PROYECTO DE GRADO TEMA: EL SISTEMA DE CONTROL INTERNO...

1

UNIVERSIDAD MAYOR DE SAN ANDRÉS

FACULTAD DE CIENCIAS ECONÓMICAS YFINANCIERAS

CARRERA DE CONTADURIA PÚBLICA

PROYECTO DE GRADO

TEMA: EL SISTEMA DE CONTROL INTERNOBASADO EN EL INFORME COSO

POSTULANTE : RIOS GUERRA FATIMA DENISSE

TUTOR: M. Sc. RONNY YAÑEZ MENDOZA

LA PAZ - BOLIVIA

2010

UNIVERSIDAD MAYOR DE SAN ANDRES

EL SISTEMA DE CONTROL INTERNO BASADO EN EL INFORME COSO2

AGRADECIMIENTO

AL DIVINO CREADOR.A MIS PADRES, POR SU EJEMPLO,CUIDADO Y AMOR.A TODOS MIS DOCENTES POR SUSENSEÑANZAS ACADEMICAS Y VALORES.A MI TUTOR POR SU CONSTANTE GUIA.



DEDICATORIA

A TODA MI FAMILIA POR SUAPOYO INCONDICIONAL.



INDICE

1. ANTECEDENTES ...................................................................... 111.1. Problema de la Investigación ................................................. 11

1.1.1. Planteamiento del Problema ................................................ 111.2. Justificación de la Investigación ................................................ 12

1.2.1. Justificación Teórica ......................................................... 121.2.2. Justificación Práctica ........................................................ 131.2.3. Justificación Metodológica ................................................. 13

1.3. Objetivos de la Investigación.................................................... 141.3.1. Objetivo Principal............................................................. 141.3.2. Objetivos Específicos .......................................................... 15

2. METODOLOGÍA DE LA INVESTIGACIÓN .......................................... 162.1. Tipo de Estudio....................................................................... 162.2. Método de Investigación .......................................................... 162.3. Fuentes y Técnicas para la Recolección de Información ................ 162.4. Tratamiento de la Información ................................................. 16

3. MARCO TEORICO CONCEPTUAL ..................................................... 183.1. DEFINICION Y OBJETIVOS ....................................................... 183.2. COMPONENTES ...................................................................... 19

3.2.1. AMBIENTE DE CONTROL ..................................................... 203.2.2. EVALUACION DE RIESGOS .................................................. 223.2.3. ACTIVIDADES DE CONTROL ................................................ 233.2.4. INFORMACION Y COMUNICACION ........................................ 253.2.5. SUPERVISION ................................................................... 26

4. DESARROLLO DEL TRABAJO .......................................................... 294.1. El Nuevo Concepto del COSO ................................................. 294.2. Componentes del Control Interno ........................................... 33

4.2.1. Primer Componente del Control Interno - Ambiente de Control 344.2.1.1. Aspectos Generales ......................................................... 344.2.1.2. El Ambiente de Control abarca los siguientes factores: ...... 354.2.1.3. Comprendiendo el Ambiente de Control ............................. 374.2.1.4. Evaluación del Entorno o Ambiente de Control .................... 384.2.1.5. Integridad y valores éticos ............................................... 384.2.1.6. Compromiso de competencia profesional ........................... 384.2.1.7. Consejo de Administración ............................................... 394.2.1.8. La filosofía de la dirección y el estilo de la gestión ............... 394.2.1.9. Estructura organizativa .................................................... 404.2.1.10. Asignación de autoridad y responsabilidad........................ 40



4.2.1.11. Políticas y prácticas de recursos humanos ........................ 404.2.2. Segundo Componente del Control Interno - Evaluación delRiesgo ....................................................................................... 414.2.2.1. Aspectos Generales ......................................................... 414.2.2.2. Objetivos ....................................................................... 424.2.2.3. Riesgos.......................................................................... 424.2.2.4. Manejo de cambios ......................................................... 434.2.2.5. Valoración de Riesgo ...................................................... 434.2.2.6. Comprendiendo la Evaluación del Riesgo ............................ 454.2.2.7. Evaluación de los Riesgos ............................................... 454.2.2.7.1. Objetivos globales ........................................................ 454.2.2.7.2. Objetivos asignados a cada actividad .............................. 464.2.3. Tercer Componente del Control Interno - Actividades deControl ...................................................................................... 474.2.3.1. Aspectos Generales ......................................................... 474.2.3.2. Las Actividades de Control Según SAS - 78 ........................ 484.2.3.3. Comprendiendo las Actividades de Control ......................... 494.2.3.4. Evaluación de las Actividades de Control ............................ 504.2.4. Cuarto Componente del Control Interno - Información yComunicación ............................................................................. 504.2.4.1. Aspectos Generales ......................................................... 504.2.4.2. Información ................................................................... 514.2.4.3. Comunicación ................................................................. 524.2.4.4. Información y Comunicación según SAS 78 ..................... 524.2.4.5. Comprendiendo la Información y Comunicación .................. 534.2.4.6. Evaluación de la Información y Comunicación ..................... 554.2.4.6.1. Información ................................................................. 554.2.4.6.2. Comunicación .............................................................. 564.2.5. Quinto Componente del Control Interno - Vigilancia ............... 574.2.5.1. Aspectos Generales ......................................................... 574.2.5.2. Vigilancia Según SAS -78 ................................................. 584.2.5.4. Evaluación sobre la Vigilancia (Supervisión o Monitoreo) ...... 594.2.5.4.1. La supervisión continuada ............................................. 59

4.3. El Control Interno y la Tarea del Auditor Interno: Alcance delTrabajo ........................................................................................ 604.4. La auditoria y el Control Interno ............................................... 61

4.4.1. El método documental.- ..................................................... 614.4.2. El método de prueba del sistema .- ..................................... 61

4.5. técnicas de relevamiento del sistema de control interno .............. 624.5.1. Fuentes de Información Sobre el Control Interno .................. 624.5.2. Documentar la comprensión del control interno ..................... 63



4.5.2.1. Métodos de Relevamiento ................................................ 644.5.2.2. Método Descriptivo ......................................................... 654.5.2.3. Método de los Cuestionarios ............................................. 664.5.2.4. Método de los Curso gramas ............................................ 694.5.2.4.1. Concepto .................................................................... 694.5.2.4.2. Características y Componentes ...................................... 704.5.2.4.3. Técnicas Empleadas ..................................................... 744.5.2.4.4. Evaluación del Método .................................................. 754.5.2.5. Combinación de Métodos ................................................. 764.5.3. Elección, Ocasión y Extensión del Método a Utilizar ................ 774.5.3.1. Elección ......................................................................... 774.5.3.2. Ocasión ......................................................................... 784.5.3.3. Extensión ....................................................................... 78

5. MARCO PROPOSITIVO .................................................................. 795.1. CONTROL INTERNO DESARROLLO Y APLICACIÓN ..................... 79

5.1.1. Antecedentes.- .................................................................. 795.1.2. Conflicto entre propietario y directivos ................................. 805.1.3. Nuevos modelos en el enfoque de control ............................. 815.1.4. Informe COSO (Committee of Sponsoring Organizations ofTreadway Commission, National Commission on Fraudulent FinancialReporting) ................................................................................. 815.1.4.1. Finalidad del informe ....................................................... 825.1.4.2. Definición de Control Interno según las normas COSO ......... 825.1.4.3. Objetivos del control ....................................................... 845.1.5. Componentes o elementos de control interno ........................ 855.1.6. Qué se puede lograr con el control interno ............................ 855.1.7. Qué no se puede lograr con el control interno ....................... 865.1.8. Factores que suponen un freno a la implementación de unsistema de control interno en la gestión empresarial. ...................... 86

5.2. ENTORNO DE CONTROL ........................................................... 875.2.1. ¿Qué es el entorno de control? ............................................ 875.2.2. Importancia ...................................................................... 875.2.3. Factores que lo constituyen................................................. 875.2.3.1. Los valores éticos ........................................................... 885.2.3.1.1. Evaluación de los Valores Éticos ..................................... 895.2.3.2. Compromiso de competencia profesional. Conceptualización. 905.2.3.2.1. Evaluación .................................................................. 915.2.3.3. Filosofía y estilo de la Dirección ........................................ 915.2.3.3.1. Evaluación .................................................................. 915.2.3.4. Estructura y Plan de Organización ..................................... 92



Delegación de poderes y responsabilidad. ...................................... 925.2.3.4.1. Evaluación .................................................................. 935.2.3.5. Políticas y prácticas de Recursos Humanos ......................... 935.2.3.6. Comité de Administración o Comité de Auditoría ................. 95

5.3. EVALUACION DE RIESGOS ....................................................... 955.3.1. El impacto de los riesgos en la organización .......................... 955.3.1.1. Importancia de los factores .............................................. 965.3.2. El Riesgo y los Objetivos de la Organización .......................... 975.3.3. Objetivos .......................................................................... 975.3.3.1. ¿Cómo se establecen los objetivos? ................................... 975.3.3.2. Categorías de Objetivos de Control Interno ........................ 985.3.3.2.3. Objetivos de cumplimiento .......................................... 1005.3.4. Riesgos .......................................................................... 1015.3.4.1. ¿Qué son los riesgos ? ................................................. 1015.3.4.2. Identificación y análisis de riesgos .................................. 1015.3.4.3. Estimación del riesgo..................................................... 1035.3.4.4. Valoración de riesgos .................................................... 1045.3.5. Manejo de cambios .......................................................... 107

5.4. ACTIVIDADES DE CONTROL ................................................... 1085.4.1. Definición ....................................................................... 1085.4.2. Importancia de las actividades de control ........................... 1085.4.3. ¿Quiénes las llevan a cabo? .............................................. 1085.4.4. Categorías ...................................................................... 1095.4.5. Mecanismos de control ..................................................... 1105.4.5.1. Segregación o separación de funciones ............................ 1105.4.5.2. Análisis realizados por la dirección .................................. 1105.4.5.3. Documentación ............................................................. 1115.4.5.4. Niveles definidos de autorización .................................... 1115.4.5.5. Registro oportuno y adecuado de las transacciones y hechos .............................................................................................. 1125.4.5.6. Acceso restringido a los recursos, activos y registros ......... 1125.4.5.7. Rotación del personal en las tareas claves ........................ 1125.4.5.8. Control del sistema de información ................................. 1135.4.5.9. Controles físicos ........................................................... 1145.4.5.10. Indicadores de desempeño ........................................... 1145.4.5.11. Función de auditoría interna independiente .................... 1155.4.6. Control sobre los sistemas de procesamiento electrónico dedatos ....................................................................................... 1155.4.6.1. Controles generales ...................................................... 1165.4.6.1.1. Controles sobre las operaciones del Centro de Procesamientode datos .................................................................................. 116



5.4.6.1.2. Normativas y Procedimientos ....................................... 1175.4.6.1.3. Normas sobre Continuidad del Procesamiento ................ 1175.4.6.1.4. Proveedores externos ................................................. 1185.4.7. Controles sobre las aplicaciones ........................................ 1195.4.8. Autoevaluación de controles basada en los modelos ............. 1205.4.8.1. Evaluación de controles informales .................................. 1215.4.8.2. Evaluación de controles formales .................................... 1225.4.8.3. Informe de Resultados................................................... 122

CONCLUSIONES Y RECOMENDACIONES 122Importancia Del Control Interno ................................................. 124Identificacion De Objetivos Del Control ........................................ 124Limitaciones ............................................................................. 124Recomendación ........................................................................ 125

BIBLIOGRAFIA .. 124



INTRODUCCIÓN

CONTROL INTERNO

Debido al mundo económico integrado que existe hoy en día se ha creadola necesidad de integrar metodologías y conceptos en todos los niveles delas diversas áreas administrativas y operativas con el fin de sercompetitivos y responder a las nuevas exigencias empresariales, surge asíun nuevo concepto de control interno donde se brinda una estructuracomún el cual es documentado en el denominado informe COSO.

La definición de control interno se entiende como el proceso que ejecuta laadministración con el fin de evaluar operaciones especificas con seguridadrazonable en tres principales categorías: Efectividad y eficienciaoperacional, confiabilidad de la información financiera y cumplimiento depolíticas, leyes y normas.

El control interno posee cinco componentes que pueden serimplementados en todas las compañías de acuerdo a las característicasadministrativas, operacionales y de tamaño; los componentes son: unambiente de control, una valoración de riesgos, las actividades de control(políticas y procedimientos), información y comunicación y finalmente elmonitoreo o supervisión.

La implementación del control interno implica que cada uno de suscomponentes estén aplicados a cada categoría esencial de la empresaconvirtiéndose en un proceso integrado y dinámico permanentemente,como paso previo cada entidad debe establecer los objetivos, políticas yestrategias relacionadas entre si con el fin de garantizar el desarrolloorganizacional y el cumplimiento de las metas corporativas; aunque elsistema de control interno debe ser intrínseco a la administración de laentidad y busca que esta sea mas flexible y competitiva en el mercado seproducen ciertas limitaciones inherentes que impiden que el sistema comotal sea 100% confiable y donde cabe un pequeño porcentaje deincertidumbre, por esta razón se hace necesario un estudio adecuado de

EL SISTEMA DE CONTROL INTERNOBASADO EN EL INFORME COSO



los riesgos internos y externos con el fin de que el control provea unaseguridad razonable para la

categoría a la cual fue diseñado, estos riesgos pueden ser atribuidos afallas humanas como la toma de decisiones erróneas, simplesequivocaciones o confabulaciones de varias personas, es por ello que esmuy importante la contratación de personal con gran capacidadprofesional, integridad y valores éticos así como la correcta asignación deresponsabilidades bien delimitadas donde se interrelacionan unas conotras con el fin de que no se rompa la cadena de control fortaleciendo elambiente de aplicación del mismo, cada persona es un eslabón quegarantiza hasta cierto punto la eficiencia y efectividad de la cadena, cabedestacar que la responsabilidad principal en la aplicación del controlinterno en la organización debe estar siempre en cabeza de laadministración o alta gerencia con el fin de que exista un compromiso reala todos los niveles de la empresa, siendo función del departamento deauditoria interna o quien haga sus veces, la adecuada evaluación osupervisión independiente del sistema con el fin de garantizar laactualización, eficiencia y existencia a través del tiempo, estasevaluaciones pueden ser continuas o puntuales sin tener una frecuenciapredeterminada o fija, así mismo es conveniente mantener una correctadocumentación con el fin de analizar los alcances de la evaluación, nivelesde autorización, indicadores de desempeño e impactos de las deficienciasencontradas, estos análisis deben detectar en un momento oportuno comolos cambios internos o externos del contexto empresarial pueden afectar eldesarrollo o aplicación de las políticas en función de la consecución de losobjetivos para su correcta evaluación.

La comprensión del control interno puede así ayudar a cualquier entidadpública o privada a obtener logros significativos en su desempeño coneficiencia, eficacia y economía, indicadores indispensables para el análisis,toma de decisiones y cumplimiento de metas.



1. ANTECEDENTES

1.1. PROBLEMA DE LA INVESTIGACIÓN

1.1.1. PLANTEAMIENTO DEL PROBLEMA

La implantación de un sistema de control interno ha adquirido especialimportancia y ha ido ampliando sus ámbitos de aplicación, en la medida enque el incremento de la dimensión empresarial ha supuesto undistanciamiento por parte de los propietarios, en el control día a día, delas operaciones que se producen en la empresa.

Cuando la estructura organizativa de la empresa se caracterizaba porquepropiedad y dirección coincidían en la misma persona, tan solo eranecesaria la implantación de un sistema de control interno en el ámbitocontable con la finalidad de proteger a los activos de pérdidas que sederivaban de errores intencionados. Posteriormente y como consecuenciade una mayor complejidad de las operaciones, se requirió la introducciónde nuevas técnicas de dirección que provocaron el surgimiento dedirectivos que conociesen e implementasen dichas técnicas. A partir deese momento la implantación del sistema de control interno tiene comoprincipal finalidad la protección de sus activos contra pérdidas que sederiven de errores intencionales o no intencionales en el procesamientode las transacciones y manejo de los activos correspondientes.

Llegado a este punto se empieza a ver la necesidad de implantar elsistema de control interno solo en el ámbito financiero contables, sinotambién en el ámbito de la gestión y dirección de manera que permitaproporcionar, con una seguridad razonable, la consecución de los objetivosespecíficos de la entidad.

C A P Í T U L O I



Como consecuencia del proceso de la internacionalización, la implantacióndel sistema de control interno está relacionada con aspectos particularesdel management, tal como la consecución de los objetivos, la planificaciónestratégica y la dirección del riesgo, así como la realización de accionescorrectivas (COCO 1995).

1.2. JUSTIFICACIÓN DE LA INVESTIGACIÓN

1.2.1. JUSTIFICACIÓN TEÓRICA

Los nuevos modelos desarrollados en el campo del control, estándefiniendo una nueva corriente de pensamiento, con una ampliaconcepción sobre la organización, involucrando una mayor participación dela dirección, gerentes y personal en general de los entes.

Asimismo, los modelos han sido diseñados con la esperanza de ser unfuerte soporte del éxito de la organización, siempre que los mismos seanllevados con el criterio y la perspicacia necesaria de parte del profesional yno mecánicamente.

Esto implica, el entender, un acabado conocimiento del contenido de losmodelos y una acabada compresión del espíritu de los mismos, lo quecompromete la correcta preparación de directores, gerentes, jefes, restode personal, auditores internos y externos.

El proceso de internacionalización ha significado una dispersión de lapropiedad de la empresa y la separación entre propiedad y dirección. Lavinculación del propietario a la empresa no es tan fuerte como antes, en laque los dueños estaban ligados a la empresa a través de variasgeneraciones y en ella existían barreras de salida de tipo emocional muyfuertes. La situación actual de las medianas y grandes empresas ha hechoque en las mismas haya un proceso de despersonalización para poderatender al volumen y complejidad de las mismas.

Existe un conflicto de intereses entre el propietario y el directivo. Losdirectivos tienen una perspectiva temporal a corto plazo que secontrapone con la visión a largo plazo de los propietarios. De esta maneralos propietarios están interesados en la obtención de un máximo debeneficios con un nivel de riesgo razonable y en mantener las condicionesdel mercado que sean favorables para el inversionista. Los directivos, por



su parte, están interesados en la obtención del máximo beneficio duranteel período en el que participan en la gestión de la empresa.

Todo ello conlleva la necesidad de implantar mecanismos de control para ypor la seguridad de los propietarios y la sana gestión de los directores dela empresa.

1.2.2. JUSTIFICACIÓN PRÁCTICA

A efectos de avanzar en el estudio de control interno, se ha escogido comomarco de desarrollo e investigación de entre todos los informes ylineamientos conceptuales que rigen en esta materia el INFORME COSO.

A Nivel Organizacional, este documento destaca la necesidad de que la altadirección y el resto de la organización comprendan cabalmente latrascendencia del control interno, la incidencia del mismo sobre losresultados de la gestión, el papel estratégico a conceder a la auditoria yesencialmente la consideración del control como un proceso integrado alos procesos operativos de la empresa y no como un conjunto pesado,compuesto por mecanismos burocráticos.

A Nivel Regulatorio o Normativo, el informe COSO. Ha pretendido quecuando se plantee cualquier discusión o problema de control interno.

Tanto a nivel práctico de las empresas, como a nivel de auditoria internao externa, o en los ámbitos académicos o legislativos, los interlocutorestengan una referencia conceptual común, lo cuál hasta ahora resultabacompleja, dada la multiplicidad de definiciones y conceptos divergentesque han existido sobre control interno.

1.2.3. JUSTIFICACIÓN METODOLÓGICA

Siendo el Control Interno un proceso, es un conjunto de accionesestructuradas y coordinadas dirigidas a la consecución de un fin, no es unfin en si mismo. Los procesos de negocios que se llevan acabo dentro delas unidades y funciones de la organización o entre las mismas , secoordinan en función de los procesos de gestión básicos o planificación ,ejecución y supervisión. El control interno es parte de dichos procesos y



esta integrado a los mismos, permitiendo su funcionamiento adecuado ysupervisando su comportamiento y aplicabilidad en cada momento.

La definición de control interno se entiende como el proceso que ejecuta laadministración con el fin de evaluar operaciones especificas con seguridadrazonable en tres principales categorías: Efectividad y eficienciaoperacional, confiabilidad de la información financiera y cumplimiento depolíticas, leyes y normas.

El control interno posee cinco componentes que pueden serimplementados en todas las compañías de acuerdo a las característicasadministrativas, operacionales y de tamaño; los componentes son: unambiente de control, una valoración de riesgos, las actividades de control(políticas y procedimientos), información y comunicación y finalmente elmonitoreo o supervisión.

La implementación del control interno implica que cada uno de suscomponentes estén aplicados a cada categoría esencial de la empresaconvirtiéndose en un proceso integrado y dinámico permanentemente,como paso previo cada entidad debe establecer los objetivos, políticas yestrategias relacionadas entre si con el fin de garantizar el desarrolloorganizacional y el cumplimiento de las metas corporativas.

1.3. OBJETIVOS DE LA INVESTIGACIÓN

1.3.1. OBJETIVO PRINCIPAL

Tal como se analizara en la definición de control interno, existen trescategorías de objetivos:

Objetivos empresariales básicos de una entidad, incluyendo los objetivosde rendimiento. De rentabilidad y la salvaguarda de los recursos. Objetivosde elaboración y publicación de estados contables confiados, así como lainformación financiera extraída de dichos estados.

Basados en estas tres categorías de objetivos. El presente trabajo deinvestigación tiene el siguiente objetivo general

Facilitar un modelo en base al cual las empresas y otras entidades,cualquiera su tamaño y naturaleza, puedan evaluar sus sistemas de



control interno, estableciendo una definición común de control interno queresponda a las necesidades de las distintas partes.

1.3.2. OBJETIVOS ESPECÍFICOS

Evaluar operaciones específicas con seguridad razonable en tresprincipales categorías:

Efectividad y eficiencia operacional, confiabilidad de la informaciónfinanciera y cumplimiento de políticas, leyes y normas



2. METODOLOGÍA DE LA INVESTIGACIÓN

2.1. TIPO DE ESTUDIO

El estudio a desarrollar es de naturaleza exploratoria, descriptiva y a suvez explicativo.

Es un estudio descriptivo, porque identifica las características ypeculiaridades del sistema de costos en el proceso de fabricación hastadeterminar el costo de producción.

Es también un estudio de tipo explicativo porque permitirá la explicaciónde cada uno de los componentes del control interno, ya que laimplementación del control interno implica que cada uno de suscomponentes estén aplicados a cada categoría esencial de la empresa.

2.2. MÉTODO DE INVESTIGACIÓN

El método de investigación a utilizarse para el logro de los objetivos, seráel método deductivo inductivo; primero se empleara el métododeductivo, partiendo de situaciones generales explicadas por un marcoteórico general para aplicar a situaciones concretas.

2.3. FUENTES Y TÉCNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN

La fuente utilizada para la elaboración del presente trabajo será la fuentesecundaria, apelando para ello a toda la bibliografía relacionada con eltema y la materia.

2.4. TRATAMIENTO DE LA INFORMACIÓN

C A P Í T U L O II



Toda la información revisada y recopilada será verificada, ordenada yclasificada, para que posteriormente sea presentada en forma escrita,como un modelo de evaluación del proceso del control interno además deprocedimientos para cumplirprogramas, acompañando una descripción de las técnicas utilizadas con elpropósito de facilitar su análisis y comprensión, atendiendo necesidadesgerenciales fundamentales.



3. MARCO TEORICO CONCEPTUAL

3.1. DEFINICION Y OBJETIVOS

El Control Interno es un proceso integrado a los procesos, y no unconjunto de pesados mecanismos burocráticos añadidos a los mismos,efectuado por el consejo de la administración, la dirección y el resto delpersonal de una entidad, diseñado con el objeto de proporcionar unagarantía razonable para el logro de objetivos incluidos en las siguientescategorías:

Ø Eficacia y eficiencia de las operaciones.

Ø Confiabilidad de la información financiera.

Ø Cumplimiento de las leyes, reglamentos y políticas.

Ø Completan la definición algunos conceptos fundamentales:

El control interno es un proceso, es decir un medio para alcanzar un fin yno un fin en sí mismo.

Lo llevan a cabo las personas que actúan en todos los niveles, no se tratasolamente de manuales de organización y procedimientos.

Sólo puede aportar un grado de seguridad razonable, no la seguridad total,a la conducción.

Está pensado para facilitar la consecución de objetivos en una o más delas categorías señaladas las que, al mismo tiempo, suelen tener puntos encomún.

Al hablarse del control interno como un proceso, se hace referencia a unacadena de acciones extendida a todas las actividades, inherentes a lagestión e integrados a los demás procesos básicos de la misma:planificación, ejecución y supervisión. Tales acciones se hallanincorporadas (no añadidas) a la infraestructura de la entidad, para influiren el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad.

C A P Í T U L O III



Según la Comisión de Normas de Control Interno de la OrganizaciónInternacional de Entidades Fiscalizadoras Superiores (INTOSAI), el controlinterno puede ser definido como el plan de organización, y el conjunto deplanes, métodos, procedimientos y otras medidas de una institución,tendientes a ofrecer una garantía razonable de que se cumplan lossiguientes objetivos principales:

Promover operaciones metódicas, económicas, eficientes y eficaces, asícomo productos y servicios de la calidad esperada.

Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión,errores, fraudes o irregularidades.

Respetar las leyes y reglamentaciones, como también las directivas yestimular al mismo tiempo la adhesión de los integrantes de laorganización a las políticas y objetivos de la misma.

Obtener datos financieros y de gestión completos y confiables ypresentados a través de informes oportunos.

Para la alta dirección es primordial lograr los mejores resultados coneconomía de esfuerzos y recursos, es decir al menor costo posible. Paraello debe controlarse que sus decisiones se cumplan adecuadamente, en elsentido que las acciones ejecutadas se correspondan con aquéllas, dentrode un esquema básico que permita la iniciativa y contemple lascircunstancias vigentes en cada momento.

Por consiguiente, siguiendo los lineamientos de INTOSAI, incumbe a laautoridad superior la responsabilidad en cuanto al establecimiento de unaestructura de control interno idónea y eficiente, así como su revisión yactualización periódica.

Ambas definiciones (COSO e INTOSAI) se complementan y conforman unaversión amplia del control interno: la primera enfatizando respecto a sucarácter de proceso constituido por una cadena de acciones integradas a lagestión, y la segunda atendiendo fundamentalmente a sus objetivos.

3.2. COMPONENTES

El marco integrado de control que plantea el informe COSO consta decinco componentes interrelacionados, derivados del estilo de la dirección, eintegrados al proceso de gestión:

Ø Ambiente de control



Ø Evaluación de riesgos

Ø Actividades de control

Ø Información y comunicación

Ø Supervisión

El ambiente de control refleja el espíritu ético vigente en una entidadrespecto del comportamiento de los agentes, la responsabilidad con queencaran sus actividades, y la importancia que le asignan al control interno.

Sirve de base de los otros componentes, ya que es dentro del ambientereinante que se evalúan los riesgos y se definen las actividades de controltendientes a neutralizarlos. Simultáneamente se capta la informaciónrelevante y se realizan las comunicaciones pertinentes, dentro de unproceso supervisado y corregido de acuerdo con las circunstancias.

El modelo refleja el dinamismo propio de los sistemas de control interno.Así, la evaluación de riesgos no sólo influye en las actividades de control,sino que puede también poner de relieve la conveniencia de reconsiderarel manejo de la información y la comunicación.

No se trata de un proceso en serie, en el que un componente incideexclusivamente sobre el siguiente, sino que es interactivo multidireccionalen tanto cualquier componente puede influir, y de hecho lo hace, encualquier otro.

Existe también una relación directa entre los objetivos (Eficiencia de lasoperaciones, confiabilidad de la información y cumplimiento de leyes yreglamentos) y los cinco componentes referenciados, la que se manifiestapermanentemente en el campo de la gestión: las unidades operativas ycada agente de la organización conforman

secuencialmente un esquema orientado a los resultados que se buscan, yla matriz constituida por ese esquema es a su vez cruzada por loscomponentes.

3.2.1. AMBIENTE DE CONTROL

El ambiente de control define al conjunto de circunstancias que enmarcanel accionar de una entidad desde la perspectiva del control interno y queson por lo tanto determinantes del grado en que los principios de esteúltimo imperan sobre las conductas y los procedimientos organizacionales.



Es, fundamentalmente, consecuencia de la actitud asumida por la altadirección, la gerencia, y por carácter reflejo, los demás agentes conrelación a la importancia del control interno y su incidencia sobre lasactividades y resultados.

Fija el tono de la organización y, sobre todo, provee disciplina a través dela influencia que ejerce sobre el comportamiento del personal en suconjunto.

Constituye el andamiaje para el desarrollo de las acciones y de allí devienesu trascendencia, pues como conjunción de medios, operadores y reglaspreviamente definidas, traduce la influencia colectiva de varios factores enel establecimiento, fortalecimiento o debilitamiento de políticas yprocedimientos efectivos en una organización.

Los principales factores del ambiente de control son:

Ø La filosofía y estilo de la dirección y la gerencia.

Ø La estructura, el plan organizacional, los reglamentos y losmanuales de procedimiento.

Ø La integridad, los valores éticos, la competencia profesional y elcompromiso de todos los componentes de la organización, así comosu adhesión a las políticas y objetivos establecidos.

Ø Las formas de asignación de responsabilidades y de administracióny desarrollo del personal.

Ø El grado de documentación de políticas y decisiones, y deformulación de programas que contengan metas, objetivos eindicadores de rendimiento.

En las organizaciones que lo justifiquen, la existencia de consejos deadministración y comités de auditorías con suficiente grado deindependencia y calificación profesional.

El ambiente de control reinante será tan bueno, regular o malo como losean los factores que lo determinan. El mayor o menor grado de desarrolloy excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidaddel ambiente que generan y consecuentemente al tono de la organización.



3.2.2. EVALUACION DE RIESGOS

El control interno ha sido pensado esencialmente para limitar los riesgosque afectan las actividades de las organizaciones. A través de lainvestigación y análisis de los riesgos relevantes y el punto hasta el cual elcontrol vigente los neutraliza se evalúa la vulnerabilidad del sistema.

Para ello debe adquirirse un conocimiento práctico de la entidad y suscomponentes de manera de identificar los puntos débiles, enfocando losriesgos tanto al nivel de la organización (interno y externo) como de laactividad.

El establecimiento de objetivos es anterior a la evaluación de riesgos. Sibien aquéllos no son un componente del control interno, constituyen unrequisito previo para el funcionamiento del mismo.

Los objetivos (relacionados con las operaciones, con la informaciónfinanciera y con el cumplimiento), pueden ser explícitos o implícitos,generales o particulares. Estableciendo objetivos globales y por actividad,una entidad puede identificar los factores críticos del éxito y determinar loscriterios para medir el rendimiento.

A este respecto cabe recordar que los objetivos de control deben serespecíficos, así como adecuados, completos, razonables e integrados a losglobales de la institución.

Una vez identificados, el análisis de los riesgos incluirá:

Ø Una estimación de su importancia / trascendencia.

Ø Una evaluación de la probabilidad / frecuencia.

Ø Una definición del modo en que habrán de manejarse.

Dado que las condiciones en que las entidades se desenvuelven suelensufrir variaciones, se necesitan mecanismos para detectar y encarar eltratamiento de los riesgos asociados con el cambio. Aunque el proceso deevaluación es similar al de los otros riesgos, la gestión de los cambiosmerece efectuarse independientemente, dada su gran importancia y lasposibilidades de que los mismos pasen inadvertidos para quienes estáninmersos en las rutinas de los procesos.

Existen circunstancias que pueden merecer una atención especial enfunción del impacto potencial que plantean:



Ø Cambios en el entorno.

Ø Redefinición de la política institucional.

Ø Reorganizaciones o reestructuraciones internas.

Ø Ingreso de empleados nuevos, o rotación de los existentes.

Ø Nuevos sistemas, procedimientos y tecnologías.

Ø Aceleración del crecimiento.

Ø Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios debenestar orientados hacia el futuro, de manera de anticipar los mássignificativos a través de sistemas de alarma complementados con planespara un abordaje adecuado de las variaciones.

3.2.3. ACTIVIDADES DE CONTROL

Están constituidas por los procedimientos específicos establecidos como unreaseguro para el cumplimiento de los objetivos, orientadosprimordialmente hacia la prevención y neutralización de los riesgos.

Las actividades de control se ejecutan en todos los niveles de laorganización y en cada una de las etapas de la gestión, partiendo de laelaboración de un mapa de riesgos según lo expresado en el puntoanterior: conociendo los riesgos, se disponen los controles destinados aevitarlos o minimizarlos, los cuales pueden agruparse en tres categorías,según el objetivo de la entidad con el que estén relacionados:

Ø Las operaciones.

Ø La confiabilidad de la información financiera.

Ø El cumplimiento de leyes y reglamentos

En muchos casos, las actividades de control pensadas para un objetivosuelen ayudar también a otros: los operacionales pueden contribuir a losrelacionados con la confiabilidad de la información financiera, éstas alcumplimiento normativo, y así sucesivamente.

A su vez en cada categoría existen diversos tipos de control:

Ø Preventivo / Correctivos



Ø Manuales / Automatizados o informáticos

Ø Gerenciales o directivos

En todos los niveles de la organización existen responsabilidades decontrol, y es preciso que los agentes conozcan individualmente cuales sonlas que les competen, debiéndose para ello explicitar claramente talesfunciones.

La gama que se expone a continuación muestra la amplitud que abarcaríade las actividades de control, pero no constituye la totalidad de lasmismas:

Ø Análisis efectuados por la dirección.

Ø Seguimiento y revisión por parte de los responsables de lasdiversas funciones o actividades.

Ø Comprobación de las transacciones en cuanto a su exactitud,totalidad, y autorización pertinente: aprobaciones, revisiones,cotejos, re cálculos, análisis de consistencia, prenumeraciones.

Ø Controles físicos patrimoniales: arqueos, conciliaciones,recuentos.

Ø Dispositivos de seguridad para restringir el acceso a los activosy registros.

Ø Segregación de funciones.

Ø Aplicación de indicadores de rendimiento.

Es necesario remarcar la importancia de contar con buenos controles delas tecnologías de información, pues éstas desempeñan un papelfundamental en la gestión, destacándose al respecto el centro deprocesamiento de datos, la adquisición, implantación y mantenimiento delsoftware, la seguridad en el acceso a los sistemas, los proyectos dedesarrollo y mantenimiento de las aplicaciones.

A su vez los avances tecnológicos requieren una respuesta profesionalcalificada y anticipativa desde el control.



3.2.4. INFORMACION Y COMUNICACION

Así como es necesario que todos los agentes conozcan el papel que lescorresponde desempeñar en la organización (funciones,responsabilidades), es imprescindible que cuenten con la informaciónperiódica y oportuna que deben manejar para orientar sus acciones enconsonancia con los demás, hacia el mejor logro de los objetivos.

La información relevante debe ser captada, procesada y transmitida de talmodo que llegue oportunamente a todos los sectores permitiendo asumirlas responsabilidades individuales.

La información operacional, financiera y de cumplimiento conforma unsistema para posibilitar la dirección, ejecución y control de lasoperaciones.

Está conformada no sólo por datos generados internamente sino poraquellos provenientes de actividades y condiciones externas, necesariospara la toma de decisiones.

Los sistemas de información permiten identificar, recoger, procesar ydivulgar datos relativos a los hechos o actividades internas y externas, yfuncionan muchas veces como herramientas de supervisión a través derutinas previstas a tal efecto. No obstante resulta importante mantener unesquema de información acorde con las necesidades institucionales que,en un contexto de cambios constantes, evolucionan rápidamente. Por lotanto deben adaptarse, distinguiendo entre indicadores de alerta yreportes cotidianos en apoyo de las iniciativas y actividades estratégicas, através de la evolución desde sistemas exclusivamente financieros a otrosintegrados con las operaciones para un mejor seguimiento y control de lasmismas.

Ya que el sistema de información influye sobre la capacidad de la direcciónpara tomar decisiones de gestión y control, la calidad de aquél resulta degran trascendencia y se refiere entre otros a los aspectos de contenido,oportunidad, actualidad, exactitud y accesibilidad.

La comunicación es inherente a los sistemas de información. Las personasdeben conocer a tiempo las cuestiones relativas a sus responsabilidades degestión y control. Cada función ha de especificarse con claridad,entendiendo en ello los aspectos relativos a la responsabilidad de losindividuos dentro del sistema de control interno.



Asimismo el personal tiene que saber cómo están relacionadas susactividades con el trabajo de los demás, cuáles son los comportamientosesperados, de que manera deben comunicar la información relevante quegeneren.

Los informes deben transferirse adecuadamente a través de unacomunicación eficaz. Esto es, en el más amplio sentido, incluyendo unacirculación multidireccional de la información: ascendente, descendente ytransversal.

La existencia de líneas abiertas de comunicación y una clara voluntad deescuchar por parte de los directivos resultan vitales.

Además de una buena comunicación interna, es importante una eficazcomunicación externa que favorezca el flujo de toda la informaciónnecesaria, y en ambos casos importa contar con medios eficaces, dentrode los cuales tan importantes como los manuales de políticas, memorias,difusión institucional, canales formales e informales, resulta la actitud queasume la dirección en el trato con sus subordinados. Una entidad con unahistoria basada en la integridad y una sólida cultura de control no tendrádificultades de comunicación. Una acción vale más que mil palabras.

3.2.5. SUPERVISION

Incumbe a la dirección la existencia de una estructura de control internoidónea y eficiente, así como su revisión y actualización periódica paramantenerla en un nivel adecuado. Procede la evaluación de las actividadesde control de los sistemas a través del tiempo, pues toda organizacióntiene áreas donde los mismos están en desarrollo, necesitan ser reforzadoso se impone directamente su reemplazo debido a que perdieron su eficaciao resultaron inaplicables. Las causas pueden encontrarse en los cambiosinternos y externos a la gestión que, al variar las circunstancias, generannuevos riesgos a afrontar.

El objetivo es asegurar que el control interno funciona adecuadamente, através de dos modalidades de supervisión: actividades continuas oevaluaciones puntuales.

Las primeras son aquellas incorporadas a las actividades normales yrecurrentes que, ejecutándose en tiempo real y arraigadas a la gestión,generan respuestas dinámicas a las circunstancias sobrevinientes.



En cuanto a las evaluaciones puntuales, corresponden las siguientesconsideraciones:

a) Su alcance y frecuencia están determinados por la naturaleza eimportancia de los cambios y riesgos que éstos conllevan, lacompetencia y experiencia de quienes aplican los controles, y losresultados de la supervisión continuada.

b) Son ejecutados por los propios responsables de las áreas degestión (autoevaluación), auditoria interna (incluidas en elplaneamiento o solicitadas especialmente por la dirección), y losauditores externos.

c) Constituyen en sí todo un proceso dentro del cual, aunque losenfoques y técnicas varíen, priman una disciplina apropiada yprincipios insoslayables.

La tarea del evaluador es averiguar el funcionamiento real del sistema:que los controles existan y estén formalizados, que se apliquencotidianamente como una rutina incorporada a los hábitos, y que resultenaptos para los fines perseguidos.

d) Responden a una determinada metodología, con técnicas yherramientas para medir la eficacia directamente o a través de lacomparación con otros sistemas de control probadamente buenos.

e) El nivel de documentación de los controles varía según ladimensión y complejidad de la entidad.

Existen controles informales que, aunque no estén documentados, seaplican correctamente y son eficaces, si bien un nivel adecuado dedocumentación suele aumentar la eficiencia de la evaluación, y resultamás útil al favorecer la comprensión del sistema por parte de losempleados. La naturaleza y el nivel de la documentación requieren mayorrigor cuando se necesite demostrar la fortaleza del sistema ante terceros.

f) Debe confeccionarse un plan de acción que contemple:

Ø El alcance de la evaluación.

Ø Las actividades de supervisión continuadas existentes.

Ø La tarea de los auditores internos y externos.

Ø Aéreas o asuntos de mayor riesgo.



Ø Programa de evaluaciones.

Ø Evaluadores, metodología y herramientas de control.

Ø Presentación de conclusiones y documentación de soporte.

Ø Seguimiento para que se adopten las correcciones pertinentes.

Las deficiencias o debilidades del sistema de control interno detectadas através de los diferentes procedimientos de supervisión deben sercomunicadas a efectos de que se adopten las medidas de ajustecorrespondientes.

Según el impacto de las deficiencias, los destinatarios de la informaciónpueden ser tanto las personas responsables de la función o actividadimplicada como las autoridades superiores.



4. DESARROLLO DEL TRABAJO

4.1. EL NUEVO CONCEPTO DEL COSO

Desde hace mucho tiempo han existido diferencias de opinión sobre elsignificado y los objetivos de control interno. Muchos expertos interpretanel término control interno como los pasos que da un negocio para evitarfraudes, tanto como malversación de activos como presentación deinformes financieros fraudulentos. Otros, a la vez que reconocen laimportancia del control interno para la prevención del fraude, consideranque el control interno desempeña un papel igual en asegurar el controlsobre el proceso de manufactura y otros procesos. Esas diferencias eninterpretación también existieron en las publicaciones profesionalesemitidas por el Instituto Americanos de Contadores Públicos Certificados(American Institute of Certified Public Accountants, AICPA), el Instituto deAuditores Internos (Institute of Internal Auditors, Inc.) y la fundación parala investigación del Instituto de Ejecutivos Financieros (ResearchFoundation of the Financial Executives Institute). Sólo a partir de ladécada de 1990 las diversas organizaciones profesionales trabajaron enconjunto para desarrollar un consenso sobre la naturaleza y alcance delcontrol interno.

Como resultado de un diverso número de caso de presentación deinformes financieros fraudulentos principalmente en los EE.UU. en ladécada de 1970 y principios de 1980, las organizaciones de contaduríamás importantes patrocinaron la Comisión Nacional sobre Presentación deInformes Financieros Fraudulentos (Treadway Comisión) para estudiar losfactores causales asociados con la presentación de informes financierosfraudulentos y hacer recomendaciones para reducir su incidencia. LaComisión hizo diversas recomendaciones relacionadas directamente con elcontrol interno. Por ejemplo, ésta hizo énfasis en la importancia de uncomité de auditoria competente y participativo y una función de auditoria

interna objetiva en la prevención de prácticas fraudulentas. Ésta tambiénpidió que las organizaciones patrocinadoras trabajaran unidas para

C A P Í T U L O IV



integrar los diversos conceptos y definiciones del control interno, a fin dedesarrollar criterios comunes para evaluar el control interno. Por lo tanto,el Comité de Organizaciones Patrocinadoras (Committee of SponsoringOrganizations, COSO) comisionó un estudio para:

Establecer una definición común del control interno para atender lasnecesidades de las diferentes partes.

Proporcionar una norma para que los negocios y otras entidades puedanevaluar sus sistemas de control y determinar la forma de mejorarlos.

Por lo tanto el COSO es la integración de cinco (5) organismosprofesionales: Asociación Americana de Contadores (AAA); InstitutoAmericano de Contadores Públicos Autorizados (AICPA); Instituto deEjecutivos Financieros (FEI); Instituto de Auditores Internos (IAI) y elInstituto de Contadores Gerencial (IMA). La unión de estas organizacionesadoptó el nombre de Committee of Sponsoring Organizations (COSO).Este Comité de organizaciones Patrocinadoras realizo un estudio de dos(2) años dirigido a integrar en una sola dirección el concepto de controlinterno.

Las investigaciones, encuestas y talleres realizados por COSO contaron conel apoyo de asesoría de la firma de contadores público autorizadosCoopers & Lybrand. El resultado fue la publicación de un compendio encuatro (4) volúmenes compuestos por (i) resumen ejecutivo; (ii) marcoconceptual integrado; (iii) informes de la dirección sobre el control internoa accionistas y/o partes externas; (iv) guías y manuales para la evaluaciónde los componentes del control interno.



El COSO, define el Control Interno de la siguiente manera:

La anterior definición refleja ciertos conceptos fundamentales:

El control interno es un proceso. Es un medio utilizado para laconsecución de un fin, no un fin en sí mismo. Aunque nos referimos alcontrol interno como un proceso , el control interno puede verse comouna multiplicidad de procesos. Los procesos de negocio, que se lleva acabo dentro de las unidades y funciones de la organización o entre lasmismas; se coordinan en función de los procesos de gestión básicos deplanificación, ejecución y supervisión. El control interno es parte de dichosprocesos y está integrado en ellos, permitiendo su funcionamientoadecuado y supervisado su comportamiento y aplicabilidad en cadamomento. Constituye una herramienta útil para la gestión, pero no es unsustituto de ésta.

El control interno lo llevan a cabo las personas. No se trata solamente demanuales de políticas e impresos, sino de personas en cada nivel de laorganización. Son las personas quienes establecen los objetivos de laentidad e implantan los mecanismos de control.

El control interno sólo puede aportar un grado de seguridad razonable, nola seguridad total, a la dirección y al consejo de administración de laentidad. Las posibilidades de conseguir los objetivos de la entidad, se venafectadas por las limitaciones que son inherentes a todos los sistemas decontrol interno.

El control interno está pensado para facilitar la consecución de objetivosen una o más de las diferentes categorías que al mismo tiempo sesolapan.

Finalmente, la definición de control interno es completa, en el sentido deque ésta considera el logro de objetivos en las áreas de presentación deinformes financieros, operaciones y cumplimiento de leyes y regulaciones.

INFORME COSO (1992)EL CONTROL INTERNO ES UN PROCESO, EFECTUADO POR LAJUNTA DIRECTIVA DE LA ENTIDAD, LA GERENCIA Y DEMÁSPERSONAL, DISEÑADO PARA PROPORCIONAR SEGURIDAD

RAZONABLE RELACIONADO CON EL LOGRO DE OBJETIVOS ENLAS SIGUIENTES CATEGORÍAS:

± CONFIABILIDAD EN LA PRESENTACIÓN DE INFORMESFINANCIEROS.

± EFECTIVIDAD Y EFICIENCIA DE LAS OPERACIONES.± CUMPLIMIENTO DE LAS LEYES Y REGULACIONES

APLICABLES.



Esto abarca los métodos mediante los cuales la alta gerencia delegaautoridad y designa responsabilidad para funciones como compra - venta,contabilidad y producción. El control interno incluye también el programapara preparar, verificar y distribuir en los diversos niveles de la gerenciaaquellos informes y análisis actuales que permitan a los ejecutivosconservar el control durante una diversidad de actividades y funcionesrealizadas en una empresa de gran tamaño. El uso de las técnicaspresupuéstales, las normas de producción, los laboratorios de inspección,los estudios de tiempos y movimientos y los programas de capacitación deempleados involucran ingenieros y muchas personas dedicadas aactividades muy alejadas de las actividades de contabilidad y financieras;sin embargo, todos estos mecanismos hacen parte del control interno.

Aunque el control interno está ampliamente definido, no todos loscontroles son pertinentes en una auditoria de estados financieros.Generalmente, los controles que son pertinentes en una auditoria sonaquellos relacionados con la confiabilidad de la presentación de los estadosfinancieros, es decir, aquellos que afectan la preparación de informaciónfinanciera que va ha ser presentada en informes externos. Sin embargo,puede haber otros controles pertinentes si éstos afectan la confiabilidad dela información que los auditores utilizan para realizar procedimientos deauditoria. Por ejemplo, los controles aplicables a la información nofinanciera que los auditores utilizan al realizar los procedimientos analíticoscomo estadísticas de producción, pueden ser pertinentes en una auditoria.

Los controles diseñados para salvaguardar los activos de la organizaciónson pertinentes para una auditoria si afectan la confiabilidad de lapresentación de estados financieros. Por ejemplo, los controles quelimitan al acceso a los inventarios de la compañía pueden ser pertinentespara una auditoria de estados financieros, mientras que los controles paraevitar el uso excesivo de materias en la producción generalmente no loson. Siempre que los estados financieros reflejen el costo de losmateriales utilizados, los auditores no se preocupan directamente por lasineficiencias de producción.

El concepto de control interno según SAS 78 (1995): Finalmente, elAICPA emitió las SAS 78, que enmienda a SAS 75, para incorporar losconceptos desarrollados por el COSO. La SAS 78 tiene vigencia para lasauditorias de estados financieros de ejercicios comenzados en, o despuésdel 1 de enero de 1997.

SAS 78 define el control interno de la siguiente manera:



Por su parte, la Contraloría General de la República, para efectos deAuditoria Gubernamental, define así el control interno.

Con respecto a la planeación de una auditoría y su relación con el controlinterno, la declaración SAS 78, incorpora los siguientes criterios:

4.2. COMPONENTES DEL CONTROL INTERNO

El control interno consta de cinco componentes interrelacionados que sederivan de la forma cómo la administración maneja al negocio, y estánintegrados a los procesos administrativos. Los componentes son:

(i) ambiente de control

(ii) evaluación de riesgos

(iii) actividades de control

(iv) información y comunicación

(v) vigilancia

SAS 78 (1995)EL CONTROL INTERNO ES UN PROCESO AFECTADO POR EL

CONSEJO DE DIRECTORES DE LA ENTIDAD, GERENCIA Y DEMÁSPERSONAL DESIGNADO PARA PROPORCIONAR UNA

RAZONABLE SEGURIDAD EN RELACIÓN CON EL LOGRO DE LOSOBJETIVOS DE LAS SIGUIENTES CATEGORÍAS: (A) SEGURIDAD

DE LA INFORMACIÓN FINANCIERA, (B) EFECTIVIDAD YEFICIENCIA DE LAS OPERACIONES Y (C) CUMPLIMIENTO CON

LAS LEYES Y REGULACIÓN APLICABLES .

CGR – (2001)EL CONTROL INTERNO ES UN PROCESO COMPUESTO POR UNA CADENA DE

ACCIONES EXTENDIDA A TODAS LAS ACTIVIDADES INHERENTES A LA GESTIÓN,INTEGRADAS A LOS PROCESOS BÁSICOS DE LA MISMA E INCORPORADAS A LAINFRAESTRUCTURA DE LA ORGANIZACIÓN, BAJO LA RESPONSABILIDAD DE SUCONSEJO DE ADMINISTRACIÓN Y SU MÁXIMO EJECUTIVO, LLEVANDO A CABO

POR ÉSTOS Y POR TODO EL PERSONAL DE LA MISMA, DISEÑADO CON EL OBJETODE LIMITAR LOS RIESGOS INTERNOS Y EXTERNOS QUE AFECTAN LAS

ACTIVIDADES DE LA ORGANIZACIÓN, PROPORCIONANDO UN GRADO DESEGURIDAD RAZONABLE EN EL CUMPLIMIENTO DE LOS OBJETIVOS DE EFICACIAY EFICIENCIA DE LAS OPERACIONES, DE CONFIABILIDAD DE LA INFORMACIÓNFINANCIERA Y DE CUMPLIMIENTO DE LAS LEYES, REGLAMENTOS Y POLÍTICAS,

ASÍ COMO LAS INICIATIVAS DE CALIDAD ESTABLECIDAS .



El control interno no consiste en un proceso secuencial en donde alguno delos componentes afectan solo al siguiente, sino a un procesomultidireccional repetitivo y permanente en el cual más de un componenteincluye en otro. Los cinco componentes forman un sistema integrado quereacciona dinámicamente a las condiciones cambiantes, de tal forma quedos entidades no tendrán o no deberán tener el mismo sistema de controlinterno.

Por consiguiente, los cinco componentes siguientes son criterios para eléxito del procedimiento de control interno:

Ø Ambiente de Control.- Establece el tono a seguirse dentro de laentidad, lo cual influye a la conciencia de control que tienen losempleados. Como es el elemento que establece la disciplina y laestructura, el ambiente de control sirve como cimiento para losdemás componentes del control interno.

Ø Evaluación del riesgo.- Es el proceso que debe conducir laentidad para identificar y evaluar cualquier riesgo que tengarelevancia para sus objetivos. Una vez echo esto, la gerencia debedeterminar como se manejan los riesgos.

Ø Actividades de control.- Estas son las políticas y procedimientosque ayudan a asegurar el cumplimiento de las direcciones de lagerencia.

Ø Información y comunicación.- Estos elementos claves ayudan ala gerencia a cumplir con sus responsabilidades. La gerencia debeestablecer un proceso oportuno y eficaz para la transmisión decomunicaciones.

Ø Vigilancia.- Es el proceso empleado por la entidad para evaluarlacalidad de su desempeño en materia de control interno al correr deltiempo.

4.2.1. PRIMER COMPONENTE DEL CONTROL INTERNO - AMBIENTE DE CONTROL

4.2.1.1. ASPECTOS GENERALES

El ambiente de control marca las pautas de comportamiento en unaorganización y tiene una influencia directa en el nivel de concientizacióndel personal respecto al control. Constituye la base de todos los demás



elementos del control interno, aportando disciplina y estructura. Entre losfactores que constituyen el entorno de control se encuentra la honradez,los valores éticos y la capacidad del personal; la filosofía de la dirección ysu forma de actuar, la manera en que la dirección distribuye la autoridad ylas responsabilidades y organiza y desarrolla profesionalmente a susempleados, así como la atención y orientación que proporciona el consejode administración.

El entorno de control tiene una incidencia generalizada en la estructuraciónde las actividades empresariales en el establecimiento de objetivos y en laevaluación de riesgos. Asimismo, influye en las actividades de control, lossistemas de información y comunicación y las actividades de supervisión.

Esta influencia se extiende no sólo sobre el diseño de los sistemas sinotambién sobre un funcionamiento diario. Tanto los antecedentes como lacultura de la organización inciden sobre el entorno del control. Ambosinciden en el nivel de concientización del personal respecto al control. Lasentidades sometidas a un control eficaz se esfuerzan por tener personalcompetente, inculcan en toda la organización un sentido de integridad yconcientización sobre el control y establecen una actitud positiva al nivelmás alto de la organización. En este sentido, establecen políticas yprocedimientos adecuados, a menudo con un código de conducta escrito,haciendo hincapié en los valores compartidos y el trabajo en equipo paraconseguir los objetivos de la entidad.

El ambiente de control se refiere al establecimiento de un entorno queestimule e influencie la actividad del personal con respecto al control desus actividades. Es en esencia, el principal elemento sobre el que sesustenta o actúan los otros cuatro componentes e indispensable, a su vez,para la realización de los propios objetivos de control.

El ambiente de control establece el modelo de una organización,influenciada por la conciencia de control de su gente. Es el fundamento delos otros componentes del control interno, proporcionando disciplina yestructura.

4.2.1.2. EL AMBIENTE DE CONTROL ABARCA LOS SIGUIENTES FACTORES:

Valores de integridad y ética. La eficiencia de los controles no puede estararriba de los valores de integridad y ética de la gente que los crea,administra vigila. Los valores de la integridad y ética son elementosesenciales del ambiente de control, afectando el diseño, administración y



vigilancia de los otros componentes. El comportamiento de integridad yética son el producto de la ética de la entidad, como una norma, cómoellas son comunicadas y cómo son reforzadas en la práctica. Ellas incluyenacciones de la gerencia, para remover o reducir incentivos y tendenciasque podrían comprometer al personal en actos deshonestos o ilegales.Ellos también incluyen la comunicación de los valores de la entidad ycomportamiento estándar del personal a través de declaraciones depolíticas, códigos de conducta y del ejemplo.

Ø COMPROMISOS CON LA COMPETENCIA. La competencia es elconocimiento y herramienta necesaria para completar tareas quedefinen los trabajos individuales. Los compromisos de lacompetencia incluyen consideraciones de la gerencia de niveles decompetencia para trabajos particulares y como éstos se transformanen herramientas necesarias y conocimiento.

Ø CONSEJO DE DIRECTORES O PARTICIPACIÓN DEL COMITÉ DE AUDITORÍA.La conciencia de control de una entidad, está influenciada en formaimportante, por el consejo de directores de la misma o el comité deauditoría. Los atributos para incluirlos a ambos, es suindependencia de la gerencia, la experiencia y tamaño de susmiembros, la extensión de su involucramiento y escrutinio de lasactividades, lo apropiado de sus acciones, el grado al cual laspreguntas difíciles son perseguidas por la gerencia y susintervenciones con auditores internos y externo.

Ø FILOSOFÍA DE LA GERENCIA Y SU ESTILO OPERATIVO. La filosofía de lagerencia y su estilo operativo abarcan un amplio rango decaracterísticas. Tales características pueden incluir lo siguiente:acercamiento de la gerencia para tomar y vigilar los riesgos delnegocio; actitudes y acciones de la

gerencia a través de su información financiera (selecciónconservadora o agresiva sobre los disponibles alternativosprincipios de contabilidad y conciencia y conservatismo con que sondesarrolladas las estimaciones contables); y actitudes de lagerencia a través del procesamiento de la información, funciones ypersonal contable.

Ø ESTRUCTURA ORGANIZACIONAL. Una estructura organizacional de laentidad, proporciona el marco dentro el cual sus actividades para loslogros de los objetivos globales de la entidad, son planeadas,ejecutadas, controladas y vigiladas. El establecer una importante



estructura organizacional, incluye el considerar las áreas clave deautoridad y responsabilidad y líneas apropiadas de información.Una entidad desarrolla una estructura organizacional adecuada asus necesidades. La estructura organizacional apropiada de unaentidad, depende en parte de su tamaño y la naturaleza de susactividades.

Ø ASIGNACIÓN DE AUTORIDAD Y RESPONSABILIDAD. Este factor incluyecomo la autoridad y responsabilidad de las operaciones de laentidad, son asignadas y como la información de las relaciones yautorizaciones jerárquicas, son establecidas. Igualmente incluyepolíticas relativas a prácticas de apropiación de negocios,conocimiento y experiencia del personal clave y recursosproporcionados por deberes anteriores. Además, incluye políticas ycomunicaciones dirigidas a asegurar que todo el personal entiendalos objetivos de la entidad, conocimiento de cómo sus accionesindividuales interrelacionadas contribuye a estos objetivos yreconoce como porqué serán retenidos contablemente.

Ø POLÍTICAS Y PRÁCTICAS DE RECURSOS HUMANOS. Las políticas derecursos humanos se refiere a la contratación, orientación,entrenamiento, evaluación consejo, promoción, compensación yacciones de corrección. Por ejemplo, las normas para contratar losindividuos más calificados con énfasis sobre sus antecedenteseducacionales, experiencia del trabajo anterior, logros pasados yevidencia de integridad y ética de conducta demostrando uncompromiso para la entidad de gente competente y digna deconfianza. Las políticas de entrenamiento para comunicar lospaneles prospectivos y responsabilidades e incluir una práctica, talescomo escuelas de entrenamiento y seminarios que ilustren losniveles esperados de desarrollo y conducta. Las promocionesderivadas de la apreciación del desarrollo periódico, demuestran elcompromiso para la entidad del avance de su personal calificadopara alcanzar los altos niveles de responsabilidad.

4.2.1.3. COMPRENDIENDO EL AMBIENTE DE CONTROL

Los auditores deben obtener suficiente conocimiento y las acciones de lagerencia, relacionadas con el ambiente de control. Es importante que losauditores se centren en la sustancia de los controles, en lugar de su forma.



Por ejemplo, una organización puede tener un código de conducta queprohíbe actividades carentes de ética, pero no hacerlo cumplir.

4.2.1.4. EVALUACIÓN DEL ENTORNO O AMBIENTE DE CONTROL

El auditor debe considerar cada factor del entorno a la hora de determinarsi éste es positivo. A continuación se enumeran los aspectos en que puedecentrarse la evaluación. Esta lista no es exhaustiva, ni todos los aspectosaplicables en todas las entidades. Sin embargo, puede servir de punto departida. Si bien algunos de los temas planteados son altamente subjetivosy obligan a que formule una opinión subjetiva, generalmente inciden deforma significativa en la eficacia del entorno del control.

4.2.1.5. INTEGRIDAD Y VALORES ÉTICOS

La existencia e implantación de los códigos de conducta u otras políticasrelacionadas con las prácticas profesionales aceptables, incompatibilidadeso pautas esperadas de comportamiento ético y moral.

La forma en que se llevan a cabo las negociaciones con empleados,proveedores, clientes, inversores, acreedores, aseguradores, competidoresy auditores (por ejemplo, sí la dirección lleva a cabo sus actividadesempresariales con un alto nivel ético e insiste que los demás hagan lomismo, o presta poca atención a los temas éticos).

La presión para alcanzar objetivos de rendimiento poco realistas, sobretodo en cuanto a los resultados a corto plazo y en qué medida laremuneración está basada en la consecución dichos objetivos.

4.2.1.6. COMPROMISO DE COMPETENCIA PROFESIONAL

La existencia de descripciones de puestos de trabajo formal e informal uotras formas de definir las tareas que componen trabajos específicos.

El análisis de los conocimientos y habilidades necesario para llevar a caboel trabajo adecuadamente.



4.2.1.7. CONSEJO DE ADMINISTRACIÓN

La independencia de los consejeros de forma que se sometan a discusiónabierta incluso los temas más difíciles.

La frecuencia y oportunidad de las reuniones con el directo financiero y/ocontable, auditores internos y externos.

La suficiencia y oportunidad en que se facilite información a los miembrosdel consejo que permita supervisar los objetivos y estrategias, la situaciónfinanciera, así como los resultados de explotación de la entidad y lascondiciones de los acuerdos significativos.

La suficiencia y oportunidad con que se comunican al consejo lainformación confidencia, los datos sobre investigaciones realizadas y lasactuaciones incorrectas (por ejemplo, gastos de viaje de altos directivos,litigios significativos, investigaciones por parte de las autoridadescompetentes, desfalcos, malversación de fondos o uso incorrecto de losactivos de la sociedad, abusos de información privilegiada, pagos ilegales,etc.).

4.2.1.8. LA FILOSOFÍA DE LA DIRECCIÓN Y EL ESTILO DE LA GESTIÓN

La naturaleza de los riesgos empresariales aceptados, por ejemplo siparticipa la dirección a menudo en operaciones de alto riesgo oextremadamente prudente a la hora de aceptar riesgos.

La frecuencia con que llevan a cabo los contados entre la alta dirección y ladirección operativa, sobre todo cuando están ubicadas en zonasgeográficas diferentes.

Las actitudes y actuaciones de la dirección respecto a la presentación deinformación financiera, incluyendo las discusiones acerca de la aplicaciónde los tratamientos contables (por ejemplo, elección de políticas contablesprudentes o arriesgadas, sí las políticas contables han sidoincorrectamente aplicados o se han excluido información financieraimportante, o sí los registros han sido manipulados o falsificados).



4.2.1.9. ESTRUCTURA ORGANIZATIVA

La idoneidad de la estructura organizativa de la entidad y su capacidadpara proporcionar el flujo de información necesario para gestionar susactividades.

La suficiencia de la definición de las responsabilidades de los directivosclave y su conocimiento de las mismas.

La suficiencia de los conocimientos y experiencia de los directivos claveteniendo en cuenta las responsabilidades.

4.2.1.10. ASIGNACIÓN DE AUTORIDAD Y RESPONSABILIDAD

La asignación de responsabilidad y delegación de autoridad para hacerfrente a las metas y objetivos organizativos, funciones operativas yrequisitos reguladores, incluyendo la responsabilidad en cuanto a lossistemas de información y la autorización de los cambios.

La suficiencia de las normas y procedimientos relacionados con el control,incluyendo las descripciones de puesto de trabajo.

El número de personas adecuado, sobre todo en la relación con lasfunciones de proceso de datos y contabilidad, respecto al nivel necesario,teniendo en cuenta el tamaño de la entidad así como la naturaleza y lacomplejidad de sus actividades y sistemas.

4.2.1.11. POLÍTICAS Y PRÁCTICAS DE RECURSOS HUMANOS

La medida en que están vigentes las políticas y procedimientos adecuadospara la contratación, formación, promoción y remuneraciones de losempleados.

La suficiencia de las acciones disciplinarias tomadas como respuesta a lasdesviaciones de las políticas y procedimientos aprobados.

La idoneidad de la revisión de los expedientes de los candidatos a puestosde trabajo, sobre todo en relación con acciones o actividades no admitidasen el seno de la entidad.



La idoneidad de los criterios para retener y promocionar a los empleadosde las técnicas de recogida de datos sobre el personal (por ejemplo, lasevaluaciones del rendimiento) y su relación con el código de conducta uotras pautas de comportamiento.

4.2.2. SEGUNDO COMPONENTE DEL CONTROL INTERNO - EVALUACIÓN DEL

RIESGO


Toda la entidad debe hacer frente a una serie de riesgos tanto de origeninterno como externo que deben evaluarse. Una condición previa a laevaluación de los riesgos es establecimiento de objetivos en cada nivel deorganización que sean coherentes entre sí. La evaluación del riesgoconsiste en la identificación y análisis de los factores que podrían afectar laconsecución de los objetivos y, en base a dicho análisis, determinar laforma en que los riesgos deben ser gestionados. Debido a que lascondiciones económicas, industriales, normativas y operacionales semodifican de forma continua, se necesitan mecanismos para identificar yhacer frente a los riesgos especiales asociados con el cambio.

Todas las empresas, independientes de su tamaño, estructura, naturalezao sector al que pertenecen, se encuentran con riesgos en todos los nivelesde su organización. Los riesgos afectan la habilidad de cada entidad parasobrevivir, competir con éxito dentro de su sector, mantener una posiciónfinanciera fuerte y una imagen pública positiva así como la calidad globalde sus productos, servicios y empleados. No existe ninguna formapráctica de reducir el riesgo a cero. De hecho, el riesgo es inherente a losnegocios. La dirección debe determinar cuál es el nivel de riesgo que seconsidera aceptable y esforzarse para mantenerlo dentro de los límitesmarcados.

El establecimiento de los objetivos es una condición previa a la evaluaciónde los riesgos. La dirección debe fijar primero los objetivos antes deidentificar los riesgos que pueden tener un impacto sobre su consecución ytomar las medidas oportunas. Por tanto, el establecimiento de unosobjetivos es una fase clave de procesos de gestión. Si bien no constituyeun componente del control interno, es un requisito previo que permitegarantizar el funcionamiento del mismo.



La evaluación de los riesgos involucra la identificación y análisis de riesgosrelevantes para el logro de objetivos y la base para determinar la forma enque tales riesgos deben ser manejados. Asimismo, se refiere a losmecanismos necesarios para identificar y manejar riesgos específicosasociados con los cambios, tanto de aquellos que influyen en el entorno dela organización como en el interior de la entidad.

En esta línea, es indispensable el establecimiento de objetivos tanto denivel global de la organización como al de actividades relevantes,obteniendo con ellos una base sobre la cual sean identificados y analizadoslos factores de riesgo que amenazan su oportuno cumplimiento.

La evaluación de riesgos debe ser una responsabilidad ineludible paratodos los niveles que están involucrados en el logro de objetivos.Pensamos que esta actividad de auto-evaluación debe ser revisada por losauditores para asegurarnos que tanto el objetivo, enfoque, alcance yprocedimientos han sido apropiadamente llevados a cabo.

4.2.2.2. OBJETIVOS

La importancia que tiene este aspecto en cualquier organización,representa la orientación básica de todos sus recursos esfuerzos yproporciona una base sólida para un control interno efectivo. El estudiodel COSO propone una categorización que pretende unificar los puntos devista al respecto. Tales categorías son las siguientes:

(i) objetivos de operación, son aquellos relacionados con la efectividady eficacia de las operaciones de la organización;

(ii) objetivos de información financiera, se refieren a la obtención deinformación financiera confiable,

(iii) objetivos de cumplimiento, están dirigidos a la adherencia a leyes yreglamentos federales o estatales, así como también a las políticasemitidas por la gerencia.

4.2.2.3. RIESGOS

El proceso mediante el cual se identifica, analizan y se manejan los riesgosforman parte importante de un sistema de control efectivo. Para ello laorganización debe establecer un proceso suficientemente amplio que tomeen cuenta sus interacciones más importantes entre todas las áreas y de



estas con el exterior. Desde luego los riesgos a nivel global incluyen nosólo factores externos sino también internos (por ejemplo; Interrupción deun sistema de procesamiento de información, calidad del personal, etc.).

Los riesgos a nivel de actividades también deben ser identificados,ayudando con ello a administrar los riesgos en las áreas o funcionales másimportantes. Desde luego las causas de riesgos en este nivel pertenecen aun rango amplio que va desde lo obvio hasta lo complejo y con distintosgrados de significación.

El análisis de riesgos y su proceso, sin importar la metodología enparticular, debe incluir la estimación de la significación del riesgo y susefectos, evaluación de la probabilidad de ocurrencia, establecimiento deacciones y controles necesarios.

4.2.2.4. MANEJO DE CAMBIOS

Este elemento resulta de vital importancia debido a que esta enfocado a laidentificación de los cambios que pueden influir en la efectividad de loscontroles internos. Tales cambios son importantes, ya que los controlesdiseñados bajo ciertas condiciones pueden no funcionar apropiadamenteen otras. De lo anterior se deriva la necesidad de contar con un procesoque identifique las condiciones que puedan tener un efecto desfavorablesobre los controles internos y la seguridad razonable de que los objetivossean logrados.

4.2.2.5. VALORACIÓN DE RIESGO

Una valoración del riesgo de una entidad, para propósitos de informaciónfinanciera, es su identificación, análisis y manejo de los riesgosimportantes, para la preparación de los estados financieros, que esténpresentados razonablemente de conformidad con principios de contabilidadgeneralmente aceptados. Por ejemplo, la valoración del riesgo puedeidentificar y analizar importantes estimaciones registradas en los estadosfinancieros. Los riesgos importantes para una información financieraconfiable, igualmente se refieren a eventos específicos u operaciones.

Los riesgos en la información financiera, incluyen eventos externos einternos y circunstancias que pueden ocurrir y afectar adversamente lahabilidad de la entidad para registrar, procesar, resumir y reportar lainformación financiera, consistente con las afirmaciones de la gerencia, en



los estados financieros. Una vez que los riesgos son identificados, lagerencia considera su importancia, la probabilidad de su ocurrencia, ycómo deberán ser manejados. La gerencia puede iniciar planes,programas o acciones para identificar los riesgos específicos o para decidira aceptar un riesgo, por el costo u otras consideraciones. Los riesgospueden sugerir o cambiar, debido a las circunstancias tales como lassiguientes.

Ø Cambios en el ambiente operacional. Cambios en el ambienteregulatorio u operacional, pueden resultar en cambios enpresiones competitivas e importantes y diferentes riesgos.

Ø Nuevo personal. Un nuevo personal puede tener un diferenteenfoque sobre o entendimiento del control interno.

Ø Nuevos sistemas reorganizados de información. Cambiosimportantes y rápidos en el sistema de información puedencambiar el riesgo relativo al control interno.

Ø Rápido crecimiento. Una importante y rápida expansión de lasoperaciones, pueden agotar a los controles y aumentar elriesgo de un rompimiento en los mismos.

Ø Nuevas tecnologías. Incorporar nuevas tecnologías dentro elproceso productivo o sistemas de información, pueden cambiarel riesgo asociado con el control interno.

Ø Nuevas líneas, productos o actividades. Dentro de las áreas denegocios u operaciones con las cuales la entidad tiene pocaexperiencia, puede introducir nuevos riesgos asociados con elcontrol interno.

Ø Reestructuración de la Corporación. Las reestructuracionespueden venir acompañadas por reducciones del personal ycambios en la supervisión o segregación de deberes, quepuedan cambiar el riesgo asociados con el control interno.

Ø Operaciones extranjeras. La expansión o adquisición deoperaciones extranjeras acarrea una nueva y única frecuenciade riesgos, que pueden impactar al control interno; porejemplo, riesgos adicionales o cambios en ellos,correspondiente a operaciones de moneda extranjera.



Ø Pronunciamiento de contabilidad. Adopción de nuevosprincipios de contabilidad o cambios de los mismos, puedenafectar los riesgos en la preparación de estados financieros.

4.2.2.6. COMPRENDIENDO LA EVALUACIÓN DEL RIESGO

Evaluación del riesgo. Los auditores deben obtener suficienteconocimiento del proceso de evaluación del riesgo llevando a cabo por elcliente, para conocer la forma como la gerencia examina las amenazaspara satisfacer los objetivos de presentación de informes financieros,estima su importancia, evalúa la probabilidad de su ocurrencia y decidesobre acciones para considerar riesgos.

Ello implica que el auditor debe comprender como el cliente detecta losriesgos relacionados con errores que pueden afectar a transacciones, actoso saldos. Por ejemplo, si el cliente recibe una cantidad importante dedevoluciones, el auditor debe comprender como el cliente identifica lodevuelto y otros riesgos de revelación de información financiera y como semanejan estos riesgos para que los estados financieros no tengan erroresde importancia.

4.2.2.7. EVALUACIÓN DE LOS RIESGOS

El auditor ha de concentrarse en el proceso por parte de la dirección, defijación de objetivos, de análisis de los riesgos y gestión de cambios,incluyendo sus vinculaciones y su relevancia para las actividades delnegocio. Se ofrece a continuación una lista de factores que la personaencargada de la evaluación puede tener en cuenta. No es exhaustiva y notodos los factores resultarán aplicables a todas las empresas, sin embargo,puede servir como punto de partida.

4.2.2.7.1. OBJETIVOS GLOBALES

Hasta qué punto los objetivos de la empresa expresan clara ycompletamente lo que la entidad desea conseguir y la forma en que prevéconseguirlo teniendo en cuenta sus particularidades.

La eficacia con que los objetivos globales de la entidad se comunican alpersonal y al consejo de administración.

Vinculación y coherencia de las estrategias con los objetivos globales de laentidad.



Coherencia de los planes de negocios y presupuestos con los objetivos dela entidad, los planes estratégicos y las circunstancias.

4.2.2.7.2. OBJETIVOS ASIGNADOS A CADA ACTIVIDAD

Conexión de los objetivos asignados a cada actividad con los objetivosglobales y planes estratégicos de la entidad.

Coherencia entre los objetivos asignados a cada actividad.

Relevancia de dichos objetivos para todos los procesos empresarialesimportantes.

Características específicas de los objetivos asignados a cada actividad enrelación con las características de la misma.

Idoneidad de los recursos en relación con los objetivos.

Identificación de los objetivos de cada actividad que son importantes(factores críticos de éxito) para la concesión de los objetivos generales.

Participación en la determinación de objetivos de los funcionarios queocupan puestos de responsabilidad a todos los niveles, y grado decompromiso con la consecución de los mismos.

Ø RIESGOS

Idoneidad de los mecanismos para identificar los riesgos externos.

Idoneidad de los mecanismos para identificar los riesgos de origen interno.

Identificación de todos los riesgos importantes que pueden impactar sobrecada objetivo relevante establecido para distintas actividades.

Integridad y relevancia del proceso de análisis de los riesgos incluyendo laestimación de la importancia de los riesgos, la probabilidad de que sematerialicen y la determinación de las acciones oportunas.

Ø GESTIÓN DEL CAMBIO

Existencia de mecanismos para prever, identificar y reaccionar antes losacontecimientos y actividades rutinarios que influyen en la consecución delos objetivos globales o específicos (normalmente establecidos por los



responsables de las actividades que se verían más perjudicadas por talescambios).

Existencia de mecanismos para identificar y reaccionar ante los cambiosque pueden afectar a la entidad de una forma más dramática y duradera,y que pueden requerir la intervención de la alta dirección.

4.2.3. TERCER COMPONENTE DEL CONTROL INTERNO - ACTIVIDADES DE

CONTROL


Consisten en las políticas y los procedimientos que tienden a asegurar quese cumplan las directrices de la dirección. También tienden a asegurarque se tomen las medias necesarias para afrontar los riesgos que ponenen peligro la consecución de los objetivos de la entidad. Las actividadesde control se llevan acabo en cualquier parte de la organización, en todossus noveles y todas sus funciones y comprenden una serie de actividadestan diferentes como pueden ser aprobaciones y autorizaciones,verificaciones, conciliaciones, el análisis de los resultados de lasoperaciones, la salvaguarda de activos y la segregación de funciones.

Las actividades de control son todas aquellas que realiza la gerencia ydemás personal de la organización para cumplir diariamente conactividades asignadas. Estas actividades están relacionadas (ocontenidas) en las políticas, sistemas y

procedimientos principalmente. Ejemplo de estas actividades son las deaprobación, verificación, conciliación, inspección, revisión de indicadoresde rendimientos, etc. También la salvaguarda de los recursos, lasegregación de funciones, la supervisión y entrenamientos adecuados, etc.Las actividades de control tienen distintas características, pueden sermanuales o computarizadas, gerenciales u operacionales, generales oespecíficas, preventivas o posteriores. Sin embargo, lo trascendente esque sin importar su categoría o tipo, todas ellas están apuntando hacia losriesgos (reales o potenciales) en beneficio de la organización, su emisión yobjetivo, así como a la protección de los recursos. Las actividades decontrol son importantes no solo porque en sí mismas implican la formacorrecta de hacer las cosas, sino debido a que son el medio idóneo de

asegurar en mayor grado el logro de los objetivos y esto sí que tienemayor relevancia que hacer las cosas correctamente .



4.2.3.2. LAS ACTIVIDADES DE CONTROL SEGÚN SAS - 78

Las actividades de control son las políticas y procedimientos que ayudan aasegurar que las actividades de la gerencia, se estén llevando a cabo.Ellas ayudan a asegurar que las acciones de la gerencia, son tomadas paradirigir los riesgos, para la realización de los objetivos de la entidad. Elcontrol de actividades tiene varios objetivos y éstos son aplicados a variosniveles organizacionales y funcionales. Generalmente, las actividades decontrol que pudieran ser importantes para una entidad, pueden sercatalogadas como políticas y procedimientos que corresponden a losiguiente:

Ø Realización de revisiones. Estas actividades de controlincluyen revisiones del desarrollo anual, comparado con lospresupuestos, pronósticos y realización del periodo anterior;relacionadas a diferentes juegos de información operacionalo financiera de uno a otro, junto con análisis de lasrelaciones, investigaciones y acciones correctivas; y revisióndel desarrollo de funciones o actividades, tales como un bancooperador de préstamos, revisión de un gerente de informeselaborados por la sucursal, región y tipo de préstamo para lasaprobaciones y cobranzas de los mismos.

Ø Proceso de la información. Una variedad de controles se harealizado para verificar la exactitud, terminación y autorizaciónde las operaciones. Los dos amplios grupos de sistemas deinformación para las actividades de control, son controlesgenerales y aplicación de controles. Los controles generalescomúnmente incluyen controles sobre información del centrode operaciones, sistemas de adquisición y mantenimiento deequipo de cómputo (software), seguridad de acceso y sistemade aplicación de desarrollo y mantenimiento. Estos controlesse aplican a la computadora central, mini computadoras yusuarios finales del medio ambiente. La aplicación de loscontroles es un medio para el procesamiento de aplicacionesindividuales. Estos controles ayudan a asegurar que lasoperaciones son correctas, que están propiamente autorizadasy procesadas completa y correctamente.

Ø Controles físicos. Estas actividades comprenden la seguridadfísica de que los activos, incluyen su salvaguarda adecuada, talcomo la seguridad de las instalaciones, el acceso a losprogramas de la computadora y los archivos de información; y



conteo periódico y comparación con las cantidades mostradasen los registros de control. La extensión a la cual los controlesfísicos intentan prevenir robos de activos, es importante parala seguridad de la preparación de los estados financieros y porlo tanto, la auditoría, la cual depende de las circunstancias yen mucho de que los activos estén altamente susceptibles desustracciones. Por ejemplo, estos controles podríanordinariamente no ser importantes, cuando cualquier pérdidaen inventarios sea detectada, al llevar a cabo las inspeccionesfísicas periódicas y éstas sean registradas en los estadosfinancieros. Sin embargo, si para propósitos de informaciónfinanciera, la gerencia depende solamente de los registros delos inventarios perpetuos, los controles de seguridad física,podrían ser importantes para la auditoría.

Ø Segregación de deberes. El asignar a diferentes personas laresponsabilidad de autorizar las operaciones, registro de lasmismas y mantener la custodia de los activos, es con laintención de reducir la oportunidad de permitir que cualquierpersona esté en una posición de cometer y ocultar errores oirregularidades, en el curso normal de sus deberes.

4.2.3.3. COMPRENDIENDO LAS ACTIVIDADES DE CONTROL

A la vez que se obtiene una comprensión de otros componentes del controlinterno (el ambiente, la evaluación del riesgo el sistema de informacióncontable y de comunicación y el monitoreo o vigilancia), los auditoresgeneralmente obtienen algún conocimiento sobre las actividades de controldel cliente.

Por ejemplo, al conocer documentos relacionados con las transacciones deefectivo, es probable que los auditores descubran si las cuentas bancariasestán conciliadas o no. Las necesidades de que los auditores dediquenatención adicional al conocer las demás actividades de control dependende las circunstancias del trabajo. Ello implica que el auditor debecomprender las actividades de control para que pueda asegurar que secumplen razonablemente los objetivos de la gerencia en cuanto a larevelación de información financiera y las actividades de controlconciernen a:

(a) la revisión del desempeño,



(b) el procesamiento de información,

(c) los controles físicos,

(d) la separación de funciones.

SAS - 55 nota que comúnmente, el planeamiento del trabajo no requiereentender las actividades de control relacionadas con cada saldo de cuenta,clase de transacción, o revelación de los estados financieros o conafirmaciones que tienen relevancia para cada uno de estos elementos .

4.2.3.4. EVALUACIÓN DE LAS ACTIVIDADES DE CONTROL

Las actividades de control tienen que evaluarse en el contexto de lasdirectrices establecidas por la dirección para afrontar los riesgosrelacionados con los objetivos de cada actividad importante. Laevaluación, por lo tanto, tendrá en cuenta si las actividades de controlestán relacionadas con el proceso de evaluación de riesgos y si sonapropiadas para asegurar que las directrices de la dirección se cumplen.Dicha evaluación se efectuará para cada actividad importante, incluidos loscontroles generales de los sistemas informáticos (se trata de cada una delas actividades identificadas al analizar el proceso de evaluación deriesgos). Las personas encargadas de efectuar la evaluación de controlempleadas son relevantes en base al proceso de evaluación de riesgosrealizado, sino también si se aplican de manera correcta.

4.2.4. CUARTO COMPONENTE DEL CONTROL INTERNO - INFORMACIÓN Y

COMUNICACIÓN


Es necesario identificar, recoger y comunicar la información relevante deun modo y un plazo tal que permitan a cada uno asumir susresponsabilidades. Los sistemas de información generan informes, querecogen información operacional, financiera y la correspondiente alcumplimiento, que posibilitan la dirección y control del negocio. Dichosinformes contemplan, sólo, los datos generados internamente, sinotambién información sobre incidencias, actividades y condiciones externas,necesarias para la toma de decisiones y para formular informesfinancieros. Por otra parte, se debe establecer una comunicación eficaz en



el sentido más amplio, la cual implica una circulación multidireccional de lainformación, es decir ascendente, descendente y transversal. La direccióndebe transmitir un mensaje claro a todo el personal sobre la importanciade las responsabilidades de cada uno en materia de control. Losempleados deben comprender el papel que deben desempeñar dentro delsistema de control interno, así como la relación existente entre lasactividades propias y las de los demás empleados.

El personal deberá disponer de un sistema para comunicar informaciónimportante a los niveles superiores de la empresa. Asimismo, es necesariauna comunicación eficaz con terceros, tales como los clientes, losproveedores, los organismos de control y los accionistas.

4.2.4.2. INFORMACIÓN

Información tanto general internamente como aquello que se refiere aeventos acontecidos en el exterior, es también parte esencial de la tomade decisiones, así como del seguimiento de las operaciones. Lainformación cumple distintos propósitos a diferentes niveles.

(i) Sistemas integrados a la estructura

No hay duda que los sistemas están integrados o entrelazados con lasoperaciones. Sin embargo, se observa una tendencia a que estos debenapoyar de manera contundente la implantación de estrategias. Lossistemas de información, como un elemento de control, se encuentranestrechamente ligados a los procesos de planeación estratégica yconstituyen un factor de éxito en muchas organizaciones.

(ii) Sistemas integrados a las operaciones

Los sistemas se constituyen en medios efectivos para la realización de lasactividades de la empresa. Desde luego el grado de complejidad varíasegún el caso y se observa que cada día están más integrados con lasestructuras o sistema de organización.

(iii) La calidad de la información

Esto es tan trascendente que constituye un activo, un medio y hasta unaventaja competitiva en todas las organizaciones importantes, ya que estáasociada a la capacidad gerencial de las empresas. La información paraactuar como medio efectivo de control, requiere de una cantidad



importante de recursos y características de relevancia en su contenido,oportunidad, actualización, exactitud y accesibilidad.

4.2.4.3. COMUNICACIÓN

Al respecto también es claro que debe existir adecuados canales para queel personal conozca sus responsabilidades sobre el control de susactividades. Estos canales deben comunicar los aspectos más relevantesdel sistema de control interno y la información indispensable para losgerentes, así como los hechos críticos. También los canales decomunicación entre la gerencia y el consejo de administración o loscomités son de vital importancia. En relación con los canales decomunicación con el exterior, estos son el medio a través del cual seobtiene o proporciona información relativa a clientes, proveedores,contratistas, entre otros, asimismo, son necesarios para proporcionarinformación a las entidades reguladoras sobre las operaciones de laempresa e inclusive el funcionamiento de sus sistemas de control.

4.2.4.4. INFORMACIÓN Y COMUNICACIÓN SEGÚN SAS – 78

El sistema de información importante para los objetivos de informaciónfinanciera, que incluye el sistema de contabilidad, consiste en métodos yregistros establecidos para la contabilización, proceso, resumen e informede las operaciones de la entidad (así como de eventos y condiciones) ypara mantener contablemente los relativos activos, pasivos e inversión delos accionistas. La calidad del sistema generado de información, afecta lahabilidad de la gerencia para la toma de decisiones apropiadas en elmanejo y control de las actividades de la entidad y para preparar informesfinancieros confiables.

Un sistema de información abarca métodos y registros que:

Ø Identifica y registra todas las operaciones ocurridas.

Ø Describe, sobre base de tiempo, las operaciones con suficientedetalle, para permitir la apropiada clasificación de las mismas,para efecto de información financiera.

Ø Mide el valor de las operaciones de una manera que permita elregistro en de los estados financieros en su propia moneda.



Ø Determina el tiempo o periodo en el cual las operacionesocurrieron, para el registro de las mismas en la fechaapropiada.

Ø Presenta correctamente las operaciones en los estadosfinancieros y las revelaciones relativas.

La comunicación incluye el proporcionar un entendimiento de los papelesindividuales y responsabilidades correspondientes al control interno sobrela información. Incluye la extensión para cualquier persona que entiendacomo sus actividades en el sistema de información financiera, se relacionacon el trabajo de otros y significado de las excepciones de la información yalto nivel, dentro de la entidad. Unos canales abiertos de comunicaciónayudan a asegurarse de que las excepciones fueron informadas ycorregidas.

La comunicación toma tales formas como manuales de política interna,contabilidad, de información financiera y de memoranda. La comunicaciónpuede hacerse oralmente y a través de acciones de la gerencia.

4.2.4.5. COMPRENDIENDO LA INFORMACIÓN Y COMUNICACIÓN

El auditor debe comprender este componente para poder lograr losiguiente:

Ø Comprender las clases de transacciones de las operaciones de laempresa que son importantes para los estados financieros.

Ø Comprender como se inician estas transacciones.

Ø Comprender los registros contables, los documentos empleados, lainformación leída y transmitida por máquinas, y las cuentasespecíficas de los estados financieros que tiene que ver con elprocesar y reportar transacciones.

Ø Comprender el proceso contable desde el inicio de una transacciónhasta que se le incluye en los estados financieros, incluyendo comose emplea la computadora en este proceso.

Ø Comprender el proceso de preparación y presentación de informes,incluyendo los estimados contables y revelaciones.

Ø Finalmente, el auditor tiene que llegar a entender como el clientecomunica al personal correspondiente las funciones y



responsabilidades y los asuntos importantes relacionados con larevelación de información financiera.

Por lo tanto, para entender el sistema de información contables, losauditores deben entender primero los tipos de transacciones en los cualescomprometida la entidad. Luego los auditores deben familiarizarse con eltratamiento de esas transacciones, incluidos la forma como sonprocesadas. Finalmente los auditores deben entender el proceso depresentación de informes financieros utilizado para preparar los estadosfinancieros, incluidos los enfoques empleados para desarrollar lasestimaciones de contabilidad.

Al obtener una comprensión del sistema de información de contabilidad delcliente y las actividades de control relacionadas, generalmente losauditores encuentran útil dividir el sistema global en sus ciclos detransacción más importantes. El término ciclo de transacción se refiere alas políticas y a la secuencia de procesamientos para procesar un tipoparticular de transacción. Por ejemplo, el sistema de contabilidad en unnegocio manufacturero podría estar subdividido en los siguientes grandesciclos de transacciones:

Ø Ciclo de recaudos (o ventas o cobros): incluye los pedidos y políticaspara la obtención de pedidos de los clientes, la aprobación decrédito, el despacho de mercancía, la preparación de facturas deventa (facturación), registro de ingreso y de las cuentas por cobrar yel manejo y registro de entradas de efectivo.

Ø Ciclo de adquisición (o comprar y desembolso): incluye losprocedimientos y las políticas de compra de inventario, otros activosy servicios; asignación de órdenes de compra, inspección de losbienes a su llegada y preparación de informes de recibo; registro deobligaciones con vendedores o distribuidores; autorización de pago,realización y registro de desembolsos de efectivo.

Ø Ciclo de conversión (producción): incluye los procedimientos y laspolíticas para almacenar materiales y las políticas para almacenarmateriales, situar materiales en el lugar de la producción asignarcostos de producción a los inventarios y explicar el costo de losbienes vendidos.

Ø Ciclo de nómina: incluye procedimientos y política para contratar,terminar y determinar tasas de pago; el control del tiempo; elcálculo de la nómina bruta, los impuestos de nómina y los montos



retenidos del pago bruto; el mantenimiento de los registros denómina y la preparación y distribución de los cheques de pago.

Ø Ciclo de financiación: incluye los procedimientos y las políticas paraautorizar, ejecutar y registrar transacciones que comprendenpréstamos bancarios, arriendos financieros, bonos por pagar yacciones de capital.

Ø Ciclo de inversión: incluye los procedimientos y las políticas paraautorizar, ejecutar y registrar transacciones que comprendeninversiones en activos fijos y en títulos valores.

Los ciclos de transacciones para la compañía particular dependen de lanaturaleza de las actividades de negocios de la compañía. Un banco, porejemplo, no tiene un ciclo de producción, pero tiene un ciclo de préstamosy un ciclo de depósitos a la vista. Además, diferentes auditores puedenelegir definiciones diferentes de los ciclos de transacción de una compañíadeterminada. Por ejemplo, el ciclo de ventas y cobros pueden definirsealternativamente como dos ciclos de transacciones separadas para:

1) el procesamiento y registro de ventas a crédito

2) el manejo y registro de los ingresos de efectivo.

El punto importante que deben reconocerse es que la división del controlinterno en ciclos de transacciones permite al auditor centrarse en loscontroles que afectan la confiabilidad de las afirmaciones sobre cuentasespecíficas en los estados financieros.

4.2.4.6. EVALUACIÓN DE LA INFORMACIÓN Y COMUNICACIÓN

El evaluador deberá considerar la adecuación de los sistemas deinformación y la comunicación a las necesidades de la entidad. Acontinuación se relacionan algunos aspectos posibles a considerar. Todoslos conceptos no serán de aplicación a todas las entidades. Sin embargo,pueden servir de base de referencia.

4.2.4.6.1. INFORMACIÓN

La obtención de información externa y interna y el suministro a ladirección de los informes necesarios sobre la actuación de la entidad enrelación a los objetivos establecidos.



El suministro de la información a las personas adecuadas, con él suficientedetalle y oportunidad, permitiéndoles cumplir con sus responsabilidades deforma eficaz y eficiente.

El desarrollo o revisión de los sistemas de información, basado en un planestratégico para los sistemas de información (vinculado a la estrategiaglobal de la entidad) al efecto de lograr tanto los objetivos generales de laentidad como los de cada actividad.

El apoyo de la dirección al desarrollo del sistema de información necesariasse pone de manifiesto en la aportación de los recursos adecuados, tantohumanos como financieros.

4.2.4.6.2. COMUNICACIÓN

La comunicación eficaz al personal, de sus funciones y responsabilidadesde control.

El establecimiento de líneas de comunicación para la denuncia de posiblesactivos indebidos.

La sensibilidad de la dirección a las personas de personal respecto deformas de mejorar la productividad, la calidad, etc.

La adecuación de la comunicación horizontal (por ejemplo, entre las áreasde compras y producción) y la integridad y oportunidad de la información,así como si ésta resulta suficiente para que los empleados puedan cumplircon sus responsabilidades adecuadamente.

El nivel de apertura y eficacia en las líneas de comunicación con clientes,proveedores y otros terceros para la captación de información sobre lasnecesidades cambiantes de los clientes.

El nivel de comunicación a terceros de las normas éticas de la entidad.

La realización oportuna y adecuada del seguimiento por parte de ladirección de las informaciones obtenidas de clientes, suministradores,organismos de control y otros terceros.



4.2.5. QUINTO COMPONENTE DEL CONTROL INTERNO - VIGILANCIA


Resulta necesarios realizar una supervisón de los sistemas de controlinterno, evaluando la calidad de su rendimiento. Dicho seguimientotomará la forma de actividades de supervisión continuada, de evaluacionesperiódicas o una combinación de los anteriores. La supervisión continuadase inscribe en el marco de las actividades corrientes y comprende unoscontroles regulares efectuados por la dirección, así como determinadastareas que realiza el personal en el cumplimiento de sus funciones.

El alcance y la frecuencia de las evaluaciones puntuales se determinaránprincipalmente en función de una evaluación de riesgos y de la eficacia delos procedimientos de supervisión continuada. Las deficiencias en elsistema de control interno, en su caso, deberán ser puestas enconocimiento de la gerencia y los asuntos de importancia seráncomunicados al primer nivel directivo y al consejo de administración.

Los sistemas de control interno y en ocasiones, la forma en que loscontroles se aplican, evolucionan con el tiempo, por lo que procedimientosque eran eficaces en un momento dado, pueden perder su eficacia o dejarde aplicarse. Las causas pueden ser incorporación de nuevos empleados,defectos en la formación y supervisión, restricciones de tiempo - recursosy presiones adicionales. Así mismo, las circunstancias en base a las cualesse configuró el sistema de control interno en un principio también puedencambiar, reduciendo su capacidad de advertir de los riesgos originados porlas nuevas circunstancias. En consecuencia, la dirección tendrá quedeterminar si el sistema de control interno es en todo momento adecuadoy su capacidad de asimilar los nuevos riesgos.

En general los sistemas de control están diseñados para operar endeterminadas circunstancias, tomando en consideración los objetivos, losriesgos y las limitaciones inherentes al control, sin embargo, lascondiciones evolucionan debido tanto a factores externos como internos,provocando con ellos que los controles pierdan eficacia. Como resultadotenemos que la gerencia debe llevar a cabo una reversión y evaluaciónsistemática de los componentes y elementos que forman parte de lossistemas de control, dependiendo de las condiciones específicas de cadaorganización, de los distintos niveles de riego existentes y del grado deefectividad mostrado por los distintos componentes y elementos de



control. La evaluación debe conducir a la identificación de los controlesdébiles, insuficientes o necesarios, para promover con el apoyo decidido dela gerencia, su reforzamiento e implantación, pudiendo llevarse a cabo detres formas:

(i) durante la realización de las actividades diarias en los distintosniveles de la organización;

(ii) de manera separada por el personal que no es el responsabledirecto de la ejecución de las actividades (incluidas las de control)

(iii) mediante la combinación de las formas anteriores, siendonecesario que el auditor participe en este proceso, en virtud delos conocimientos y experiencia que tiene en este campo.

La supervisión de las actividades diarias permite observar si efectivamentelos objetivos de control se están cumpliendo y si los riegos se estánconsiderando adecuadamente. Los niveles de supervisión juegan un papelimportante al respecto, ya que aquellos son quienes deben concluir si elsistema de control es efectivo o ha dejado de serlo tomando las accionesde corrección o mejoramiento que el caso exige.

4.2.5.2. VIGILANCIA SEGÚN SAS -78

Una responsabilidad importante de la gerencia, es establecer y mantenerel control interno. La gerencia vigila los controles para considerar si estánoperando como se estableció y que están modificados en forma apropiada,para los cambios en las condiciones.

La vigilancia es un proceso que valora la calidad del control interno,desarrollado sobre el tiempo. Esto involucra la valoración del diseño yoperación de los controles, sobre unas bases de tiempo y tomando lasnecesarias acciones correctivas. Este proceso se completa a través de lascontinuas actividades, evaluaciones por los auditores internos y elpersonal, desarrollando similares funciones, contribuye a la vigilancia deactividades puede incluir el uso de información de comunicaciones departes externas, tales como reclamaciones de clientes y comentarios engeneral, que pueden indicar problemas o áreas importantes con necesidadde mejoría.

El auditor deberá tener suficiente conocimiento de los más importantestipos de actividades de la entidad, usa, para vigilar el control interno sobrela información financiera, incluyendo cómo estas actividades son usadaspara iniciar acciones correctivas.



En muchas entidades, los auditores internos o el personal que lleva a cabofunciones similares, contribuye a la vigilancia de las actividades de laentidad a través de la evaluación por separado. Ellos proporcionanregularmente información acerca del funcionamiento del control interno,enfocando una considerable atención sobre la evaluación del diseño yoperación del control interno. Ellos comunican información de los puntosfuertes, debilidades y recomendaciones para mejorar el control interno.

Las actividades de vigilancia pueden incluir el uso de información acercade comunicaciones de partes externas. Los clientes implícitamenteproporcionan información de su facturación mediante pago de facturas oaceptando sus cargos. Además, las regulaciones pueden comunicar a laentidad asuntos que afectan el funcionamiento de control interno, porejemplo, comunicaciones referentes a revisiones de las agenciasregulatorias bancaria. Igualmente, pueden considerar las comunicacionesde los auditores internos, relativas al control interno, en el desarrollo delas actividades de vigilancia.

4.2.5.4. EVALUACIÓN SOBRE LA VIGILANCIA (SUPERVISIÓN O MONITOREO)

Para llegar a una conclusión sobre la eficacia de la supervisión del controlinterno, conviene considerar tanto las actividades de supervisióncontinuada como las evaluaciones puntuales del sistema de controlinterno, o de partes del mismo. A continuación se detallan algunosaspectos a tener en cuenta. No se trata de una relación exhaustiva ytodos los aspectos no serán aplicables a todas las entidades, sirviendo estarelación únicamente de punto de referencia.

4.2.5.4.1. LA SUPERVISIÓN CONTINUADA

Hasta qué punto el personal al realizar sus actividades normales obtieneevidencia de que el sistema de control interno está funcionandoadecuadamente.

En qué medida las comunicaciones procedentes de tercero corroboran lainformación generada internamente o indican problemas.

Comparaciones periódicas entre los importes registrados por el sistemacontable con los activos físicos.

Receptividad ante las recomendaciones del auditor interno y externorespecto a la forma de mejorar los controles internos.



En qué medida los seminarios de formación, las sesiones de planificación yotras reuniones facilitan información a la dirección sobre si los controlesoperan eficazmente.

Si se hace encuestas periódicas al personal para que manifiesten sientiende y cumple el código de conducta de la entidad y si se realizanormalmente las tareas de control críticas.

Ø Eficacia de las actividades de auditoria interna.

Ø La evaluación puntual.

Ø Alcance y frecuencia de las evaluaciones puntuales del sistema decontrol interno.

Ø Idoneidad del procedo de evaluación.

Ø Si la metodología para evaluar el sistema es lógica y adecuada.

Ø Adecuado volumen y calidad de la documentación.

Ø La comunicación de las deficiencias.

Existencia de un mecanismo para recoger y comunicar cualquierdeficiencia detectada en el control interno.

Ø Idoneidad de los procedimientos de comunicación.

Ø Idoneidad de las acciones de seguimiento.

4.3. EL CONTROL INTERNO Y LA TAREA DEL AUDITOR INTERNO: ALCANCE DEL

TRABAJO

Auditoria Interna debe efectuar el relevamiento del sistema de controlinterno de la organización en su totalidad, con el objeto de determinar elnivel de efectividad del mismo en todas las etapas del procedoadministrativo, recomendado los cambios necesarios para lograr suoptimización.

En especial, la labor de auditoria debe enfatizarse en el examen de lossiguientes aspectos:

Ø Confiabilidad, integridad y oportunidad de la información, tantocontable como operativa, evaluándose también los medios utilizadospara identificarla, controlarla, clasificarla y comunicarla.



Ø Cumplimiento de las disposiciones legales vigentes. Políticas,planes, normas y procedimientos, que posean o puedan poseerinfluencia significativa sobre las operaciones y/o los informes de laempresa.

Ø Protección de activos, revisando los mecanismos de controlestablecidos al efecto y en su caso aplicando los procedimientosque se consideren necesarios para satisfacerse de su existencia.

Ø Uso eficiente y económico de los recursos evaluando la optimizaciónde los mismos en términos de objeto al que son aplicados.

Ø Logros de objetivos y metas de operaciones o programas, revisandolas operaciones y los programas con el objeto de comprobar que losresultados sean coherentes con los objetivos y metas establecidas yse cumplan de acuerdo con lo planeado, evaluando además que losplanes fijados sean razonables proponiendo sugerencias relativas asu optimización.

4.4. LA AUDITORIA Y EL CONTROL INTERNO

Enfoques para la realización de una Auditoria pueden seguirsebásicamente dos métodos:

4.4.1. EL MÉTODO DOCUMENTAL.- Es la verificación de todas las operacionesrealizadas durante el ejercicio contra los documentos o justificantesacreditativos de las mismas.

Una variante de este método es el preconizado por aquellas que opinanque la verificación total de las transacciones ocurridas en una empresadurante el ejercicio no es necesario, pero sí lo es la comprobación parcialde estas transacciones y en base a los resultados obtenidos, decidir acercade la posibilidad de incrementar la muestra inicial o si los resultados sonsatisfactorios, considerar la muestra verificada como representativa de lapoblación total.

4.4.2. EL MÉTODO DE “PRUEBA DEL SISTEMA”.- Se basa en la premisa de queen vez de verificar las transacciones ocurrida, en todo o en parte, contralos documentos justificativos de las mismas, lo preferible es determinar lacorrección y fiabilidad de los datos contables del cliente, por medio de unanálisis practicado sobre el sistema contable que produce los datos y loscontroles internos existentes, y de acuerdo con los resultados obtenidos,determinar la amplitud de las pruebas o test que deben realizarse sobre



los saldos de fin del ejercicio, con el objetivo final de poder emitir elinforme de auditoria sobre los estados financieros. El método de pruebadel sistema es el que se preconiza como el más lógico, el más practicable yel más económico para el cliente.

Por lo tanto, la diferencia entre ambos métodos consiste principalmente enel grado de énfasis que cada teoría implica en principio.

Ninguno de los dos métodos es infalible, pero pueden llegar a serrazonablemente prácticos si se desarrollan con prudencia. Sin embargo, lateoría de métodos (método de prueba del sistema) es más segura y máseficiente en términos generales.

La pretensión del auditor, en su examen de auditoria corriente, consiste endiagnosticas la eficiencia o debilidad del sistema contable. Por medio delanálisis

junto con un programa conciso y bien elegido de pruebas, suministrarámejor diagnóstico de la fiabilidad de los registros contables que un análisisrestringido en combinación con pruebas indiscriminadas.

4.5. TÉCNICAS DE RELEVAMIENTO DEL SISTEMA DE CONTROL INTERNO

4.5.1. FUENTES DE INFORMACIÓN SOBRE EL CONTROL INTERNO

¿Cómo hacen los auditores para conocer el control interno de un cliente?.Los auditores obtienen información sobre el control interno medianteindagaciones al personal apropiado del cliente, la inspección de variosdocumentos (incluyendo la revisión de los manuales de procedimientos, siéstos existen) y registros de la entidad y la observación de las actividadesde control y de la forma como se realizan las operaciones. En contratosrepetidos, su investigación para el año en curso enfatizará áreas queaparecen con controles cuestionables en años anteriores. Es imperativo,sin embargo que los auditores reconozcan que el patrón de operaciones essiempre cambiante. Los controles que fueron adecuados el último año,pueden ser ahora obsoletos.

Los auditores pueden determinar los deberes y responsabilidades delpersonal del cliente, inspeccionando los organigramas de la organización ylas descripciones del trabajo, y entrevistando al personal del cliente.Muchos clientes tienen procedimientos manuales y diagrama de flujo quedescriben las prácticas aprobadas que deben seguirse en todas las fases



de operaciones. Otra fuente de información excelente está en losinformes, en los papeles de trabajo y en los programas de auditoria delpersonal de auditoria interna del cliente.

La comprensión del control por parte de los auditores incluye no solamenteel diseño de los controles, sino también si éstos han sido puestos enoperación. El término puestos en operación significa que el controlrealmente existe y está en uso; es decir éste no sólo existe en la teoría oen el papel.

Al conocer el control interno, los auditores también pueden obtenerevidencia sobre la efectividad de operación de los diversos controles. Laefectividad de operación e ésta relacionada con:

1) la forma como se aplica un control,

2) la consistencia con el cual éste se aplica,

3) quién aplica el control.

La distinción entre saber que un control ha sido puesto en operación yobtener evidencia sobre su efectividad de operación es importante. Paraplanificar apropiadamente la auditoria, se exige a los auditores determinarsí se han aplicado los controles principales; no se exige a los auditoresevaluar la efectividad operativa de los controles. Sin embargo, si losauditores desean valorar el riesgo de control en un nivel inferior almáximo, deben tener evidencia de la efectividad de la operación decontrol. Esta evidencia se obtiene realizando pruebas de controles.

4.5.2. DOCUMENTAR LA COMPRENSIÓN DEL CONTROL INTERNO

A medida de los auditores independientes obtienen conocimientos detrabajo de control interno, deben documentar información en sus papelesde trabajo. La forma y extensión de esta documentación se ve afectadapor el tamaño y complejidad del cliente.

Generalmente la documentación toma la forma de cuestionario de controlinterno narración escrita y diagramas de flujo.

La evaluación es le análisis de algo , ya sea un sistema un procedimiento,una gestión, etc., pero la misma debe ser realizada con la total objetividade independencia necesaria para que se llegué a una conclusión lógica,correcta y consistente. Para tal fin se deben establecer ciertas pautas:



Ø Detallar en forma clara y breve que es lo que se va a evaluar.

Ø Momento y oportunidad en que se va a realizar la tarea.

Ø Quienes efectuaran y supervisaran el trabajo.

Ø Determinación de un programa de trabajo y control de sucumplimiento.

Ø Que temas o controles serán profundizados o ampliados.

Ø Que medios se van a utilizar.

Una vez que se establecieron las pautas expresadas mas arriba para ver elfuncionamiento del sistema de control interno se requiere:

1. Observación, mediante el procedimiento de lectura, de:

Manuales (Organización, Funciones, Procedimientos, Sistemas).

Gráficos (Organigramas, Cursogramas, procesos, etc.).

Instrucciones, Normales, Memorandums, etc.

2. Indignación a funcionarios, empleados y, en ciertos casos, aterceros.

3. Comprobar lo expresado en los dos puntos procedentes mediantepruebas con operaciones reales que permitan conocer el realfuncionamiento de los mismos.

4.5.2.1. MÉTODOS DE RELEVAMIENTO

El relevamiento de la situación imperante en el ente al momento depracticarse la auditoria debe efectuarse mediante la utilización de medios oprocedimientos técnicos que traten de facilitar el trabajo en cuanto a ordeno cronología y control pero que a su vez sirvan como medio de prueba queel trabajo fue realizado y sean el soporte de las conclusiones obtenidasuna vez finalizado el mismo.

Los métodos o procedimientos de relevamiento son:

Descriptivos

Métodos básicos



Cuestionarios

Curso gramas

Combinación de métodos.

4.5.2.2. MÉTODO DESCRIPTIVO

Es la narración o descripción detallada en forma de relato de lascaracterísticas de los sistemas o del modo de operar de una organizaciónreferente a las secuencias relevadas provenientes de las explicaciones delos individuos de la empresa en cuanto a: funciones, normas,procedimientos, operaciones, archivos, custodia de bienes, etc. Todos losdatos o información recopilada son incorporados tal como se

obtienen en los papeles de trabajo del auditor.

La función de relevamiento de sistema de control interno por el métododescriptivo, se puede realizar por tres formas o procedimientos distintos.Tenemos que destacar que este método, aplicado en organizacionesmedianas y grandes, tiene un alto costo al tiempo que se debe emplear.

Las formas indicadas mas arriba son:

Ø Encuesta o Entrevista Personal

Consiste en realizar una entrevista con el funcionario encargado de latarea. Es decir, que si el sector es amplio, se debe realizar una reunióncon cada una de las personas y, en estos casos, se deben hacer combinarlas entrevistas para no causar inconvenientes al sector. Practicadas todaslas entrevistas, se releen los papeles de trabajo y en caso de existir dudasse vuelve a conversar con el entrevistado para limar o pulir los conceptosexpresados. Una vez terminadas todas las encuestas se deben hacer unareunión con el jefe del sector para que este le dé aprobación a los relatosdescriptos, manifestando que los mismos son correctos.

Ø Formularios

Cuando se quiere conocer la operatoria de un sector o sistema, sedistribuyen formularios entre los individuos involucrados en el tema, se ledan instrucciones respecto de como deben confeccionarlos un plazo para laejecución de la tarea.



Pasado ese periodo, se recogen las hojas y se leen en caso de existirdistintas versiones sobre la operatoria, según lo expresado por distintaspersonas o sectores; se efectúa una reunión para aclarar los aspectoscontrovertidos. Este método tiene a reducir los costos de relevamiento,pero pueden quedar en la oscuridad ciertos temas que los individuosresponsables del mismo, no colocan en la descripción hecha en elformulario. Por lo tanto, tampoco este método es seguro para lograrconocer la verdadera o real operatoria del ente. También aquí debemoschequear, con los responsables de las personas encuestadas, las tareasrealizadas para que ellos las ratifiquen o rectifiquen según el caso.

Ø Combinación de Formularios y Entrevistas

Esta forma de realizar el relevamiento consiste en dos etapas y unaaccesoria, a saber:

Ø Primera Etapa Principal

En esta se hace una distribución de formularios, similar a los expresadoanteriormente, pero que contiene una serie de preguntas que deben sercontestadas por el funcionario que forma parte de la operatoria es decireste contesta las preguntas y devuelve el formulario al auditor.

Ø Segunda Etapa Principal

Después que el auditor leyó todas las hojas se practica una breveentrevista con los individuos en cuestión para profundizar algunos temas ypara tratar de detectar otros conceptos que no fueron solicitados medianteel formulario distribuido. Es decir, que se reduciría el tiempo insumidodurante una encuesta o entrevista directa.

Ø Etapa Accesoria

Comprende la reunión final con el responsable del sector para que esteconfirme el grado de veracidad que tubo la encuesta.

Para finalizar el tema, presentamos un ejemplo de cómo seria unrelevamiento por el método descriptivo una vez terminada la entrevista oencuesta.

4.5.2.3. MÉTODO DE LOS CUESTIONARIOS

Como su nombre lo indica, este método se basa en un conjunto depreguntas estándar presentadas por escrito en un formulario preimpreso,



sobre los aspectos fundamentos del control interno, que son comunes a lamayoría de las empresas y que interrogan sobre los sistemas yoperaciones que realizan en el ente.

Este espectro de preguntas prefabricadas son útiles para diferentesauditorias ya que son llenados en oficinas del cliente o sector auditado.

La forma orgánica que tienen estos formularios de cuestionarios depreguntas, consiste en estar separados por áreas operativas, las cuales seencuentran codificadas. Presentándose los distintos aspectos en seccionesdetalladas en un índice, lo que contribuye a un trabajo ordenado, fácil derevisar y útil, también para buscar un tema.

Procedimientos Utilizados

Dentro de este método existen tres categoría o procedimientos:

Ø Pregunta-Respuesta

En esta forma, se hace la pregunta en forma ordenada según como elformulario lo indica y la respuesta se coloca en la misma hoja de trabajo oen hoja aparte, en forma narrativa según lo manifestó por el interrogado.

Ø Pregunta-Respuesta: alternativa o codificado

La interrogante esta diagramada para recibir una de tres posibilidadesadmitidas. Es decir, las tres respuestas posibles son:

1. Si

2. No y

3. No Aplicable .

Normalmente, las preguntas son planteadas de modo que las respuestasindiquen lo siguiente: si es afirmativa indica que es un punto fuerte oeficiente de control; si es negativa denota la falla, debilidad o defecto decontrol; y si es no aplicable indica que la pregunta no tiene sentido oexistencia dentro del relevamiento que se realiza, es decir, es una clasevacía.

Ø Pregunta-Respuesta: alternativa o codificada mas una narrativaaclaratoria

Esta forma se basa en lo anterior, pero con una cuarta posibilidad quedebe utilizarse como aclaratoria en aquellas preguntas que necesitan uncomplemento explicativo para su mejor comprensión o entendimiento.



Cabe destacar que en cualquiera de las tres categorías arriba detalladas, laoperatoria consiste en volcar la respuesta en formulario para luego evaluarel sistema de control interno vigente. Este método tiene ventajas ydesventajas que pasamos a detallar, pero debemos destacar que es él masusado por los auditores de nuestro medio.

Ø VENTAJAS

Las entrevistas son mas cortas, más ágiles y reducen los costos detrabajo.

Hace que los exámenes sean sistemáticos y el auditor tome buenaexperiencia en el uso del formulario y rinda mejor fruto su trabajo.

En la faz de evaluación de la seguridad de no haberse omitido aspectosfundamentales del proceso revelado.

Ayuda a determinar los puntos fuertes ( si ) y los puntos débiles ( no )del sistema del control interno.

Ø DESVENTAJAS

Cuando se hace la entrevista no permite llevar el análisis secuencial de laoperatoria, ya que la misma es seguida por el orden según como lo indicael formulario.

Si el ente auditado tiene una operación compleja o su grado deadministración no es fácil de entender o resulta muy particular, haceengorroso el trabajo y se debe utilizar mucho la cuarta parte deobservación y aclaraciones .

Si la empresa a auditar es pequeña no se puede utilizar este método.

El cuestionario debe ser adaptado al tipo de empresa a auditar para noencontrase con una gran cantidad de respuestas no aplicable en laincorporación de nuevas preguntas en el momento de la entrevista o conuna gran cantidad de aclaraciones



4.5.2.4. MÉTODO DE LOS CURSO GRAMAS

4.5.2.4.1. CONCEPTO

El curso - grama o flujograma es la representación grafica del sentido,curso, flujo o recorrido de un conjunto de información, o de un sistema oproceso administrativo u operativo, dentro del contexto de la organización,mediante la utilización de símbolos convencionales que representanoperaciones, registraciones, controles, etc., que ocurre o suceden enforma oral u escrita en el que hacer diario del ente.

Podríamos decir que el curso grama tiene tres elementos básicos queson:

Ø Se trata de un diagrama o representación grafica.

Ø Representa el fluir de información ya sea de tipo:

1. Verbal

2. Escrita

Se refiere siempre a un proceso de tipo administrativo u operaciónespecifica

Este método tiene su origen dentro del área de teoría de los gráficos y susantecedentes se remontan a los gráficos utilizados por los ingenieros enlos diagramas industriales, que representaban las actividades deproducción como, por ejemplo:

a) los diagramas de proceso de la operación industrial;

b) los diagramas de recorrido

c) los diagramas denominados mano izquierda mano derecha .

Su origen dentro del ámbito de la auditoria se encuentra en el InstitutoMexicano de Contadores Públicos. Pero tenemos que destacar que eldesarrollo y perfeccionamiento de estos gráficos estuvo en mano dequienes más lo utilizaron: los analistas de sistemas dentro del campo de laadministración y organización.



4.5.2.4.2. CARACTERÍSTICAS Y COMPONENTES

Los cursos gramas tienen dos grandes partes componentes:

1. Simbología

La simbología utilizada representa la operación o proceso y el fluir orecorrido de la información.

2. Diagramación

La forma de realizar, dibujar o graficar depende de los siguientes factores:

Ø Lenguaje a usar, entendiendo por este el conjunto de señales quedan a entender una cosa.

Ø Método a desarrollar, o sea mantener un modo razonado de obrar oproceder.

Uno de los problemas que tiene este método es que existe una simbologíade carácter universal, es decir que falta uniformidad en cuanto a suinterpretación simbólica, entonces nos vemos en la necesidad de crear unaregla o patrón a usar, de tipo convencional.

A titulo de ejemplo, presentaremos una lista de símbolos y suinterpretación mas generalizada.

RepresentaciónGráfica

Nombre Significado

formulario

Contiene la denominada y lacantidad de ejemplares; estotambién puede representarsemediante la superposición defiguras. Se utiliza cuando seemite un formulario y sedebe aclarar si es prenumerado.



operación oprocesamiento

Se utiliza para indicar laexistencia de cualquieroperación de computo sobreformularios o registros.

Registración

Se emplea para representarel vuelo o asiento de lainformación en fichas,registros, libros, etc.

control oselección

Se emplea para operacionesde verificación, selección,alternativa o control.

archivoprovisorio

Se le incorpora la letra , o para connotar si la

información esta ordenada enforma correlativa, alfabéticao numérica. Se utiliza cuandose guarda o almacenainformación o formularios.

archivo definitivo Ídem a Archivo Provisoriopero permanente.

inicio de unproceso

Se emplea cuando inicia uncirculito. Si dentro de unmismo cursograma hayvarios puntos donde seinicien procesos, se debeenumerar en ordencronológico cada inicio desecuencia.

X



finalización de unproceso

Representa el final de uncircuito o de un documentoque vuelve al cursograma porenviarse al exterior de laempresa o a otro sectordonde su destino posterior nointeresa conocer.

empalpe oconector

Representa una conexióncon otro cursograma indicadode cual proviene o a cual seremite la información oformulario. Se aclara dentrodel símbolo.

comunicación

Se usa cuando existetraslado de información conel respaldo de la debidadocumentación.

comunicaciónTraslado de información peroen forma oral telefónica,radial, etc.

destrucción deuna copia o deun formulario

Se efectúa cuando una copiao un formulario carece ya deimportancia y se decide ladestrucción del mismo.

anexión

Expresa la operación por lacual uno o más documentosse adjuntan y continúanjuntos en el proceso.

registro o libro ofichero

Representa los libros o fichasdonde la asienta lainformación.



copia adicional

Indica la existencia de unacopia que no tiene unrecorrido predeterminado ysirve como elementoaccesorio.

proceso

Representa la existencia deun proceso interno declasificación, reunión dediferentes reuniones oprocesamientos matemáticosde las mismas.

proceso noanalizado

Se usa cuando se quierarepresentar un proceso queno tiene interés de conocersedentro del cursogramarepresentado.

descolge

Efecto contrario al deanexión, es decir cuando sesepara copias o formulariosque marchaban juntos.

Nota explicativa

Remite al lector al pie deldiagrama o a otra hoja aparte, para aclararle algúnaspecto del cursograma.

localización dedeficiencias

Indica donde existeinconsistencias o deficienciasdentro el curso -grama.

puente Indica el cruce de doscomunicaciones.

1



4.5.2.4.3. TÉCNICAS EMPLEADAS

Dentro de este de los curso - gramas se deben respetar ciertas técnicasde diagramación que deben ser tenidas en cuenta por los auditores. Porlo tanto, explicaremos los aspectos fundamentales a cuidar durante larealización del trabajo.

El diseño o diagramación debe tratar de representar en forma coherente,ordenada y comprensible el proceso administrativo.

Hay que tener en cuenta que no existen normas estándar universales ypor ello es importante que en la mente del auditor se traten derepresentar en la forma más simple posible los procesos y no dar lugar aconfusión de lector.

Según el tipo de procesó que se quiera diagramar, los cursos - gramasadquieren formas distintas, tales como:

Procesos con una breve descripción de las operaciones al margen;

Procesos que incluyan los formularios, sus copias y los registros utilizados;

Procesos que incluyan los formularios, las copias y los registros utilizados yademás una breve descripción de las operaciones;

Procesos que incluyan los formularios y las copias y los registros utilizados,los que están identificados con un código que los relaciona con hojas dedetalle por separado.

Cuando resulte necesario por razones de mejor exposición, se puedenhacer diagramas de subcircuitos (anteriores, intermedios o posteriores) alcircuito principal y presentarse en la hoja aparte.

En base a este tipo de diagramación existen las siguientes condicionesmínimas o requisitos a tener en centra durante la diagramación de uncurso - grama por parte del auditor:

Mantener una perfecta separación entre los departamentos, seccionessectores de una empresa. Para establecer la separación es posiblerealizarla de dos formas:

Realizar un encolumnado vertical para los departamentos, sectores, etc.,y, a su vez, presentar el fluir de la información de forma horizontal y deizquierda a derecha;



Que el encolumnado tenga la forma horizontal y la secuencia de lainformación sea de arriba hacia abajo.

Se debe efectuar la identificación de los símbolos aplicados, ya fuere al piede la hoja o en una aparte.

Dejar claramente el sentido de la información ( ).

En el extremo del encolumnado deben figurar los sectores externos a laempresa y los de menor trascendencia en la diagramación.

Representar, mediante la diagramación, el desarrollo cronológico de lasoperaciones en el sentido descendente.

Eliminar los cruces de información, que tienden a confundir al lector,mediante el uso de puentes .

Identificar en forma clara, sintética y precisa, las deficiencias o puntosdébiles detectados.

Cuando se usen leyendas explicativas las mismas deben ser conocidas yclaras.

Cuando se dibujen formularios o registros, estos deben contener todas suscopias, su precisa distribución o desglose.

4.5.2.4.4. EVALUACIÓN DEL MÉTODO

Para finalizar, expondremos las ventajas y deficiencias que tiene estemétodo.

Ø VENTAJAS

Ø Muestra el panorama general o situación total.

Ø Simplifica y agiliza la tarea de relevamiento.

Ø Ayuda coordinar la entrevista o sea a manejarla siguiendo lasecuencia lógica del proceso. Sistema o información.

Ø Reduce considerablemente el tiempo de lectura y control osupervisión del trabajo.



Ø Expresa en forma clara tanto la falta o ausencia de controles o laexistencia de los mismos.

Ø Indica y resalta cuando existen trabajos innecesarios o superfluos yduplicidad de información o tareas.

Ø Permite confeccionar un cursograma nuevo que incluya lasrecomendaciones o mejoras sugeridas.

Ø Indica cuando hay errores de información o escasez de la misma.

Ø No tiene errores semánticos como en otros dos métodos.

Ø DIFICULTADES

Ø Necesidad de entrenamiento y capacitación del personal que loutiliza.

Ø No existir una simbología universal y tener que adoptar una dentrode u equipo de auditores.

Ø Necesidad de crear, dentro del equipo de auditores, una serie dereglas sobre la confección de los cursogramas para que existauniformidad de criterios.

4.5.2.5. COMBINACIÓN DE MÉTODOS

En el desarrollo de tres métodos anteriores, habíamos establecidodeficiencias o inconvenientes o virtudes de cada uno. Queremos concluirel punto manifestado que para lograr una evaluación eficiente del sistemade control interno y que, a su vez tienda optimización del trabajo delauditor, se debería realizar aun mezcla adecuada de los métodosconocidos, teniendo en cuenta factores tales como:

Ø Tamaño de la empresa;

Ø Distribución geográfica;



Ø Cantidad de personas que emplea;

Ø Tipo de explotación;

Ø Modo de operar del ente;

Ø Tipo de trabajo a realizar;

Ø Tiempo a insumir en la labor;

Ø Cantidad de personas que actúan en el relevamiento.

Es decir que para poder realizar el relevamiento y evaluación del sistemade control interno, el auditor posee tres herramientas, las cuales cumplencon el mismo objetivo, pero quien las utiliza puede combinar el uso de lasmismas para lograr:

Ø Mejor exposición;

Ø Mejor análisis;

Ø Mejor comprensión;

Ø Menor tiempo insumido;

Ø Menor costo operativo;

Ø Mayor eficiencia operativa.

4.5.3. ELECCIÓN, OCASIÓN Y EXTENSIÓN DEL MÉTODO A UTILIZAR

4.5.3.1. ELECCIÓN

La elección de un método como único para todo un trabajo derelevamiento y evaluación de control interno, diríamos que debe sertotalmente desechada, principalmente si optamos por el métododescriptivo. Este método para la auditoria externa resulta sumamentecostoso por la cantidad de horas que insume; por lo tanto, para este tipode trabajo se utiliza mas el método de cuestionarios, con el complementode partes narrativas y con el diagrama de circuitos principales de laempresa. Pero en el caso de la auditoria interna, pensamos en que elmejor se adapta sus necesidades es el método de sus curso - gramas, yaque estos permiten detectar cuales son los puntos deficientes o débiles de



los sistemas y permiten la rápida confeccione propuestas o sugerenciaspara corregir esas debilidades.

4.5.3.2. OCASIÓN

La oportunidad u ocasión en la que el trabajo de relevamiento y evaluacióndel control interno se debe efectuar esta en función directa del tamaño dela empresa en cuanto al volumen de operaciones y su distribucióngeográfica, como así también del tipo de auditoria que se quiere realizar,es decir, si la auditoria es externa, se realizara primeramente elrelevamiento y evaluación del sistema de control interno para poderdeterminar el alcance naturaleza y oportunidad de los procedimientos deauditoria a aplicar.

Si es un trabajo de auditoria interna, la oportunidad estará expresada enel plan de auditoria, ya que la evaluación del sistema de control interno esun tema de todos los días y constituye una de las principales funciones delauditor interno.

4.5.3.3. EXTENSIÓN

El alcance o extensión que se le quiere dar al relevamiento y evaluacióndel control interno depende de sí es la primera auditoria o no.

Cuando se efectúa por primera vez una auditoria de una empresa, esconveniente realizar una profunda evaluación del sistema de controlinterno vigente. En el caso de auditorias posteriores, se puede hacer unaconfirmación de los relevamientos anteriores para actualizarlos y ver si lospuntos que eran fuentes aun se mantienen y si los puntos defectuosos odébiles fueron corregido.



5. MARCO PROPOSITIVO

5.1. CONTROL INTERNO – DESARROLLO Y APLICACIÓN

5.1.1. ANTECEDENTES.-

Evolución de las necesidades de la empresa en materia de control.

Si tuviésemos que caracterizar el entorno económico en el que se muevela empresa en la actualidad, lo podríamos hacer con una sola palabra:dinamismo.

Los cambios que el contexto está sufriendo son de tal magnitud quealgunos autores hablan de una segunda revolución industrial: el paso de laera informática a la digital.

La nueva situación a la que deben enfrentarse las empresas las obliga adesarrollar mecanismos de adaptación y buscar nuevas maneras deoperación que les permitan sobrevivir.

Los problemas y las soluciones de una empresa tienden a cambiar en lamedida en que se incrementan el número de empleados, las cifras deventas y la complejidad de las operaciones.

Según estudios realizados, las organizaciones que no crecen en tamañopueden conservar los mismos instrumentos de dirección y prácticas a lolargo de largos periodos de tiempo. La implantación de un sistema decontrol interno ha adquirido especial importancia y ha ido ampliando susámbitos de aplicación, en la medida en que el incremento de la dimensiónempresarial ha supuesto un distanciamiento por parte de los propietarios,en el control día a día, de las operaciones que se producen en la empresa.Cuando la estructura organizativa de la empresa se caracterizaba porquepropiedad y dirección coincidían en la misma persona, tan sólo eranecesaria la implantación de un sistema de control interno en el ámbito

C A P Í T U L O V



contable con la finalidad de proteger a los activos de pérdidas que sederivaban de errores intencionados (AICPA, 1973). Posteriormente, ycomo consecuencia de una mayor complejidad de las operaciones, serequirió la introducción de nuevas técnicas de dirección que provocaron elsurgimiento de directivos que conociesen e implementasen dichastécnicas. A partir de este momento la implantación del sistema de controlinterno tiene como principal finalidad la protección de los activos contrapérdidas que se deriven de errores intencionales o no intencionales en elprocesamiento de las transacciones y manejo de los activoscorrespondientes.

Llegado a este punto se empieza a ver la necesidad de implantar elsistema de control interno no sólo en el ámbito financiero-contable, sinotambién en el ámbito de la gestión y dirección de manera que permitaproporcionar, con una seguridad razonable, la consecución de los objetivosespecíficos de la entidad (AICPA, 1988). Como consecuencia del procesode internacionalización, la implantación del sistema de control interno estárelacionada con aspectos particulares del management, tales como laconsecución de los objetivos, la planificación estratégica y la dirección delriesgo, así como la realización de acciones correctivas (COCO, 1995).

5.1.2. CONFLICTO ENTRE PROPIETARIO Y DIRECTIVOS

El proceso de internacionalización ha significado una dispersión de lapropiedad de la empresa y la separación entre propiedad y dirección. Lavinculación del propietario a la empresa no es tan fuerte como antes, en laque los dueños estaban ligados a la empresa a través de variasgeneraciones y en ella existían barreras de salida de tipo emocional muyfuertes. La situación actual de las medianas y grandes empresas ha hechoque en las mismas haya un proceso de despersonalización para poderatender al volumen y complejidad de las mismas.

Existe un conflicto de intereses entre el propietario y el directivo. Losdirectivos tienen una perspectiva temporal a corto plazo que se contraponecon la visión a largo plazo de los propietarios. De esta manera, lospropietarios están interesados en la obtención de un máximo de beneficioscon un nivel de riesgo razonable y en mantener las condiciones demercado que sean favorables para el inversionista.



Los directivos, por su parte, están interesados en la obtención del máximobeneficio durante el periodo en el que participan en la gestión de laempresa.

Todo ello conlleva la necesidad de implantar mecanismos de control para ypor la seguridad de los propietarios y la sana gestión de los directores dela empresa.

5.1.3. NUEVOS MODELOS EN EL ENFOQUE DE CONTROL

Los nuevos modelos desarrollados en el campo del control, estándefiniendo una nueva corriente de pensamiento, con una ampliaconcepción sobre la organización, involucrando una mayor participación dela dirección, gerentes y personal en general de los entes.

Asimismo, los modelos han sido diseñados con la esperanza de ser unfuerte soporte del éxito de la organización, siempre que los mismos seanllevados con el criterio y la perspicacia necesaria de parte del profesional yno mecánicamente.

Esto implica, a nuestro entender, un acabado conocimiento del contenidode los modelos y una acabada comprensión del espíritu de los mismos, loque compromete la correcta preparación de directores, gerentes, jefes,resto de personal, auditores internos y externos.

5.1.4. INFORME COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF

TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL

REPORTING)

A efectos de avanzar en el estudio de control interno, se ha escogido comomarco de desarrollo e investigación de entre todos los informes ylineamientos conceptuales que rigen esta materia- el Informe COSO.

Ø A nivel organizacional, este documento destaca la necesidad de quela alta dirección y el resto de la organización comprendancabalmente la trascendencia del control interno, la incidencia delmismo sobre los resultados de la gestión, el papel estratégico aconceder a la auditoría y esencialmente la consideración del control



como un proceso integrado a los procesos operativos de la empresay no como un conjunto pesado, compuesto por mecanismosburocráticos.

Ø A nivel regulatorio o normativo, el Informe COSO ha pretendido quecuando se plantee cualquier discusión o problema de control interno,tanto a nivel práctico de las empresas, como a nivel de auditoríainterna o externa, o en los ámbitos académicos o legislativos, losinterlocutores tengan una referencia conceptual común, lo cual hastaahora resultaba complejo, dada la multiplicidad de definiciones yconceptos divergentes que han existido sobre control interno.

5.1.4.1. FINALIDAD DEL INFORME

Establecer una definición común de control interno que responda a lasnecesidades de las distintas partes.

Facilitar un modelo en base al cual las empresas y otras entidades,cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema decontrol interno

5.1.4.2. DEFINICIÓN DE CONTROL INTERNO SEGÚN LAS NORMAS COSO

En un sentido amplio, se define el control interno como:

Un proceso efectuado por el consejo de administración, la dirección y elresto del personal de una entidad, diseñado con el objeto de proporcionarun grado de seguridad razonable en cuanto a la consecución de objetivosdentro de las siguientes categorías:

Ø Eficacia y eficiencia de las operaciones

Ø Fiabilidad de la información financiera

Ø Cumplimiento de las leyes y normas que sean aplicables



Análisis de la definición:

El control interno es un proceso. Es un conjunto de acciones estructuradasy coordinadas dirigidas a la consecución de un fin, no es un fin en símismo.

Los procesos de negocios que se llevan a cabo dentro de las unidades yfunciones de la organización o entre las mismas, se coordinan en funciónde los procesos de gestión básicos de planificación, ejecución ysupervisión. El control interno es parte de dichos procesos y está integradoa los mismos, permitiendo su funcionamiento adecuado y supervisando sucomportamiento y aplicabilidad en cada momento.

Constituye una herramienta útil para la gestión, pero no es un sustituto deésta.

Esta conceptualización del control interno dista mucho de la antiguaperspectiva, que veía al control interno como un elemento añadido a lasactividades de una entidad o como una carga inevitable impuesta por losorganismos reguladores o por los dictados de burócratas excesivamentecelosos. Los controles internos no deben ser añadidos sino incorporados ala infraestructura de una entidad, de manera que no entorpezcan sino quefavorezcan la consecución de los objetivos de la entidad. El hecho deincorporarlos permitiría identificar desviaciones en costes en actividades

operativas básicas, y además se agilizaría el tiempo de respuesta parasolucionar estas desviaciones o costes innecesarios.

Lo llevan a cabo las personas

Para llevar a cabo el control interno, no es suficiente poseer manuales depolíticas e impresos. Son las personas, en cada nivel de organización, lasque tienen la responsabilidad de realizarlo.

El Consejo de Administración, la dirección, y los demás miembros de laentidad son los responsables de su implementación y seguimiento. Lorealizan los miembros de una organización, mediante sus actuacionesconcretas. Son las personas quienes establecen los objetivos de la entidade implantan los mecanismos de control.



El control interno sólo puede aportar un grado razonable de seguridad, nola seguridad total a la dirección de una empresa, ya que existenlimitaciones que son inherentes a todos los sistemas de control interno.

Estas limitaciones se deben a que las opiniones sobre las que se basan lasdecisiones en materia de control pueden ser erróneas. Los empleadosencargados del establecimiento de controles tienen que analizar la relacióncosto/beneficio de los mismos, y pueden producirse problemas en elfuncionamiento del sistema como consecuencia de fallos humanos, aunquese trate de simples errores o equivocaciones.

5.1.4.3. OBJETIVOS DEL CONTROL

Tal como se analizara en la definición de control interno, existen trescategorías de objetivos. La primera categoría se dirige a los objetivosempresariales básicos de una entidad, incluyendo los objetivos derendimiento, de rentabilidad, y la salvaguarda de los recursos.

La segunda está relacionada con la elaboración y publicación deestados contables confiables, incluyendo estados intermedios yabreviados, así como la información financiera extraída de dichos estados,como por ejemplo las comunicaciones sobre resultados, que seanpublicados.

La tercera concierne al cumplimiento de aquellas leyes y normas a lasque está sujeta la entidad.Estas distintas, pero en parte coincidentes categorías, tratan diferentesnecesidades y permiten un enfoque dirigido hacia la satisfacción denecesidades individuales.

Los sistemas de control funcionan en tres niveles distintos de eficacia. Elcontrol interno se puede considerar eficaz en cada una de las trescategorías, si los responsables de la dirección superior de la empresa,tienen una seguridad razonable de que:

Ø Disponen información adecuada sobre hasta qué punto se estánlogrando los objetivos operacionales de la entidad.

Ø Los estados contables de exposición se preparan de maneraconfiable.

Ø Se cumplen las leyes y normas aplicables.



Si bien el control interno es un proceso, su eficacia es el estado de eseproceso en un momento dado.

5.1.5. COMPONENTES O ELEMENTOS DE CONTROL INTERNO

El control interno consta de cinco componentes relacionados entre sí.Derivan del estilo gerencial y están integrados en el proceso de dirección.Estos componentes, que se presentan con independencia del tamaño onaturaleza de la organización, son:

Ø Entorno de control.

Ø Evaluación de riesgos.

Ø Actividades de control.

Ø Información y comunicación.

Ø Supervisión.

Estos elementos generan una sinergia y forman un sistema integrado queresponde de una manera dinámica a las circunstancias cambiantes delentorno.

Existe una interrelación directa entre las tres categorías de objetivos, quees lo que una entidad se esfuerza por conseguir, y los componentes, querepresentan lo que se necesita para lograr dichos objetivos. Todos loscomponentes son relevantes para cada categoría de objetivo.

El marco del control interno está conformado por el contenido descritocomo definición según las normas; la clasificación de los objetivos y loscomponentes y criterios para lograr la eficacia.

5.1.6. QUÉ SE PUEDE LOGRAR CON EL CONTROL INTERNO

El control interno pude ayudar a que una organización:



Ø Consiga sus objetivos de rentabilidad y rendimiento

Ø Pueda prevenir pérdidas de recursos

Ø Obtenga información contable confiable

Ø Refuerce la confianza en que la empresa cumple las leyes y normasaplicables

Ø Resumen: ayuda a que una entidad cumpla con su objetivo evitandoo midiendo las dificultades con que se puede encontrar en esecamino.

5.1.7. QUÉ NO SE PUEDE LOGRAR CON EL CONTROL INTERNO

El éxito de la entidad, sólo asegura la consecución de objetivos básicosempresariales o, como mínimo, la supervivencia de la entidad.

Asegurar la fiabilidad de la información contable y el cumplimiento de lasleyes y normativa aplicable.

5.1.8. FACTORES QUE SUPONEN UN FRENO A LA IMPLEMENTACIÓN DE UN

SISTEMA DE CONTROL INTERNO EN LA GESTIÓN EMPRESARIAL.

Ø Resistencia natural que ofrecen los directivos debido a la visión quetienen del sistema de control interno como factor cuya únicaconsecuencia es el incremento de la burocracia en la empresa.

Ø No desean alentar políticas de control que actúen sobre el ámbito dela gestión de los propios directivos.

Ø El elevado costo que la implantación de mecanismos de controlinterno supone para la empresa.



5.2. ENTORNO DE CONTROL

5.2.1. ¿QUÉ ES EL ENTORNO DE CONTROL?

El entorno o ambiente de control es el conjunto de circunstancias yconductas que enmarcan el accionar de una entidad desde la perspectivadel Control Interno.

Es fundamentalmente, consecuencia de la actitud asumida por la altadirección, la gerencia, y por carácter reflejo el resto de los empleados, conrelación a la importancia del Control Interno y su incidencia sobre lasactividades y resultados.

5.2.2. IMPORTANCIA

El entorno de control es la base o andamiaje de todo sistema de ControlInterno.

Determina las pautas de comportamiento en la organización e influye en elnivel de concientización del personal respecto del control. No obstante, sutrascendencia radica en que como conjunción de medios, operadores yreglas previamente definidas, traduce la influencia de varios factores en elestablecimiento, fortalecimiento, o debilidad de políticas y procedimientosen una organización.

5.2.3. FACTORES QUE LO CONSTITUYEN

Los principales factores del ambiente de control son:

Ø Integridad y valores éticos.

Ø Competencia profesional.

Ø Atmósfera de confianza mutua.

Ø Filosofía y estilo de dirección.



Ø Estructura, plan organizacional, reglamentos y manuales deprocedimiento.

Ø Delegación de autoridad y asignación de responsabilidades.

Ø Políticas y prácticas en materia de Recursos Humanos.

Ø Consejo de Administración, comité de auditoría, etc.

Existen otros factores que afectan el ambiente de control. Este listado esmeramente enunciativo y el orden en que han sido expuestos indica laimportancia relativa de cada uno de ellos respecto del resto.

A partir de aquí, se describirán brevemente algunos de los factores antesmencionados y a continuación se indicarán algunos aspectos a tener encuenta al momento de evaluar estos valores que conforman el ambientede control. Cabe aclarar que la evaluación de estos factores, conlleva unadosis de subjetividad, hecho que determina que se formule una opiniónsubjetiva de los mismos. Como esta opinión incidirá en forma significativaen la eficacia del control, es aconsejable considerar de la forma másexhaustiva posible todos los aspectos relacionados a éste.

5.2.3.1. LOS VALORES ÉTICOS

Los valores éticos fomentan la buena reputación de una entidad. Talesvalores deben enmarcar la conducta de funcionarios y empleados,orientando su integridad y compromiso personal hacia la organización.

Para afianzar esta reputación no basta el mero respeto a la ley, es decir, laeficacia de un sistema de control no puede estar por encima de la moral yla integridad de las personas que administran y supervisan estos controles,ya que estos valores constituyen el basamento de toda la estructura decontrol.

La Comisión Treadway estableció: un clima ético vigoroso dentro de laempresa y en todos los niveles de la misma, es esencial para el bienestarde la organización, de todos los componentes y del público en general. Unclima así contribuye en forma significativa a la eficacia de las políticas y lossistemas de control de las empresas y permite influir sobre los



comportamientos que no están sujetos ni a los sistemas de control máselaborados .

Dificultad para establecer conductas éticas. Incentivos y tentaciones.

La dificultad en establecer valores éticos radica en la frecuente necesidadde atender intereses de las distintas partes. Es una tarea fundamentallograr equilibrio entre los intereses de la dirección, los de la empresa, susempleados; Entorno de Control, Consejo de Administración y Comité deFilosofía y estilo de dirección; Estructura. Plan organizacional, Delegaciónde autoridad, Políticas y prácticas de Recursos, Integridad y valores éticos;Competencia Profesional, Atmósfera de confianza mutua, proveedores,clientes, competidores, y el público; ya que muchas veces éstos seencuentran enfrentados.

Frecuentemente, la misma organización dificulta el establecimiento devalores éticos incitando a los individuos que en ella trabajan a cometeractos fraudulentos, ilegales o al menos poco éticos. Por ejemplo, el ponerénfasis en lograr o mostrar resultados a corto plazo, fomenta unamodalidad en que el fracaso paga un precio muy elevado.Otras de las razones por las que se llevan a cabo prácticas dolosas ocuestionables al presentar información financiera, es la ignorancia. Estaviene ocasionada frecuentemente por un escaso soporte moral o porausencia de orientación más que por la intención de engañar.

5.2.3.1.1. EVALUACIÓN DE LOS VALORES ÉTICOS

La existencia e implementación de códigos de conducta relacionados conprácticas profesionales aceptables, incompatibilidades o pautas esperadasde comportamiento ético y moral.

La observancia por parte de la autoridad superior del organismo de valoreséticos y morales, como así también la difusión, internalización yobservancia del cumplimiento de los mismos por parte de los empleados.

La forma en que se realizan las negociaciones con empleados,proveedores, clientes, acreedores, competidores, etc., analizando si enestas relaciones la dirección prioriza aspectos éticos y presta atención aque el resto de la organización observe la misma conducta.



La presión para alcanzar objetivos de rendimiento, a corto plazo o pocorealistas, como así también las remuneraciones basadas en el logro de losmismos.

5.2.3.2. COMPROMISO DE COMPETENCIA PROFESIONAL. CONCEPTUALIZACIÓN.

En una organización, es necesaria la existencia de procesos de definiciónde puestos y actividades de selección de personal, de formación, deevaluación y promoción para poder cubrir cada puesto de trabajo porpersonas capaces de realizar sus labores en forma competente.

Los directivos y empleados deben caracterizarse por poseer un nivel decompetencia que les permita comprender la importancia del desarrollo,implantación y mantenimiento de controles internos apropiados.

Tanto directivos como empleados deben:

Ø Contar con un nivel de competencia profesional ajustado a susresponsabilidades.

Ø Comprender suficientemente la importancia, objetivos yprocedimientos del control interno.

La Dirección debe especificar el nivel de competencia requerido para lasdistintas tareas y traducirlo en requerimientos de conocimientos yhabilidades.

Los métodos de contratación de personal deben asegurar que el candidatoposea el nivel de preparación y experiencia que se ajuste a los requisitosespecificados.

Una vez incorporado, el personal debe recibir la orientación, capacitación yadiestramiento necesarios en forma práctica y metódica.

El sistema de control interno operará más eficazmente en la medida queexista personal competente que comprenda los principios del mismo.



5.2.3.2.1. EVALUACIÓN

La existencia de descripción de puestos de trabajo ya sea formal oinformalmente u otra forma de describir tareas que conforman trabajosespecíficos.

Descripción de conocimientos y habilidades necesarios para llevar a cabotareas o actividades.

Métodos de contratación de personal que prevén requisitos debidamenteespecificados.

5.2.3.3. FILOSOFÍA Y ESTILO DE LA DIRECCIÓN

Los estilos gerenciales marcan el nivel de riesgo empresarial y puedenafectar al control interno. Un planteamiento empresarial orientadoexcesivamente al riesgo, una actitud poco propicia a la prudencia, o notomar en cuenta los aspectos de control o administrativos al emprendernegocios, son indicativos de riesgos de control interno.

Desde otro punto de vista, una gerencia que sin dejar de afrontar losriesgos empresariales toma en cuenta todos los elementos necesarios parasu seguimiento, evitando riesgos improcedentes y que consideran losaspectos positivos y negativos de cada alternativa, crea una actitudpositiva de control interno en la organización.


Cuáles son los riesgos empresariales aceptados. Si la dirección participafrecuentemente en operaciones de alto riesgo, o bien es extremadamenteprudente a la hora de aceptarla.

Cómo transmite la dirección superior al resto de los niveles de laorganización de manera explícita y contundente su compromiso y liderazgorespecto de los controles internos.



Actitudes de la dirección respecto de la presentación de informacióncontable, incluyendo la selección de políticas contables prudentes oarriesgadas o que puedan tender a la manipulación de datos.

5.2.3.4. ESTRUCTURA Y PLAN DE ORGANIZACIÓN

DELEGACIÓN DE PODERES Y RESPONSABILIDAD.

Todo organismo debe desarrollar una estructura organizativa que atiendael cumplimiento de su misión y objetivos, la que deberá estar plasmada enun algún tipo de herramienta gráfica.

La estructura organizativa, formalizada en un organigrama, constituye elmarco formal de autoridad y responsabilidad en el cual las actividades quese desarrollan en cumplimiento de los objetivos del organismo, sonplaneadas, efectuadas y controladas.

Lo importante es que su diseño se ajuste a sus necesidades, esto es queproporcione el marco organizacional adecuado para llevar a cabo laestrategia diseñada para alcanzar los objetivos fijados. Lo apropiado de laestructura organizativa podrá depender, por ejemplo, del tamaño delorganismo. Estructuras altamente formales que se ajustan a lasnecesidades de un organismo de gran tamaño, pueden serdesaconsejables en un organismo pequeño.

Todo organismo debe complementar su organigrama con un manual deorganización, en el cual se deben asignar responsabilidades, acciones ycargos, a la par de establecer las diferentes relaciones jerárquicas yfuncionales para cada uno de estos.

El Ambiente de Control se fortalece en la medida en que los miembros deun organismo conocen claramente sus deberes y responsabilidades. Elloimpulsa a usar la iniciativa para enfrentar y solucionar los problemas,actuando siempre dentro de los límites de su autoridad.

Existe una nueva tendencia de derivar autoridad hacia los nivelesinferiores, de manera que las decisiones queden en manos de quienesestán más cerca de la operación. Un aspecto crítico de esta corriente es ellímite de la delegación: hay que delegar tanto cuanto sea necesario perosolamente para mejorar la probabilidad de alcanzar los objetivos.



Toda delegación conlleva la necesidad de que los jefes examinen yaprueben, cuando proceda, el trabajo de sus subordinados, y que amboscumplan con la debida rendición de cuentas de sus responsabilidades ytareas.

También requiere que todo el personal conozca y responda a los objetivosde la organización. Es esencial que cada integrante de la organizaciónconozca cómo su acción se interrelaciona y contribuye a alcanzar losobjetivos generales.


La estructura organizativa de la entidad está formalizada y resulta idóneapara proporcionar el flujo de información necesario para su eficazdesenvolvimiento.

Las responsabilidades de los directivos están claramente definidas.

Los canales de comunicación, los niveles jerárquicos y líneas de autoridadestán plasmados en un cuerpo orgánico conocido por toda la organización.

Los poderes que se delegan son los adecuados para lograr los objetivos dela entidad.

Existe un correcto conocimiento y responsabilidad por parte de quienrecibe poderes, como así también un nivel de supervisión adecuado porparte de quienes los delega.

5.2.3.5. POLÍTICAS Y PRÁCTICAS DE RECURSOS HUMANOS

El personal es el activo más valioso que posee cualquier organismo. Porende, debe ser tratado y conducido de forma tal que se consiga su máselevado rendimiento.

Debe procurarse su satisfacción personal en el trabajo que realiza,propendiendo a que en éste se consolide como persona y se enriquezcahumana y técnicamente. La Dirección asume su responsabilidad en talsentido, en diferentes momentos:



Ø Selección: al establecer requisitos adecuados de conocimiento,experiencia e integridad para las incorporaciones.

Ø Inducción: al preocuparse para que los nuevos empleados seanmetódicamente familiarizados con las costumbres y procedimientosdel organismo.

Ø Capacitación: al insistir en que sean capacitados convenientementepara el correcto desempeño de sus responsabilidades.

Ø Rotación y promoción: al procurar que funcione una movilidadorganizacional que signifique el reconocimiento y promoción de losmás capaces e innovadores.

Ø Sanción: al adoptar, cuando corresponda, las medidas disciplinariasque transmitan con rigurosidad que no se tolerarán desvíos delcamino trazado.

La conducción y tratamiento del personal del organismo debe realizarse deforma justa y equitativa, comunicando claramente los niveles esperadosen materia de integridad, comportamiento ético y competencia.

Los procedimientos de contratación, inducción, capacitación yadiestramiento, calificación, promoción y disciplina, deben correspondersecon los propósitos enunciados en la política respectiva.

Ø EVALUACIÓN

Políticas y procedimientos en vigencia para contratación, formación,promoción y remuneración de empleados.

Medidas disciplinarias tomadas como respuesta a acciones indebidas o adesviaciones respecto de procedimientos aprobados.

Los procesos de revisión de expedientes de candidatos a puestos detrabajo, en respuesta a actividades no admitidas en la organización.

Criterios para retener, evaluar y promocionar empleados.



5.2.3.6. COMITÉ DE ADMINISTRACIÓN O COMITÉ DE AUDITORÍA

La existencia de estos órganos dedicados con exclusividad al control, sevislumbra con mayor frecuencia en empresas de mayor envergadura.

Su objetivo general es la vigilancia del adecuado funcionamiento delsistema de control interno como así también procura el mejoramientocontinuo del mismo.

La existencia de un comité de estas características refuerza el sistema decontrol interno y contribuye positivamente al ambiente de control.Sin embargo, la mera existencia no es suficiente. Para su efectivodesempeño debe integrarse adecuadamente, es decir, con miembros decapacidad y trayectoria que exhiban además un grado elevado deconocimiento y experiencia que les permita apoyar objetivamente a laDirección mediante su guía y supervisión.

Ø EVALUACIÓN

La independencia de criterio de los consejeros respecto de los temas másdifíciles de la organización.

La existencia de reuniones frecuentes entre consejeros, gerentesfinancieros y auditores externos e internos.

La suficiencia y oportunidad con que se les provee información a losmiembros del consejo, como así también, la suficiencia de la misma paraanalizar objetivos, estrategias, situación financiera, y acuerdossignificativos.

5.3. EVALUACION DE RIESGOS

5.3.1. EL IMPACTO DE LOS RIESGOS EN LA ORGANIZACIÓN

Todas las organizaciones independientemente de su tamaño, naturaleza oestructura, enfrentan riesgos. Los riesgos afectan la posibilidad de laorganización de sobrevivir, de competir con éxito para mantener su poderfinanciero y la calidad de sus productos o servicios. El riesgo es inherentea los negocios. No existe forma práctica de reducir el riesgo a cero. La



dirección debe tratar de determinar cual es nivel de riesgo que seconsidera aceptable y mantenerlo dentro de los límites marcados.

Los riesgos de negocio determinados por la alta dirección incluyenaspectos tales como:

Ø Clima de ética y presión a la dirección para el logro de objetivos.

Ø Competencia, aptitud e integridad del personal.

Ø Tamaño del activo, liquidez o volumen de transacciones.

Ø Condiciones económicas del país.

Ø Complejidad y volatilidad de las transacciones.

Ø Impacto en reglamentos gubernamentales.

Ø Procesos y sistemas de información automatizados.

Ø Dispersión geográfica de las operaciones.

5.3.1.1. IMPORTANCIA DE LOS FACTORES

El ambiente de control reinante será tan bueno, regular o malo como losean los factores que lo determinan. El mayor o menor grado de desarrolloy excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidaddel ambiente que generen, y consecuentemente, al tono de laorganización.

Cambios organizacionales, operacionales, tecnológicos y económicos. Losriesgos identificados por la alta dirección están directamente relacionadoscon los procesos críticos en los que se involucran a diversas áreas de laorganización. La función de la auditoría interna es identificar los riesgos yasignar prioridades de revisión a las actividades con probabilidad de riesgomayor.



5.3.2. EL RIESGO Y LOS OBJETIVOS DE LA ORGANIZACIÓN

El establecimiento de los objetivos de la empresa, es una condición previaa la evaluación de los riesgos.

La dirección debe fijar primero los objetivos, y luego determinar cuálesserán los riesgos que pueden afectar su consecución para poder tomar lasmedidas que se consideren oportunas.

El establecer objetivos es un requisito previo para un control internoeficaz. Los mismos son metas medibles hacia donde una entidad puededesarrollar sus actividades. Sin embargo, aún cuando debería existir unaseguridad razonable que estos objetivos puedan cumplirse, no siempreexiste la seguridad que algunos de ellos puedan cumplirse.

Esta actividad es una fase clave de los procesos de gestión, y si bien noconstituye estrictamente un componente del control interno, es unrequisito que permite garantizar el funcionamiento del mismo.

5.3.3. OBJETIVOS

Los procesos mediante los que se establecen objetivos en unaorganización, pueden ser muy estructurados o formales o por el contrario,informales. Asimismo, los objetivos pueden encontrarse claramenteidentificados o bien, ser implícitos (por ej., intentar mantener el mismonivel de costos fijos que el período anterior).

5.3.3.1. ¿CÓMO SE ESTABLECEN LOS OBJETIVOS?

En una entidad, al menos en forma anual, se establece o refresca cuál sumisión, su función, los valores que la empresa considera prioritarios.

Estos lineamientos, apoyados en un análisis de fortalezas, oportunidades,debilidades y amenazas del entorno (entre otros aspectos), llevan a definiruna estrategia global. Esta estrategia, como su nombre lo indica, apunta adeterminar una asignación de recursos entre las distintas unidades denegocio y determina prioridades a escala global. Los objetivos específicos,nacen de la estrategia global de la entidad.



Así pues, coexisten en la organización objetivos globales y particulares oespecíficos. Estos últimos se encuentran integrados y estrechamenteligados a los primeros.

Al establecer objetivos globales y por actividad, se está en condiciones deidentificar los factores críticos de éxito, en otras palabras, se trata dedefinir cuáles son las condiciones que se deben dar para que los objetivosse cumplan.

5.3.3.2. CATEGORÍAS DE OBJETIVOS DE CONTROL INTERNO

A pesar de su diversidad, existen tres grandes categorías de objetivos.

Aunque aquí hablamos un poco de cada grupo de objetivos, no se intentaestablecer ningún tipo de separación estricta entre ellos y debereconocerse que muchos de los objetivos de diferentes categorías seinterrelacionan y entrecruzan entre sí.

Ø OBJETIVOS DE LAS OPERACIONES

Estos objetivos constituyen la razón de ser de las empresas y van dirigidosa la consecución del objetivo social. Son básicamente, un elemento degestión y no un elemento de control interno. Cada entidad tiene suspropios objetivos operacionales muy diferenciados a otras, ya que losmismos están muy relacionados con las prioridades, el juicio y el estilo degestión de la gerencia, mientras que los otros dos grupos de objetivos apesar de tener distintos matices para cada entidad, son aplicables a todaslas entidades.

Es fundamental que este tipo de objetivos y de estrategias esténclaramente definidos y coordinados con los objetivos y estrategiasespecíficos, ya que es sobre los objetivos de cumplimiento donde laorganización dirige una parte sustancial de sus recursos.

Ø OBJETIVOS RELACIONADOS CON LA INFORMACIÓN FINANCIERA

Este objetivo se refiere a la preparación de estados contables confiablessean estos finales o intermedios, como así también, todo dato contablefiltrado o seleccionado proveniente de estados contables que esté dirigido



a terceros. La información financiera es un elemento importante para lagestión interna, aunque aquí nos ocuparemos de la información financieraexterior, dirigida a entidades de crédito,inversores, proveedores, clientes, etc. El término fiabilidad implica lapreparación de dichos estados según principios contables generalmenteaceptados y otros principios y regulaciones contables que sean relevantesy apropiadas.

La presentación adecuada de la información contable requiere:

Ø Principios contables aceptados y apropiados a las circunstancias.

Ø Información financiera suficiente y apropiada, resumida y clasificadaen forma adecuada.

Ø Presentación de hechos, transacciones y acontecimientos de talforma que los estados financieros reflejen adecuadamente lasituación financiera, los resultados de las operaciones y los flujos deorígenes y aplicaciones de recursos en forma apropiada y razonable.

Estos requisitos se apoyan en una serie de aseveraciones implícitas quesoportan los estados contables:

Ø Existencia: Los activos y pasivos existen a la fecha del balance y lastransacciones contabilizadas representan acontecimientos queocurrieron en ese mismo período.

Ø Totalidad: Todas las transacciones y acontecimientos ocurridosdurante un período determinado han sido efectivamente reflejadas en losregistros contables.

Ø Derechos y obligaciones: Los activos son los derechos y losPasivos las obligaciones efectivas de la entidad a una fechadeterminada.

Ø Valoración: El importe de los activos y pasivos y el de los ingresosy gastos han sido determinados y contabilizados con criteriosadecuados de conformidad con principios contables generalmenteaceptados.



Ø Presentación: La información financiera presentada en los estadosfinancieros es suficiente, adecuada y está correctamente descripta yclasificada.

5.3.3.2.3. OBJETIVOS DE CUMPLIMIENTO

Toda entidad debe desarrollar su actividad en el marco de normas legalesy reglamentarias que regulan los más diversos aspectos de las relacionessociales (normativa mercantil, civil, laboral, financiera, medio ambiente,seguridad, etc.).

Los antecedentes de una sociedad en cuanto al cumplimiento de las leyesy normas, pueden incidir -tanto positiva como negativamente-, en sureputación dentro de la comunidad.

Ø CONSECUCIÓN DE OBJETIVOS

Los objetivos relacionados con la información financiera y los decumplimiento, están basados principalmente en normas externasestablecidas independientemente de las metas de la entidad. Laconsecución de estos objetivos, está en gran medida bajo el dominio de laorganización.

Sin embargo, los objetivos relacionados con las operaciones, no estánbasados en pautas externas sino en metas que fija la propia organización.

Estas metas pueden verse afectadas por acontecimientos externosprevistos o no por la organización (la aparición de un nuevo competidor,condiciones meteorológicas adversas, cambios en las políticas monetarias,etc.). La meta de control en este área se basará principalmente endesarrollar objetivos coherentes en toda la organización, identificación defactores de éxito, presentación oportuna de información sobre elrendimiento del negocio y sobre posibles peligros que puedan hacerfracasar la consecución de estos objetivos.

Ø SOLAPAMIENTO DE OBJETIVOS

Los objetivos normalmente se solapan o refuerzan unos con otros. Estoquiere decir que las acciones dirigidas al cumplimiento de uno de ellos,



pocas veces son exclusivas, sino que coadyuvan al cumplimiento de otro uotros.

5.3.4. RIESGOS

5.3.4.1. ¿QUÉ SON LOS “RIESGOS”?

Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrenciaes incierta. La trascendencia del riesgo en el ámbito de estudio de controlinterno, se basa en que su probable manifestación y el impacto que puedecausar en la organización, pone en peligro la consecución de los objetivosde la misma.

5.3.4.2. IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS

Es imprescindible identificar los riesgos relevantes que enfrenta unorganismo en la búsqueda de sus objetivos, ya sean de origen internocomo externo.

La identificación del riesgo es un proceso iterativo, y generalmenteintegrado a la estrategia y planificación. En este proceso es conveniente"partir de cero", esto es, no basarse en el esquema de riesgosidentificados en estudios anteriores.

Su desarrollo debe comprender la realización de un "mapeo" del riesgo,que incluya la especificación de los dominios o puntos claves delorganismo, las interacciones significativas entre la organización y losterceros, la identificación de los objetivos generales y particulares, y lasamenazas y riesgos que se pueden tener que afrontar.

Ø Un dominio o punto clave del organismo, puede ser:

Ø Un proceso que es crítico para su sobrevivencia;

Ø Una o varias actividades que estén fuertemente relacionadas con losclientes;



Ø Un área que está sujeta a leyes, decretos o reglamentos de estrictocumplimiento, con amenazas de severas puniciones porincumplimiento;

Ø Un área de vital importancia estratégica.

Al determinar estas actividades o procesos claves, fuertemente ligados alos objetivos del organismo, debe tenerse en cuenta que pueden existiralgunos que no están formalmente expresados, pero que no debe serimpedimento para su consideración. El análisis se relaciona con lacriticidad del proceso o actividad y con la importancia del objetivo, másallá que éste sea explícito o implícito.

La dirección tendrá la responsabilidad de identificar riegos, pero esverdaderamente importante que se analicen con la misma profundidad losfactores que pueden contribuir a aumentar los mismos.

Existen muchas fuentes de riesgos, tanto internas como externas. A títulopuramente ilustrativo se pueden mencionar, entre las externas:

Desarrollos tecnológicos que en caso de no adoptarse, provocaríanobsolescencia organizacional;

Ø Cambios en las necesidades y expectativas de la demanda;

Ø Modificaciones en la legislación y normas regulatorias que conduzcana cambios forzosos en la estrategia y procedimientos;

Alteraciones en el escenario económico que impacten en el presupuestodel organismo, sus fuentes de financiamiento y su posibilidad deexpansión.

Entre las internas, se pueden citar:

Ø La estructura organizacional adoptada, teniendo en cuenta laexistencia de riesgos inherentes típicos tanto en un modelocentralizado como en uno descentralizado;

Ø La calidad del personal incorporado, así como los métodos para suinstrucción y motivación;



Ø La propia naturaleza de las actividades del organismo;

El impacto relativo de los sistemas informáticos en el sistema deinformación de la entidad.

Una vez identificados los riegos a nivel del organismo, deberá practicarsesimilar proceso a nivel de programa y actividad. Se considerará, enconsecuencia, un campo más limitado, enfocado a los componentes de lasáreas y objetivos claves identificadas en el análisis global del organismo.Los pasos siguientes al diagnóstico realizado son los de la estimación delriesgo y la determinación de los objetivos de control.

5.3.4.3. ESTIMACIÓN DEL RIESGO

Se debe estimar la frecuencia con que se presentarán los riesgosidentificados, así como también se debe cuantificar la probable pérdidaque ellos pueden ocasionar.

Una vez identificados los riegos a nivel de organismo y deprograma/actividad, debe procederse a su análisis. Los métodos utilizadospara determinar la importancia relativa de los riesgos pueden ser diversos,e incluirán, como mínimo:

Ø Una estimación de su importancia/trascendencia;

Ø Una evaluación de su probabilidad de ocurrencia/ frecuencia;

Ø Una valoración de la pérdida que podría resultar;

Ø Una definición del modo en que habrán de manejarse/gestionar elriego.

En general, aquellos riesgos cuya concreción esté estimada como de bajafrecuencia, no justifican preocupaciones mayores. Por el contrario, los quese estima de alta frecuencia deben merecer preferente atención.

Entre estos extremos se encuentran casos que deben ser analizadoscuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.



Existen muchos riesgos dificultosos de cuantificar, que como máximo seprestan a calificaciones de "grande", "moderado" o "pequeño". Pero nodebe cederse a la difundida inclinación de conceptuarlos rápidamentecomo "no medibles". En muchos casos, con un esfuerzo razonable, puedeconseguirse una medición satisfactoria.

Esto se puede expresar matemáticamente en la llamada Ecuación de la

Exposición:

PE = F x V

en donde:

PE = Pérdida Esperada o Exposición, expresada en pesos y en formaanual.

F = Frecuencia: veces probables en que el riesgo se concrete en el año.

V = Pérdida estimada para cada caso en que el riesgo se concrete,expresada en dinero.

5.3.4.4. VALORACIÓN DE RIESGOS

A continuación se describe una metodología (entre las varias que existen)que persigue la identificación y evaluación de riesgos.

La valoración es la identificación y análisis de los riesgos asociados al logrode los objetivos, definidos en planes estratégicos y anuales. Dado que unriesgo es algo que pone en peligro el logro de un objetivo, unaaproximación hacia su identificación, podría surgir de simples preguntas:¿que podría salir mal?; ¿qué recursos necesitamos proteger?.

Son factores clásicos de alto riesgo potencial: los programas o actividadescomplejas, el manejo de dinero en efectivo, la alta rotación y crecimientodel personal o el establecimiento de nuevos servicios. La valoración delriesgo se realiza usando el juicio profesional y la experiencia del auditor ydel gestor, en función de los siguientes criterios:



1. El impacto del área auditable cuando no logra los OBJETIVOS de laorganización.

2. La competencia, integridad y suficiencia del PERSONAL.

3. La cuantía de los activos, liquidez o volumen de TRANSACCIONES .

4. La COMPLEJIDAD o VOLATILIDAD de las actividades.

5. La suficiencia de los CONTROLES INTERNOS en la propia área.

6. El grado en que el área depende de los SISTEMAS INFORMÁTICOS.

Cada uno de los anteriores criterios se cuantifica según una escala, de 1 a3, que asigna un valor descriptivo a cada uno de los factores de riesgomás importantes:

1 = Riesgo bajo.

2 = Riesgo medio.

3 = Riesgo alto.

Suma

De acuerdo con los anteriores coeficientes, la suma del riesgo más bajoalcanzable por un área es 6 y el más alto, 18. La suma se multiplica por (P+ I) siendo:

P = la probabilidad de ocurrencia de un riesgo importante (1 = bajo, 2 =el medio, 3 = alto)

I = impacto en la Organización (1 = impacto bajo, 2 = impactomoderado, 3 = impacto crítico)

Ordenación

Ranking = cada una de las N áreas auditables se ordena de 1 a N.

Modelo de Evaluación de riesgos. Informe COCO



El modelo de evaluación de riesgos esta basado en el marco de controlinterno de COCO que considera cinco objetivos del control interno y cincocomponentes:

Objetivos:

1. Eficiencia en el costo.

2. Eficacia de las operaciones

3. Confiabilidad de la información.

4. Cumplimiento con la normatividad.

5. Salvaguarda de activos.

Componentes:

1. Ambiente de control.

2. Evaluación del control.

3. Actividades de control.

4. Información y comunicación.

5. Monitoreo o Supervisión.

Utilizando el modelo de evaluación de riesgos a nivel de subsunciones, esnecesario determinar lo siguiente:

1º La importancia de cada subsunción de la organización, frente a los cincoobjetivos del control.

2º Se asigna un valor matemático de 1 al que es menos importante y de 4al mas crítico. La asignación de estos valores es subjetiva.

3º Se estima la eficacia de los controles internos dentro de cada uno de loscinco componentes.



Los valores asignados se ponderan por cada uno de los componentes yrepresentan el riesgo residual posterior a la operación de los controles.

En este sentido, un valor menor refleja más confianza en elfuncionamiento efectivo del control.

5.3.5. MANEJO DE CAMBIOS

Este elemento resulta de vital importancia debido a que está enfocado a laidentificación de los cambios que pueden influir en la efectividad de loscontroles internos. Tales cambios son importantes, ya que los controlesdiseñados bajo ciertas condiciones pueden no funcionar apropiadamenteen otras.

De lo anterior se deriva la necesidad de contar con un proceso queidentifique las condiciones que pueden tener un efecto desfavorable sobrelos controles internos y atenten contra la seguridad razonable de que losobjetivos sean logrados.

El manejo de cambios debe estar ligado con el proceso de análisis deriesgos comentado anteriormente y debe ser capaz de proporcionarinformación para identificar y responder a las condiciones cambiantes.

Como se comentó anteriormente, la responsabilidad primaria sobre losriesgos, su análisis y manejo, es de la Gerencia, mientras que a laAuditoria Interna le corresponde apoyar el cumplimiento de talresponsabilidad.

Existen circunstancias que pueden merecer una atención especial enfunción del impacto potencial que plantean:

Ø Cambios en el entorno.

Ø Redefinición de la política institucional.

Ø Reorganizaciones o reestructuraciones internas.

Ø Ingreso de empleados nuevos, o rotación de los existentes.

Ø Nuevos sistemas, procedimientos y tecnologías.



Ø Aceleración del crecimiento.

Ø Nuevos productos, actividades o funciones.

Los mecanismos contenidos en este proceso deben tener un marcadosentido de anticipación que permita planear e implantar las accionesnecesarias. Tales mecanismos deben responder siempre a un criterio decosto-beneficio.

5.4. ACTIVIDADES DE CONTROL

5.4.1. DEFINICIÓN

Las actividades de control son políticas (qué debe hacerse) yprocedimientos (mecanismos de control) que tienden a asegurar que secumplan las instrucciones emanadas de la Dirección Superior, orientadasprimordialmente hacia la prevención y neutralización de los riesgos.

5.4.2. IMPORTANCIA DE LAS ACTIVIDADES DE CONTROL

Las actividades de control constituyen el núcleo de los elementos decontrol interno.

Apuntan a minimizar los riesgos que amenazan la consecución de losobjetivos generales de la organización.

Es menester que cada control esté en consonancia con el riesgo quepreviene, teniendo presente que los controles exagerados son tanperjudiciales como el riesgo excesivo, y reducen la productividad.

5.4.3. ¿QUIÉNES LAS LLEVAN A CABO?

Se ejecuta en todos los niveles de la organización y en cada una de lasetapas de la gestión. Partiendo de la elaboración de un mapa de riesgos,se disponen los controles destinados a:



Ø Prevenir su ocurrencia;

Ø Minimizar el impacto de sus consecuencias, o

Ø Procurar el restablecimiento del sistema en el menor tiempoposible.

5.4.4. CATEGORÍAS

Los controles pueden agruparse en tres categorías según sea el objetivode la entidad con el que estén relacionados.

Ø Las operaciones

Ø La confiabilidad de la información financiera

Ø El cumplimiento de leyes y reglamentos

Algunos tipos de control se relacionan solamente con un objetivo o áreaespecífica, pero en muchos casos las actividades de control pensadas paraun objetivo, suelen contribuir a la consecución de otros. Por ejemplo: losoperacionales suelen contribuir a los relacionados con la confiabilidad de lainformación contable, y éstos a su vez con el cumplimiento de normas yleyes, y así sucesivamente.

A su vez, en cada categoría, existen distintos tipos de control:

Preventivos / Detectivos / Correctivos

Manuales / Automatizados o Informáticos

Gerenciales / Operativos

Tal como se aprecia en esta última categoría, en todos los niveles de laorganización existen responsabilidades de control. Por ello es menesterque cada agente, conozca cual o cuales son las que les compete,debiéndose para ello, explicitar claramente tales funciones.



5.4.5. MECANISMOS DE CONTROL

A continuación se exponen algunos de los mecanismos de controlutilizables, sin que esta enumeración comprenda todos los posiblesmecanismos de control que se pueden desarrollar en una organización.

5.4.5.1. SEGREGACIÓN O SEPARACIÓN DE FUNCIONES

Las responsabilidades de autorizar, ejecutar, registrar y comprobar unatransacción, deben quedar, en la medida de lo posible, claramentesegregadas y diferenciadas. Este es uno de los mecanismos de controlinterno más importante y efectivo. Ejemplo: quien custodia los fondos deuna empresa, no deberá ser la misma persona que registra losmovimientos de tales fondos, ni ser la misma persona que autoriza ladisposición de ellos.

5.4.5.2. ANÁLISIS REALIZADOS POR LA DIRECCIÓN

Puesto que la información oportuna y apropiada constituye en la mayoríade los casos la primera base para la correcta toma de decisiones, esfundamental verificar la confiabilidad de la misma, por ejemplo:

La comparación de datos actuales con datos históricos referidos a losmismos períodos.

Información real versus pronosticada.

Fuentes de información diversa o cruzada, etc.

Seguimiento de campañas comerciales, programas de mejora de procesosproductivos, proyectos de reducción de costos, etc.

Son algunas de las herramientas utilizadas para lograr este cometido.



5.4.5.3. DOCUMENTACIÓN

La estructura de control interno y todas las transacciones y hechossignificativos, deben estar claramente documentados, y la documentacióndebe estar disponible para su verificación.

Todo organismo debe contar con la documentación referente a su sistemade control interno y a los aspectos pertinentes de las transacciones yhechos significativos.

La información sobre el sistema de control interno puede figurar en suformulación de políticas, y, básicamente, en el respectivo manual. Incluirádatos sobre objetivos, estructura y procedimientos de control.

La documentación sobre transacciones y hechos significativos debe sercompleta y exacta, y posibilitar el seguimiento y verificación por parte dedirectivos y fiscalizadores, de todas las operaciones que ella (ladocumentación) refleja.

5.4.5.4. NIVELES DEFINIDOS DE AUTORIZACIÓN

Los actos y transacciones relevantes sólo pueden ser autorizados yejecutados por funcionarios y empleados que actúen dentro del ámbito desus competencias.

La autorización es la forma idónea de asegurar que sólo se llevan adelanteactos y transacciones que cuentan con la conformidad de la dirección. Estaconformidad supone su ajuste a la misión, la estrategia, los planes,programas y presupuestos.

La autorización debe documentarse y comunicarse explícitamente a laspersonas o sectores autorizados. Estos deberán ejecutar las tareas que seles ha asignado, de acuerdo con las directrices, y dentro del ámbito decompetencias establecido por la normativa.



5.4.5.5. REGISTRO OPORTUNO Y ADECUADO DE LAS TRANSACCIONES Y HECHOS

Las transacciones y los hechos que afectan a un organismo debenregistrarse inmediatamente y ser debidamente clasificados.

Las transacciones o hechos deben registrarse en el momento de suocurrencia, o en el más inmediato posible, para garantizar su relevancia yutilidad. Esto es válido para todo el proceso o ciclo de la transacción,desde su inicio hasta su conclusión.

Asimismo, deberán clasificarse adecuadamente para que, una vezprocesados, puedan ser presentados en informes y estados financierosconfiables e inteligibles, facilitando a directivos y gerentes la adopción dedecisiones.

5.4.5.6. ACCESO RESTRINGIDO A LOS RECURSOS, ACTIVOS Y REGISTROS

El acceso a los recursos, activos, registros y comprobantes, debe estarprotegido por mecanismos de seguridad y limitado a personas autorizadas,quienes están obligadas a rendir cuenta de su custodia y utilización.

Todo activo de valor debe ser asignado a un responsable de su custodia ycontar con adecuadas protecciones a través de seguros, almacenaje,sistemas de alarma, pases para acceso, etc.

Además, deben estar debidamente registrados y periódicamente secotejarán las existencias físicas con los registros contables para verificar sucoincidencia. La frecuencia de la comparación, depende del nivel devulnerabilidad del activo.

Estos mecanismos de protección cuestan tiempo y dinero, por lo que en ladeterminación de nivel de seguridad pretendido, deberán ponderarse losriesgos emergentes, entre otros: robo, despilfarro, mal uso, destrucción,contra los costos del control a incurrir.

5.4.5.7. ROTACIÓN DEL PERSONAL EN LAS TAREAS CLAVES

Ningún empleado debe tener a su cargo, durante un tiempo prolongado,las tareas que presenten una mayor probabilidad de comisión de



irregularidades. Los empleados a cargo de dichas tareas deben,periódicamente, abocarse a otras funciones.

Si bien el sistema de control interno debe operar en un ambiente desolidez ética y moral, es necesario adoptar ciertas protecciones para evitarhechos que puedan conducir a realizar actos reñidos con el código deconducta del organismo.

En tal sentido, la rotación en el desempeño de tareas claves para laseguridad y el control, es un mecanismo de probada eficacia, y muchasveces no utilizado por el equivocado concepto del "hombre imprescindible .

5.4.5.8. CONTROL DEL SISTEMA DE INFORMACIÓN

El sistema de información debe ser controlado con el objetivo degarantizar su correcto funcionamiento y asegurar la confiabilidad delprocesamiento de transacciones.

La calidad del proceso de toma de decisiones en un organismo descansafuertemente en sus sistemas de información.

Un sistema de información abarca información cuantitativa, tal como losinformes de desempeño que utilizan indicadores, y cualitativa, tal como laatinente a opiniones y comentarios.

El sistema deberá contar con mecanismos de seguridad que abarquen oalcancen a las entradas, procesos, almacenamiento y salidas.

El sistema de información debe ser flexible, susceptible de modificacionesrápidas que permitan hacer frente a necesidades cambiantes de laDirección en un entorno dinámico de operaciones y presentación deinformes. El sistema ayuda a controlar todas las actividades delorganismo, a registrar y supervisar transacciones y eventos a medida queocurren, y a mantener datos financieros.

Las actividades de control de los sistemas aplicación, están diseñadas paracontrolar el procesamiento de las transacciones dentro de programas deaplicación e incluyen los procedimientos manuales asociados.



5.4.5.9. CONTROLES FÍSICOS

Los activos de naturaleza tangible son susceptibles de recuentos físicos.Estos controles, muy efectivos, comparan los resultados del recuento oarqueo, con las cifras que figuran en los registros contablescorrespondientes.

5.4.5.10. INDICADORES DE DESEMPEÑO

Todo organismo debe contar con métodos de medición de desempeño quepermitan la preparación de indicadores para su supervisión y evaluación.

La información obtenida se utilizará para la corrección de los cursos deacción y el mejoramiento del rendimiento.

La dirección de un organismo, programa, proyecto o actividad, debeconocer cómo marcha éste hacia los objetivos fijados, para mantener eldominio del rumbo, es decir, ejercer el control.

Un sistema de indicadores elaborados desde los datos emergentes de unmecanismo de medición del desempeño, contribuirá al sustento de lasdecisiones.

Los indicadores no deben ser tan numerosos que se tornen ininteligibles oconfusos, ni tan escasos que no permitan revelar las cuestiones claves y elperfil de la situación que se examina.

Cada organismo debe preparar un sistema de indicadores ajustado a suscaracterísticas, es decir, tamaño, proceso productivo, bienes y serviciosque entrega, nivel de competencia de sus funcionarios y demás elementosdiferenciales que lo distingan.

El sistema puede estar constituido por una combinación de indicadorescuantitativos, tales como los montos presupuestarios, y cualitativos, comoel nivel de satisfacción de los usuarios.

Los indicadores cualitativos deben ser expresados de una manera quepermita su aplicación objetiva y razonable. Por ejemplo: una medición



indirecta del grado de satisfacción del usuario puede obtenerse por elnúmero de reclamos.

5.4.5.11. FUNCIÓN DE AUDITORÍA INTERNA INDEPENDIENTE

La función de Auditoría Interna en las organizaciones debe depender de laautoridad superior de los mismos y sus funciones y actividades debenmantenerse desligadas de las operaciones sujetas a su examen.

Las unidades de Auditoría Interna deben brindar sus servicios a toda laorganización. Constituyen un mecanismo de seguridad con el que cuentala autoridad superior para estar informada, con razonable certeza, sobre laconfiabilidad del diseño y funcionamiento de su sistema de control interno.

La Auditoría Interna, al depender de la autoridad superior, puede practicarlos análisis, inspecciones, verificaciones y pruebas que considerenecesarios en los distintos sectores del organismo con independencia deestos, ya que sus funciones y actividades deben mantenerse desligadas delas operaciones sujetas a su examen.

Así, la Auditoría Interna vigila, en representación de la autoridad superior,el adecuado funcionamiento del sistema, informando oportunamente aaquella sobre su situación. Por su parte, los mecanismos y procedimientosdel Sistema de Control Interno protegen aspectos específicos de laoperatoria, para brindar una razonable seguridad del éxito en el esfuerzopor alcanzar los objetivos organizaciones.

5.4.6. CONTROL SOBRE LOS SISTEMAS DE PROCESAMIENTO ELECTRÓNICO DE

DATOS

Los sistemas de información desempeñan un papel fundamental en lagestión de la empresa. Su importancia va más allá del tamaño de lamisma o de la naturaleza de la información que se procese, y aún de laspropias características del sistema de información, es decir, manual ocomputadorizado. Al ser la estructura que soporta y por donde fluye ycircula la información , activo este, si se quiere del orden de los máspreciados en toda organización, debe necesariamente ser controlada.



Las actividades de control de los sistemas de información puedenagruparse en dos categorías; controles generales y controles de aplicación.

5.4.6.1. CONTROLES GENERALES

Las actividades de control general de la tecnología de información seaplican a todo el sistema de información incluyendo la totalidad de suscomponentes, desdela arquitectura de procesamiento es decir, grandes computadoras,minicomputadoras y redes- hasta la gestión de procesamiento por elusuario final.

También abarcan las medidas y procedimientos manuales que permitengarantizar la operación continua y correcta del sistema de información.

5.4.6.1.1. CONTROLES SOBRE LAS OPERACIONES DEL CENTRO DE

PROCESAMIENTO DE DATOS

Incluye lo relativo a la estructura organizativa del centro de procesamientoelectrónico de datos, o sea, cómo se organiza ésta al nivel de laestructura: responsable del sector, separación de funciones, niveles deautorización, etc. En definitiva, las mismas reglas de organizaciónaplicables a cualquier otro sector de la empresa.

En un entorno más sofisticado, estos controles también incluyen un áreade planificación donde, en función de la capacidad productiva, se disponeel uso y distribución de los recursos. Esta planificación, según la normaque analizamos, puede ser táctica y/o estratégica.

Siguiendo con la organización del área de sistemas, las normas COBIT,complementarias de las COSO en materia bancaria, aconsejan laexistencia de un Comité de Sistemas, como así también, controlesgerenciales sobre el área de procesamiento de datos.

La ubicación del área de sistemas dentro del organigrama general de laempresa ha quedado definida como sector autónomo que no supervisa nies supervisado por ninguna de las áreas usuarias.



5.4.6.1.2. NORMATIVAS Y PROCEDIMIENTOS

Son pautas o instrucciones básicas referentes a prácticas sanas cuyaexistencia es deseable en un ambiente de sistemas. Estas normas yprocedimientos, pueden referirse a:

Ø Desarrollo y mantenimiento de programas

Ø Pruebas de programas

Ø Pasajes de programas a producción

Ø Documentación de sistemas

Estas medidas son aplicables no sólo para las versiones originales de losprogramas, sino que su existencia es más importante aún en lasmodificaciones de ellas.

5.4.6.1.3. NORMAS SOBRE CONTINUIDAD DEL PROCESAMIENTO

La importancia de estos controles radica en que se relacionan con elprincipio de empresa en marcha , esto es, su finalidad es preservar a laorganización de un posible colapso en su sistema de información, que hagapeligrar la continuidad de la misma.

Los aspectos hacia donde apuntan estos controles son:

Ø Análisis de criticidad de los procesos

Ø Biblioteca de operaciones

Ø Back-up de archivos

Ø Plan de contingencias

Ø Creación y mantenimiento

Ø Capacitación y entrenamiento



Ø Pruebas

5.4.6.1.4. PROVEEDORES EXTERNOS

Si bien las normativas en materia de control apuntan primeramente a losprogramas con desarrollo propio o interno, deberán implementarse en laorganización los procedimientos necesarios que cubran la adquisición deprogramas a proveedores externos. Los puntos de especial atencióncuando los programas son adquiridos son:

Ø Contrataciones formales

Ø Disposición de programas fuente

Ø Documentación de desarrollo de sistemas

Acceso irrestricto a:

Ø Sistemas

Ø Datos

Ø Documentación

Controles sobre la seguridad física

La integridad de los datos y programas se protege a través de larestricción de la utilización del sistema a personas no autorizadas, comoasí también mediante la creación y mantenimiento de condicionesambientales adecuadas que favorezcan el funcionamiento de los medios enque se procesa la información. En esta categoría de control merecenespecial consideración los siguientes:

Ø Acceso restringido al área de PED

Ø Instalaciones adecuadas

Ø Energía ininterrumpible

Ø Medios de detección y extinción



Ø Aire acondicionado.

Controles sobre la seguridad lógica

La importancia de estos controles es cada vez mayor debido al crecimientode las redes de telecomunicaciones. Si son eficaces, estos controlespermiten proteger al sistema contra el acceso y uso no autorizados. Siestán bien diseñados, pueden prevenir la piratería informática.

Las actividades de control aconsejables para prevenir estos riesgos seorientan a:

Ø Identificación

Ø Autenticación

Ø Algo conocido (password)

Ø Algo poseído (tarjeta, llave)

Ø Algo personal (reconocimiento, firma, huellas dactilares, etc.)

Ø Autorización

Ø Matriz de autorizaciones

Ø Registración

5.4.7. CONTROLES SOBRE LAS APLICACIONES

Como su nombre lo indica, están diseñados para controlar elfuncionamiento de las aplicaciones. Permiten asegurar la totalidad yexactitud en el procesamiento de las transacciones, su autorización y suvalidez. Estos controles están orientados primordialmente a evitar quedatos erróneos se introduzcan al sistema, es decir, que su concepción esnetamente preventiva. Sin embargo, también deben ser eficaces paradetectar y corregir errores una vez dentro. Apuntan básicamente a:

Ø Ingreso de transacciones.



Ø Actualización de datos aceptados y seguimiento de los rechazados.

Ø Actualización de archivos.

Ø Controles de acceso a los registros.

Ø Documentación técnica y del usuario actualizada.

Ø Resguardo de los archivos.

Ø Administración del sistema.

Ø Interfases con otros sistemas.

Los sistemas de información versus tecnología son y serán sin duda unmedio para incrementar la productividad y competitividad. Las últimastendencias sugieren que la integración de la estrategia, la estructuraorganizacional y la tecnología de la información serán el triángulo clavepara los tiempos futuros.

5.4.8. AUTOEVALUACIÓN DE CONTROLES BASADA EN LOS MODELOS

El Dynamik Control Assessment (Evaluación Dinámica de Control) es unametodología desarrollada por la auditoría interna del Banco de Canadá,conocida como Autoevaluación de Control.

Este concepto se deriva y queda implícito en las teorías modernas delcontrol. En la estructura de los modelos COSO y COCO se definen loscomponentes que estructuran el marco integrado de control. En ellos seinvolucra al personal de todos los niveles jerárquicos de la organización yde todas las actividades del negocio, para evaluar los controles queapoyan el logro de los objetivos que les han sido encomendados.

Es importante señalar que la autoevaluación de controles puederevolucionar los servicios que la auditoría interna proporciona. Estametodología aplicada en forma adecuada ofrece hacer más con menosrecursos, y establece los mecanismos para la evaluación de los controlestanto informales como formales.



5.4.8.1. EVALUACIÓN DE CONTROLES INFORMALES

Para desarrollar esta metodología es necesario identificar los controlesinformales que se ubican en el componente ambiente de control y loscontroles formales en los restantes cuatro componentes del marcointegrado (evaluación de control, actividades de control, comunicación ysupervisión).

El método contempla la realización de talleres para obtener una ampliarepresentación de las perspectivas que apoyan u obstaculizan el logro deobjetivos.

Profesionales de la auditoría interna organizan los talleres con el personaloperativo, sin la participación de la alta dirección.

Estos eventos pueden realizarse sobre unidades de trabajo o por funcionesespecíficas. La gerencia responsable, objeto de análisis, debe definir losobjetivos de trabajo más importantes, así como los controles quecoadyuven a su consecución.

Los participantes evalúan las fortalezas y debilidades de sus procesos detrabajo y comentan el impacto en la capacidad para alcanzar los objetivospropuestos.Para estructurar las discusiones, se utilizan plantillas para evaluar el riesgode auditoría y fijación de prioridades, prevista en el modelo COSO.

Este procedimiento, una vez automatizado, proporciona las plantillas,recoge los resultados de todos los votos de los participantes, captura losaspectos relevantes de la discusión y facilita en posterior análisis de losresultados.

En estos talleres se evalúan los controles formales e informales, utilizandoel mismo criterio en cada taller para facilitar la acumulación ycomparaciones en el ámbito de toda la organización.

Los participantes votan para definir la importancia de cada aspecto y paraevaluar la eficacia.



5.4.8.2. EVALUACIÓN DE CONTROLES FORMALES

Se refiere a las actividades de control relacionadas con objetivosespecíficos de trabajo.

La definición de los controles específicos se realiza mediante una reunión yse identifican y agrupan bajo cuatro componentes de control:

Ø Evaluación de Riesgos

Ø Actividades de Control

Ø Información y Comunicación

Ø Monitoreo o Supervisión.

En esta misma reunión se obtiene el consenso de la gerencia respecto a laimportancia y eficacia de los controles propuestos en apoyo del logro delos objetivos y con la información obtenida se elaboran plantillas paradiscusión y votación.

La discusión se realiza por las actividades de control dentro de loscomponentes, y la votación se realiza para definir la importancia y eficaciade dichas actividades.

5.4.8.3. INFORME DE RESULTADOS

La gerencia recibe el reporte de calificaciones y evaluaciones, el cualconstituye la base para el intercambio de ideas entre la gerencia y eldepartamento de auditoría interna, que incluye cualquier asunto de interésprecisado para su posterior negociación sobre las acciones a tomar para suatención.

La gerencia del departamento evaluado recibe un informe consolidado dela Autoevaluación de Control que proporciona una visión general de loscontroles formales e informales y también recibe un reporte del Perfil deConfianza, que compara la evaluación de los controles de cadacomponente con el nivel general de toda la organización.



Con la participación del departamento de auditoría interna en el procesode Autoevaluación de Control se obtiene información valiosa respecto acontroles potenciales, por la especialización que tiene en esta materia.

La auditoría adquiere un conocimiento integral de las operaciones y paraefectos de revisiones subsecuentes, ayuda a identificar las prioridades enel proceso de planeación de sus actividades.



IMPORTANCIA DEL CONTROL INTERNO

Durante muchos años se ha reconocido dentro de la literatura profesionalla importancia del control interno para la administración y para losauditores independientes. Algunos factores que hacen cada vez mayorimportancia del control interno son:

Ø El alcance y tamaño de la organización se ha hecho tan complejo yamplio que la administración deberá de confiar en innumerablesreportes y análisis para controlar efectivamente las operaciones.

Ø La verificación y revisión inherente a un buen sistema de controlinterno proporcionan protección contra las debilidades humanas yreducen la posibilidad de que ocurran errores e irregularidades.

Para los auditores resulta impracticable realizar auditoría en la mayorparte de las compañías sin rebasar las restricciones de honorarios si no setiene el apoyo de un buen sistema de control interno del cliente.

IDENTIFICACION DE OBJETIVOS DEL CONTROL

La estructura del control interno de una entidad incluye normalmentecontroles diseñados para asegurar la confiabilidad de los registroscontables, y salvaguardar los activos. Los registros financierosproporcionan la base para informar tanto en forma interna a losadministradores cuanto externa a los accionistas y demás interesados.

Normalmente se considera muy útil dentro de una auditoría de estadosfinancieros los objetivos de control, tales como Validez, Totalidad,propiedad de registro, Salvaguarda y control subsecuente.

LIMITACIONES

Todas las estructuras de control interno se encuentran sujetas alimitaciones inherentes. Una de ellas es el factor humano que existe dentrode los procedimientos de control. La efectividad de los controles

CONCLUSIONES Y RECOMENDACIONES



específicos puede nulificarse por un empleado por no entender lasinstrucciones, descuido, cansancio o ausentismo.También es posible que la efectividad del control interno se minimice através de la confabulación entre empleados o con persona fuera de laentidad.Una segunda limitación es que los controles pueden no abarcar a todas lastransacciones. Por ejemplo, os controles podrán no aplicarse atransacciones que no sean de rutina como serían bonos a funcionarios yeventos extraordinarios.Además debe reconocerse que el control interno existe dentro de unentorno de negocios más dinámico que estático.

RECOMENDACIÓN

El auditor debe obtener un conocimiento satisfactorio del entorno decontrol, que le permita evaluar la actitud, conciencia y acciones de laadministración y del comité de auditoria con respecto a la importancia delos controles y su efecto en la entidad.La comprensión del entrono de control se considera esencial para planearen forma adecuada la auditoria. El entorno de control interno es de sumaimportancia para evitar información financiera fraudulenta en grandesempresas.

El conocimiento de la estructura del control interno de una entidadnormalmente reobtiene:

Ø Considerando experiencias previas con el cliente en auditoriasanteriores

Ø Realizando investigaciones con la administración y personal desupervisión y apoyo

Ø Revisando documentos y registros tales como manuales decontabilidad y procedimientos

Ø Observando la actividades y operaciones de la entidad.



Ø AICPA: Declaraciones sobre normas de auditoría. Codificación denormas y procedimientos

de auditoría, Vol. I México.

Ø AICPA: Evaluación de la estructura delcontrol interno en una auditoría de estados financieros,D.F.: Instituto Mexicano deContadores Públicos. 1988-1995.

Ø ALVAREZ LÓPEZ, J. y BLANCO ILLESCAS, F., Enfoque sistémico de lacontabilidad

de dirección estratégica , Técnica Contable, (1993).

Ø BANCO DE MÉXICO (Exposición), V Reunión de Auditores Internos debanca

Central.

Ø COOPERS & LYBRAND, Los nuevos conceptos del control interno(Informe COSO) ,

Ed. Díaz de Santos, (1997), España.

Ø El sistema de control interno: problemática de su implantación en laempresa.14 Hitos

de Ciencias Económicos-Administrativas. Universidad Autónoma deTabasco.

Ø JENSEN, M.C., Éxito y fracaso de los sistemas de control interno ,Harvard Deusto

Business-Review. (1995).

Ø RUSSENAS, Rubén Oscar, Manual de control interno , Buenos Aires,Cangallo,

(1978).

BIBLIOGRAFIA



1. ANTECEDENTES .......................................................................................................................................... 111.1. Problema de la Investigación......................................................................................................... 11

1.1.1. Planteamiento del Problema ........................................................................................................ 111.2. Justificación de la Investigación ......................................................................................................... 12

1.2.1. Justificación Teórica ...................................................................................................................... 121.2.2. Justificación Práctica ..................................................................................................................... 131.2.3. Justificación Metodológica .......................................................................................................... 13

1.3. Objetivos de la Investigación .............................................................................................................. 141.3.1. Objetivo Principal ........................................................................................................................... 141.3.2. Objetivos Específicos ....................................................................................................................... 15

2. METODOLOGÍA DE LA INVESTIGACIÓN........................................................................................................ 162.1. Tipo de Estudio ........................................................................................................................................... 162.2. Método de Investigación ........................................................................................................................ 162.3. Fuentes y Técnicas para la Recolección de Información......................................................... 162.4. Tratamiento de la Información ........................................................................................................... 16

3. MARCO TEORICO CONCEPTUAL ...................................................................................................................... 183.1. DEFINICION Y OBJETIVOS .................................................................................................................... 183.2. COMPONENTES ........................................................................................................................................... 19

3.2.1. AMBIENTE DE CONTROL ................................................................................................................ 203.2.2. EVALUACION DE RIESGOS ........................................................................................................... 223.2.3. ACTIVIDADES DE CONTROL ........................................................................................................ 233.2.4. INFORMACION Y COMUNICACION ............................................................................................ 253.2.5. SUPERVISION ..................................................................................................................................... 26

4. DESARROLLO DEL TRABAJO............................................................................................................................. 294.1. El Nuevo Concepto del COSO ........................................................................................................ 294.2. Componentes del Control Interno ............................................................................................... 33

4.2.1. Primer Componente del Control Interno - Ambiente de Control ................................ 344.2.1.1. Aspectos Generales ...................................................................................................................... 344.2.1.2. El Ambiente de Control abarca los siguientes factores: .................................... 35Ø Compromisos con la competencia. ............................................................................................. 36Ø Consejo de directores o participación del comité de auditoría...................................... 36Ø Filosofía de la gerencia y su estilo operativo. ........................................................................ 36Ø Estructura organizacional................................................................................................................ 36Ø Asignación de autoridad y responsabilidad. ........................................................................... 37Ø Políticas y prácticas de recursos humanos. ............................................................................ 374.2.1.3. Comprendiendo el Ambiente de Control ............................................................................ 374.2.1.4. Evaluación del Entorno o Ambiente de Control .............................................................. 384.2.1.5. Integridad y valores éticos ....................................................................................................... 384.2.1.6. Compromiso de competencia profesional .......................................................................... 384.2.1.7. Consejo de Administración ....................................................................................................... 394.2.1.8. La filosofía de la dirección y el estilo de la gestión ....................................................... 394.2.1.9. Estructura organizativa .............................................................................................................. 404.2.1.10. Asignación de autoridad y responsabilidad .................................................................... 404.2.1.11. Políticas y prácticas de recursos humanos ..................................................................... 404.2.2. Segundo Componente del Control Interno - Evaluación del Riesgo ........................ 41



4.2.2.1. Aspectos Generales ...................................................................................................................... 414.2.2.2. Objetivos ........................................................................................................................................... 424.2.2.3. Riesgos ............................................................................................................................................... 424.2.2.4. Manejo de cambios ...................................................................................................................... 434.2.2.5. Valoración de Riesgo .................................................................................................................. 434.2.2.6. Comprendiendo la Evaluación del Riesgo .......................................................................... 454.2.2.7. Evaluación de los Riesgos ........................................................................................................ 454.2.2.7.1. Objetivos globales .................................................................................................................... 454.2.2.7.2. Objetivos asignados a cada actividad ............................................................................. 46Ø Riesgos ..................................................................................................................................................... 46Ø Gestión del cambio ............................................................................................................................. 464.2.3. Tercer Componente del Control Interno - Actividades de Control ............................. 474.2.3.1. Aspectos Generales ...................................................................................................................... 474.2.3.2. Las Actividades de Control Según SAS - 78..................................................................... 484.2.3.3. Comprendiendo las Actividades de Control ...................................................................... 494.2.3.4. Evaluación de las Actividades de Control .......................................................................... 504.2.4. Cuarto Componente del Control Interno - Información y Comunicación ............... 504.2.4.1. Aspectos Generales ...................................................................................................................... 504.2.4.2. Información...................................................................................................................................... 514.2.4.3. Comunicación .................................................................................................................................. 524.2.4.4. Información y Comunicación según SAS 78 ................................................................ 524.2.4.5. Comprendiendo la Información y Comunicación............................................................ 534.2.4.6. Evaluación de la Información y Comunicación................................................................ 554.2.4.6.1. Información ................................................................................................................................. 554.2.4.6.2. Comunicación.............................................................................................................................. 564.2.5. Quinto Componente del Control Interno - Vigilancia ....................................................... 574.2.5.1. Aspectos Generales ...................................................................................................................... 574.2.5.2. Vigilancia Según SAS -78.......................................................................................................... 584.2.5.4. Evaluación sobre la Vigilancia (Supervisión o Monitoreo) ......................................... 594.2.5.4.1. La supervisión continuada .................................................................................................... 59

4.3. El Control Interno y la Tarea del Auditor Interno: Alcance del Trabajo .......................... 604.4. La auditoria y el Control Interno ........................................................................................................ 61

4.4.1. El método documental.-................................................................................................................. 614.4.2. El método de prueba del sistema .- ........................................................................................... 614.5. técnicas de relevamiento del sistema de control interno ....................................................... 62

4.5.1. Fuentes de Información Sobre el Control Interno ........................................................... 624.5.2. Documentar la comprensión del control interno ................................................................ 634.5.2.1. Métodos de Relevamiento ......................................................................................................... 644.5.2.2. Método Descriptivo ....................................................................................................................... 654.5.2.3. Método de los Cuestionarios .................................................................................................... 66Ø Ventajas ................................................................................................................................................... 68Ø Desventajas ........................................................................................................................................... 684.5.2.4. Método de los Curso gramas ................................................................................................... 694.5.2.4.1. Concepto ....................................................................................................................................... 694.5.2.4.2. Características y Componentes .......................................................................................... 704.5.2.4.3. Técnicas Empleadas................................................................................................................. 744.5.2.4.4. Evaluación del Método ............................................................................................................ 75Ø Ventajas ................................................................................................................................................... 75Ø dificultades ............................................................................................................................................. 76



4.5.2.5. Combinación de Métodos .......................................................................................................... 764.5.3. Elección, Ocasión y Extensión del Método a Utilizar ........................................................ 774.5.3.1. Elección .............................................................................................................................................. 774.5.3.2. Ocasión .............................................................................................................................................. 784.5.3.3. Extensión .......................................................................................................................................... 78

5. MARCO PROPOSITIVO.......................................................................................................................................... 795.1. CONTROL INTERNO DESARROLLO Y APLICACIÓN ................................................................ 79

5.1.1. Antecedentes.- ................................................................................................................................... 795.1.2. Conflicto entre propietario y directivos................................................................................... 805.1.3. Nuevos modelos en el enfoque de control ............................................................................ 815.1.4. Informe COSO (Committee of Sponsoring Organizations of TreadwayCommission, National Commission on Fraudulent Financial Reporting) ............................... 815.1.4.1. Finalidad del informe ................................................................................................................... 825.1.4.2. Definición de Control Interno según las normas COSO .............................................. 825.1.4.3. Objetivos del control ................................................................................................................... 845.1.5. Componentes o elementos de control interno .................................................................... 855.1.6. Qué se puede lograr con el control interno .......................................................................... 855.1.7. Qué no se puede lograr con el control interno .................................................................... 865.1.8. Factores que suponen un freno a la implementación de un sistema de controlinterno en la gestión empresarial. .......................................................................................................... 86

5.2. ENTORNO DE CONTROL ......................................................................................................................... 875.2.1. ¿Qué es el entorno de control? ................................................................................................... 875.2.2. Importancia.......................................................................................................................................... 875.2.3. Factores que lo constituyen ......................................................................................................... 875.2.3.1. Los valores éticos.......................................................................................................................... 885.2.3.1.1. Evaluación de los Valores Éticos ........................................................................................ 895.2.3.2. Compromiso de competencia profesional. Conceptualización................................. 905.2.3.2.1. Evaluación .................................................................................................................................... 915.2.3.3. Filosofía y estilo de la Dirección ............................................................................................. 915.2.3.3.1. Evaluación .................................................................................................................................... 915.2.3.4. Estructura y Plan de Organización ........................................................................................ 92Delegación de poderes y responsabilidad. .......................................................................................... 925.2.3.4.1. Evaluación .................................................................................................................................... 935.2.3.5. Políticas y prácticas de Recursos Humanos ...................................................................... 93Ø Evaluación ............................................................................................................................................... 945.2.3.6. Comité de Administración o Comité de Auditoría .......................................................... 95Ø Evaluación ............................................................................................................................................... 95

5.3. EVALUACION DE RIESGOS ................................................................................................................... 955.3.1. El impacto de los riesgos en la organización ....................................................................... 955.3.1.1. Importancia de los factores ..................................................................................................... 965.3.2. El Riesgo y los Objetivos de la Organización ....................................................................... 975.3.3. Objetivos ............................................................................................................................................... 975.3.3.1. ¿Cómo se establecen los objetivos?..................................................................................... 975.3.3.2. Categorías de Objetivos de Control Interno ..................................................................... 98Ø Objetivos de las operaciones ......................................................................................................... 98Ø Objetivos relacionados con la información financiera ........................................................ 985.3.3.2.3. Objetivos de cumplimiento................................................................................................. 100Ø Consecución de objetivos .............................................................................................................. 100Ø Solapamiento de objetivos............................................................................................................ 100



5.3.4. Riesgos ................................................................................................................................................. 1015.3.4.1. ¿Qué son los riesgos ?............................................................................................................ 1015.3.4.2. Identificación y análisis de riesgos ..................................................................................... 1015.3.4.3. Estimación del riesgo ................................................................................................................ 1035.3.4.4. Valoración de riesgos ................................................................................................................ 1045.3.5. Manejo de cambios ......................................................................................................................... 107

5.4. ACTIVIDADES DE CONTROL............................................................................................................... 1085.4.1. Definición ............................................................................................................................................ 1085.4.2. Importancia de las actividades de control .......................................................................... 1085.4.3. ¿Quiénes las llevan a cabo? ....................................................................................................... 1085.4.4. Categorías ........................................................................................................................................... 1095.4.5. Mecanismos de control ................................................................................................................. 1105.4.5.1. Segregación o separación de funciones ........................................................................... 1105.4.5.2. Análisis realizados por la dirección ..................................................................................... 1105.4.5.3. Documentación ............................................................................................................................ 1115.4.5.4. Niveles definidos de autorización ........................................................................................ 1115.4.5.5. Registro oportuno y adecuado de las transacciones y hechos .............................. 1125.4.5.6. Acceso restringido a los recursos, activos y registros ............................................... 1125.4.5.7. Rotación del personal en las tareas claves ..................................................................... 1125.4.5.8. Control del sistema de información .................................................................................... 1135.4.5.9. Controles físicos ........................................................................................................................... 1145.4.5.10. Indicadores de desempeño .................................................................................................. 1145.4.5.11. Función de auditoría interna independiente ................................................................ 1155.4.6. Control sobre los sistemas de procesamiento electrónico de datos ....................... 1155.4.6.1. Controles generales ................................................................................................................... 1165.4.6.1.1. Controles sobre las operaciones del Centro de Procesamiento de datos ..... 1165.4.6.1.2. Normativas y Procedimientos ........................................................................................... 1175.4.6.1.3. Normas sobre Continuidad del Procesamiento ......................................................... 1175.4.6.1.4. Proveedores externos ........................................................................................................... 1185.4.7. Controles sobre las aplicaciones .............................................................................................. 1195.4.8. Autoevaluación de controles basada en los modelos ..................................................... 1205.4.8.1. Evaluación de controles informales .................................................................................... 1215.4.8.2. Evaluación de controles formales ........................................................................................ 1225.4.8.3. Informe de Resultados ............................................................................................................. 122IMPORTANCIA DEL CONTROL INTERNO............................................................................................. 124IDENTIFICACION DE OBJETIVOS DEL CONTROL ........................................................................... 124LIMITACIONES................................................................................................................................................ 124RECOMENDACIÓN ......................................................................................................................................... 125

PROYECTO DE GRADO TEMA: EL SISTEMA DE CONTROL INTERNO...

Documents

Transcript of PROYECTO DE GRADO TEMA: EL SISTEMA DE CONTROL INTERNO...