control

4. Información y comunicación

5. Monitoreo

COMPONENTES

1. AMBIENTE DE CONTROL

2. EVALUACION DE RIESGOS

3. ACTIVIDADES DE CONTROL

4. INFORMACION Y COMUNICACION

5. SUPERVISION Y SEGUIMIENTO

1. Ambiente de Control es el elemento que proporciona disciplina y estructura.

El ambiente de control se determina en función de la

integridad y competencia del personal de una

organización; los valores éticos son un elemento

esencial que afecta a otros componentes del control.

Entre sus factores se incluye la filosofía de la

administración, la atención y guía proporcionados por

el consejo de administración, el estilo operativo, así

como la manera en que la gerencia confiere autoridad

y asigna responsabilidades, organiza y desarrolla a su

personal.

Factores del ambiente de control

Integridad y valores éticos Compromiso por la competencia

Consejo de directores o comité de auditoría

Filosofía y estilo de operación de la administración

Estructura organizacional

Valoración de autoridad y responsabilidad

Políticas y prácticas de recursos humanos

2. Evaluación de riesgos:

Es la identificación y análisis de los riesgos que se relacionan con el logro de los objetivos; la administración debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias.

En la dinámica actual de los negocios, se debe prestar especial atención a: • Los avances tecnológicos • Los cambios en los ambientes operativos • Las nuevas líneas de negocios • La reestructuración corporativa • La expansión o adquisiciones extranjeras • El personal nuevo • El rápido crecimiento Cada entidad afronta una variedad de riesgos de origen interno y externo que deben ser valorados.

Elaborado por: Einar Eduardo Martinez – Contador Publico

Como gestionar el riesgo…me pregunto

Como estamos ?

Donde están los riesgos ?

Identificar el contexto (Interno y externo)

Determinar los factores

Identificar los riesgos

Medición de riesgos

Quienes son nuestros clientes ?

Quienes son nuestros proveedores ?

El RIESGO

El proceso de gestión de riesgos, adoptado mediante la Norma Técnica Colombiana NTC 5254, proveniente de la norma técnica Australiana AS/NZ 4360:2004, ampliamente aceptada y reconocida a nivel mundial, define el riesgo como la posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia.

Origen de los riesgos:

Pueden ser derivados por las amenazas externas y las debilidades internas, algunos cuantificables y

otros no.

Identificar un tipo de riesgo personal.

Los riesgos pueden ser de las siguientes clases: 1. Riesgo identificado: Identificado por una experiencia anterior o como resultado de un

análisis del proceso.

2. Riesgo no identificados: No han sido identificados.

3. Riesgo total: Riesgos identificados + Riesgos no identificados

4. Riesgo aceptable: El esfuerzo de eliminar un riesgo puede ser mayor que su efecto.

5. Riesgos inaceptables: No pueden ser tolerados en el proceso, deben ser eliminados o minimizados.

6. Riesgos residuales: Es el riesgo resultante después de efectuar la identificación y controles.

Los componentes del riesgo, son en estricto sentido la conjugación de tres elementos fundamentales que lo definen como tal. El primero de ellos es el «evento», suceso o acontecimiento. Éste componente juega un papel muy importante a la hora de la identificación de los posibles riesgos a los que está expuesta una persona o empresa. Le sigue la «posibilidad de ocurrencia», y tiene que ver con la probabilidad de que ese evento ocurra o no. Finalmente están las «consecuencias», las cuales se derivan de la materialización de ese evento en un hecho cierto.

QUE HAGO FRENTE AL RIESGO

Se pueden asumir tres actitudes: - Indiferencia La persona o empresa asume el riesgo, se convierte en su propio asegurador. Soporta con su patrimonio los daños a sus bienes derivados de posibles siniestros, sin adoptar medidas que eviten tales consecuencias dañosas. - Prevención La persona o empresa adopta medidas para evitar o dificultar la realización de siniestros o para lograr que sus consecuencias sean mínimas. - Previsión La persona o empresa se previene de la realización de un evento futuro, y se caracteriza porque las medidas adoptadas tiendan a la constitución de un fondo económico que haga frente a las consecuencias de un posible futuro siniestro. Una actitud previsiva nos conduce a dos decisiones importantes, que son: la no transferencia de los riesgos, o la transferencia de los mismos a terceros.

El riesgo en las entidades del sector real y financiero

PRINCIPALES RIESGOS

Riesgo Legal Riesgo Reputacional

Riesgo Operacional

Riesgo de Liquidez

Riesgo de Mercado

Riesgo de Crédito

Riesgo de Contagio

Riesgo de Operaciones Ilícitas

Riesgo Regulatorio Ley 454 de 1998

RIESGO OPERATIVO

Podemos encontrar diferentes acepciones sobre el riesgo operativo, y todas, de alguna u otra manera, pueden llegar a aquella que comprende el riesgo de errores humanos o falla en los equipos, en los sistemas y/o en los canales de comunicación, que se requieran para el adecuado y continuo funcionamiento de una empresa.

“Se entiende por riesgo operacional a la posibilidad de incurrir en pérdidas derivadas de problemas en el desarrollo de las funciones del negocio o sus procesos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos, deshonestidad, fraude o catástrofes naturales.”

Riesgo de Crédito

La posibilidad de que un establecimiento de crédito incurra en perdidas y se disminuya el

valor de su patrimonio técnico como consecuencia de que sus deudores fallen en el

cumplimiento oportuno de sus obligaciones o cumplan imperfectamente las obligaciones

financieras en los términos acordados.

SARO SARC

Sistema para la Administración del Riesgo acorde con su estructura,

tamaño, objeto social y actividades de apoyo.

La gestión de riesgo es un sistema que busca generar y fomentar cultura preventiva de autocontrol, al igual que, mejorar continuamente los procesos organizacionales. Puede implementarse en todo tipo de institución, en proyectos y/o en procesos y está compuesto por siete etapas.

Establecimiento del contexto estratégico. Hace referencia al conocimiento que se debe tener de la organización y su entorno, integrando todos los aspectos que rodean la organización o hacen parte de ella, como lo son, entre otros:

Financieros Sociales Operativos

De Clientes Competitivos Culturales

Políticos Legales

Desarrollando la herramienta de diagnóstico Matriz DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas) por sus siglas en español, se espera obtener y/o generar información relevante sobre los aspectos críticos del proceso y la organización, igualmente busca identificar parámetros internos, externos y específicos de las actividades organizacionales, implicando lo siguiente:

Para el desarrollo de la Matriz es recomendable dividir el diagnostico en dos fases, una de Análisis Interno y otra de Análisis Externo. El análisis interno corresponde a la identificación de las Debilidades y Fortalezas que le son inherentes al proceso o que pueden ser desarrolladas en el caso de las fortalezas.

El análisis externo corresponde a la identificación de Oportunidades y Amenazas, las cuales son externas al proceso, es decir no son competencia o no pueden ser controladas por el mismo.

DOFA

TU ENTIDAD

Debilidades Oportunidades Fortalezas Amenazas

Identificación del riesgo. Con base en la información generada en el contexto estratégico se procede a la identificación de los riesgos; utilizando un procedimiento de asociación que permita involucrar las amenazas y debilidades a los riesgos. Es importante tener en cuenta que los riesgos PUEDEN o NO estar bajo el control de la organización.

La identificación del riesgo debe responder las preguntas las cuales describen integralmente el riesgo:

Que podría suceder ?

Porque podría suceder ?

Como podría suceder ?

Donde podría suceder ?

Pasos para la identificación de riesgos: a) Identificar las Fuentes de Riesgo y Factores de Riesgo.

La Fuente de riesgo es todo aquello de lo cual se puede derivar una situación que podría afectar negativamente los procesos y/o la organización. Fuentes de riesgo comunes: El recurso humano, la infraestructura física, los equipos de cómputo, el ambiente social, económico y político, el recurso financiero, la tecnología, etc. Los factores de riesgo son las características o agentes generadores del riesgo y se derivan de las fuentes de riesgo: Ejemplo: Fuente de riesgo: Recurso humano. Factor de riesgo: Error humano en digitación de datos.

b) Identificar las áreas de impacto. Son aquellas áreas que se verán afectadas por la ocurrencia del riesgo, Institucionalmente se agruparon en tres: Económicas o financieras. Imagen o reputacional. Desempeño. c) Causas o Factores de Riesgo. Se derivan de las fuentes de riesgo y son las características negativas de estas, son los medios, las circunstancias y/o los agentes generadores de riesgo. Pueden ser intencionales o no intencionales. Ejemplo: Fuente de Riesgo: Computador. Factor de Riesgo: Computador obsoleto (la obsolescencia es la característica negativa de la fuente de riesgo).

d) Consecuencia o Impacto. Es el resultado cuantitativo o cualitativo de un evento (causa), sea ésta una pérdida, perjuicio o desventaja.

Consecuencias cuantitativas Consecuencias cualitativas

Pérdida de activos

Pérdida de vidas

Pérdida de ingresos

Sanciones legales

Indemnizaciones

Costos excesivos

Talento humano (conocimiento)

Propiedad intelectual

Tecnología innovadora

Servicios

Reputación o imagen

Investigación y desarrollo

Seguridad

Estabilidad

e) Descripción del Riesgo. Busca detallar las circunstancias y particularidades que pueden presentarse en una actividad, función o proceso de la entidad y las formas en que se podría manifestar el riesgo, responde a las preguntas:

f) Clasificación del Riesgo.

Estratégicos Operativos Fraude Interno Relaciones Laborales

Practicas con los clientes, productos

y negocios

Daños a activos materiales

Tecnología, Fallas en los sistemas

Financieros

Fraude Externo Cumplimiento o

Conformidad Legal

Ejemplo para identificar el riesgo: RIESGO: Pérdida económica representada en el valor comercial del vehículo debido a la pérdida total del mismo en un accidente automovilístico generado porque el conductor se encontraba en estado de embriaguez. Luego de tener identificado el riesgo, se procede a identificar todas las posibles causas o factores de riesgo y se califican los dos componentes principales del riesgo (la probabilidad y la consecuencia o impacto).

Para definir el riesgo se identifica cuál es el área de impacto afectada, el factor de riesgo (causa) principal.

Área de impacto

• Perdidas económicas por perdida total del vehículo.

Factor de riesgo

• Conducir en estado de embriaguez

Luego de haber identificado el riesgo, se procede hacer una descripción detallada del mismo, la cual precisará en los demás componentes del riesgo, en esta se explica el qué, el por qué, el cómo y el donde.

Que ?

• Perdida económica (Valor del vehículo)

Por que ?

• Por conducir en estado de embriaguez.

Como ?

• Al colisionar con otro vehículo.

Donde ?

• En una zona de alta congestión.

Finalmente la identificación del riesgo, debe determinar cuáles son los demás posibles factores o causas del riesgo. En este ejemplo podrían ser:

IDENTIFICACION Y CALIFICACION DEL RIESGO

Riesgo Perdidas económicas por pérdida total del vehículo

por conducir en estado de embriaguez.

Descripción (Que – Porque – Como) Pérdida económica (Valor del vehículo) por

conducir en estado de embriaguez al colisionar con

otro vehículo en una zona de alta congestión.

Factores de riesgo Exceso de velocidad

Fallas en las señales de transito

Conductores no idóneos

Fallas mecánicas de los demás vehículos

Imprudencia de los peatones

Deterioro de la malla vial

EJEMPLO - IDENTIFICACION Y CALIFICACION DEL RIESGO

Riesgo:

Factor de Riesgo

Fuente de Riesgo

Descripción:

Que podría suceder ?

Porque podría suceder ?

Como podría suceder?

Donde podría suceder?

Área de impacto:

Económicas o financieras ( ) Imagen o reputacional ( ) Desempeño ( )

Consecuencias:

Cualitativas

Cuantitativas

Descripción del riesgo:

Clasificación del riesgo:

Elaborado por: Einar Eduardo Martinez – Contador Publico

CASO DE ESTUDIO

Intervienen una de las cooperativas más grandes de Colombia

Clic aquí

3. Actividades de control.

Son las políticas y procedimientos que ayudan a garantizar que se lleve a cabo la

administración. Ello contribuye a garantizar que las acciones necesarias sean tomadas para

direccionar el riesgo y ejecución de los objetivos de la entidad. Las actividades de control

ocurren por toda la organización, a todos los niveles y en todas las funciones. Ello incluye

un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones,

reconciliaciones, revisiones de desempeño de operaciones, seguridad de activos y

segregación de funciones.

Las actividades de control se clasifican en:

• Controles preventivos

• Controles detectivos

• Controles correctivos

• Controles manuales o de usuario

• Controles de cómputo o de tecnología de información

• Controles administrativos

Las actividades de control deben ser apropiadas para minimizar los riesgos; el personal realiza cada día una gran variedad de actividades específicas para asegurarse de que la organización se adhiera a los planes de acción y al seguimiento de la consecución de objetivos.

4. Información y comunicaciones.

La información pertinente debe ser identificada, capturada y comunicada en forma y estructuras de tiempo que faciliten a la gente cumplir sus responsabilidades. Los sistemas de información producen información operacional financiera y suplementaria que hacen posible controlar y manejar los negocios.

5. Monitoreo.

Los controles internos deben ser “monitoreados” constantemente para asegurarse de que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. El alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir.

Objetivos del control interno El logro de objetivos que persigue el modelo se refiere a: • Efectividad y eficiencia de las operaciones. • Confiabilidad de la información financiera. • Cumplimiento de las leyes y ordenamientos. Importancia del control interno. Para este modelo, el control interno es: • El corazón de una organización • La cultura, las normas sociales y ambientales que la gobiernan. • Los procesos del negocio (Los mecanismos por medio de los cuales una organización proporciona bienes y/o servicios de valor agregado). • La infraestructura, la tecnología de la información, las actividades, las políticas y los procedimientos.