Evaluación del control interno aplicable a las municipalidades distritales del Perú (página 2)
03 La rotación de funcionarios o servidores públicos puede ayudar a evitar la colusión ya que impide que una persona sea responsable de aspectos claves por un excesivo período de tiempo.
3.3. Evaluación costo-beneficio
El diseño e implementación de cualquier actividad o procedimiento de control deben ser precedidos por una evaluación de costo-beneficio considerando como criterios la factibilidad y la conveniencia en relación con el logro de los objetivos, entre otros.
Comentarios:
01 Debe considerarse como premisa básica que el costo de establecer un control no supere el beneficio de él se pueda obtener. Para ello la evaluación de los controles debe hacerse a través de dos criterios: factibilidad y conveniencia.
02 La factibilidad tiene que ver con la capacidad de la entidad de implantar y aplicar el control eficazmente, lo que está determinado, fundamentalmente, por su disponibilidad de recursos, incluyendo personal con capacidad para ejecutar los procedimientos y medidas del caso y obtener los objetivos de control pretendidos.
03 La conveniencia se relaciona con los beneficios esperados en comparación con los recursos invertidos, y con la necesidad de que los controles se acoplen de manera natural a los procesos, actividades y tareas de los empleados y se conviertan en parte de ellos.
04 Revisar y actualizar periódicamente los controles existentes de manera que satisfagan los criterios de factibilidad y conveniencia.
3.4. Controles sobre el acceso a los recursos o archivos
El acceso a los recursos o archivos debe limitarse al personal autorizado que sea responsable por la utilización o custodia de los mismos. La responsabilidad en cuanto a la utilización y custodia debe evidenciarse a través del registro en recibos, inventarios o cualquier otro documento o medio que permita llevar un control efectivo sobre los recursos o archivos.
Comentarios:
01 El acceso a los recursos y archivos se da de dos maneras: (i) autorización para uso y (ii) autorización de custodia.
02 La restricción de acceso a los recursos reduce el riesgo de la utilización no autorizada o pérdida. El grado de restricción depende de la vulnerabilidad de los recursos y el riesgo percibido de pérdida o utilización indebida. Asimismo, deben evaluarse periódicamente estos riesgos. Por otro lado, para determinar la vulnerabilidad de un recurso se debe considerar su costo, portabilidad y posibilidad de cambio.
3.5. Verificaciones y conciliaciones
Los procesos, actividades o tareas significativos deben ser verificados antes y después de realizarse, así como también deben ser finalmente registrados y clasificados para su revisión posterior.
Comentarios:
01 Las verificaciones y conciliaciones de los registros contra las fuentes respectivas deben realizarse periódicamente para determinar y enmendar cualquier error u omisión que se haya cometido en el procesamiento de los datos.
02 Deben también realizarse verificaciones y conciliaciones entre los registros de una misma unidad, entre éstos y los de distintas unidades, así como contra los registros generales de la institución y los de terceros ajenos a ésta, con la finalidad de establecer la veracidad de la información contenida en los mismos. Dichos registros están referidos a la información operativa, financiera, administrativa y estratégica propia de la institución.
3.6. Evaluación de desempeño
Se debe efectuar una evaluación permanente de la gestión tomando como base regular los planes organizacionales y las disposiciones normativas vigentes, para prevenir y corregir cualquier eventual deficiencia o irregularidad que afecte los principios de eficiencia, eficacia, economía y legalidad aplicables.
Comentarios:
01 La administración, independientemente del nivel jerárquico o funcional, debe vigilar y evaluar la ejecución de los procesos, actividades, tareas y operaciones, asegurándose que se observen los requisitos aplicables (jurídicos, técnicos y administrativos; de origen interno y externo) para prevenir o corregir desviaciones. Durante la evaluación del desempeño, los indicadores establecidos en los planes estratégicos y operativos deben aplicarse como puntos de referencia.
02 La evaluación del desempeño permite generar conciencia sobre los objetivos y beneficios derivados del logro de los resultados organizacionales, tanto dentro de la institución como hacia la colectividad. Asimismo, la retroalimentación obtenida con respecto al cumplimiento de los planes permite conocer si es necesario modificarlos. Esto último con el objetivo de fortalecer a la entidad y enfrentar cualquier riesgo existente, así como prever cualquier otro que pueda presentarse en el futuro.
03 La evaluación de desempeño de la gestión debe constituir una herramienta necesaria que requiere ser formalizada a través de regulaciones internas, debiendo definirse y formalizarse en documentos de carácter institucional.
04 Una medida de evaluación del desempeño en cuanto a procesos u operaciones lo pueden brindar los indicadores. Estos constituyen una herramienta para evaluar el logro de los objetivos y metas y asegurar el adecuado funcionamiento del sistema a través de la aplicación de las actividades de control de control gerencial destinadas a minimizar los riesgos de la entidad. A partir de estos indicadores se puede diseñar un sistema de alerta temprano que permita identificar con anticipación los factores que pueden afectar el logro de objetivos y metas, cuantificando su incidencia.
3.7. Rendición de cuentas
La entidad, los titulares, funcionarios y servidores públicos están obligados a rendir cuentas por el uso de los recursos y bienes del Estado, el cumplimiento misional y de los objetivos institucionales, así como el logro de los resultados esperados, para cuyo efecto el sistema de control interno establecido deberá brindar la información y el apoyo pertinente.
Comentarios:
01 En cumplimiento de la normativa establecida y como correlato a sus responsabilidades por la administración y uso de recursos y bienes de la entidad, los funcionarios y servidores públicos deben estar preparados en todo momento para cumplir con su obligación periódica de rendir cuentas ante la instancia correspondiente, respecto al uso de los recursos y bienes del Estado.
02 El sistema de control interno debe servir como fuente y respaldo de la información necesaria, que refuerza y apoya el compromiso por la oportuna rendición de cuentas mediante la implementación de medidas y procedimientos de control.
3.8. Documentación de procesos, actividades y tareas
Los procesos, actividades y tareas deben estar debidamente documentados para asegurar su adecuado desarrollo de acuerdo con los estándares establecidos, facilitar la correcta revisión de los mismos y garantizar la trazabilidad de los productos o servicios generados.
01 Los procesos, actividades y tareas que toda entidad desarrolla deben ser claramente entendidos y estar correctamente definidos de acuerdo con los estándares establecidos por el titular o funcionario designado, para así garantizar su adecuada documentación.
Dicha documentación comprende también los registros generados por los controles establecidos, como consecuencia de hechos significativos que se produzcan en los procesos, actividades y tareas, debiendo considerarse como mínimo la descripción de los hechos sucedidos, el efecto o impacto, las medidas adoptadas para su corrección y los responsables en cada caso.
02 Cualquier modificación en los procesos, actividades y tareas producto de mejoras o cambios en las normativas y estándares deben reflejarse en una actualización de la documentación respectiva.
03 La documentación correspondiente a los procesos, actividades y tareas de la entidad deben estar disponibles para facilitar la revisión de los mismos.
04 La documentación de los procesos, actividades y tareas debe garantizar una adecuada transparencia en la ejecución de los mismos, así como asegurar el rastreo de las fuentes de defectos o errores en los productos o servicios generados (trazabilidad).
3.9. Revisión de procesos, actividades y tareas
Los procesos, actividades y tareas deben ser periódicamente revisados para asegurar que cumplen con los reglamentos, políticas, procedimientos vigentes y demás requisitos. Este tipo de revisión en una entidad debe ser claramente distinguido del seguimiento del control interno.
Comentarios:
01 Las revisiones periódicas de los procesos, actividades y tareas deben proporcionar seguridad de que éstos se estén desarrollando de acuerdo con lo establecido en los reglamentos, políticas y procedimientos, así como asegurar la calidad de los productos y servicios entregados por las entidades. Caso contrario se debe detectar y corregir oportunamente cualquier desviación con respecto a lo planeado.
02 Las revisiones periódicas de los procesos, actividades y tareas deben brindar la oportunidad de realizar propuestas de mejora en éstos con la finalidad de obtener una mayor eficacia y eficiencia, y así contribuir a la mejora continua en la entidad.
3.10. Controles para las Tecnologías de la Información y Comunicaciones
La información de la entidad es provista mediante el uso de Tecnologías de la Información y Comunicaciones (TIC). Las TIC abarcan datos, sistemas de información, tecnología asociada, instalaciones y personal. Las actividades de control de las TIC incluyen controles que garantizan el procesamiento de la información para el cumplimiento misional y de los objetivos de la entidad, debiendo estar diseñados para prevenir, detectar y corregir errores e irregularidades mientras la información fluye a través de los sistemas.
Comentarios:
01 Los controles generales los conforman la estructura, políticas y procedimientos que se aplican a las TIC de la entidad y que contribuyen a asegurar su correcta operatividad. Los principales controles deben establecerse en: Sistemas de seguridad de planificación y gestión de la entidad en los cuales los controles de los sistemas de información deben aplicarse en las secciones de desarrollo, producción y soporte técnico; Segregación de funciones; Controles de acceso general, es decir, seguridad física y lógica de los equipos centrales; Continuidad en el servicio.
02 Para la puesta en funcionamiento de las TIC, la entidad debe diseñar controles en las siguientes etapas: (i) Definición de los recursos; (ii) Planificación y organización; (iii) Requerimiento y salida de datos o información; (iv) Adquisición e implementación; (v) Servicios y soporte; (vi) Seguimiento y monitoreo.
03 La segregación de funciones implica que las políticas, procedimientos y estructura organizacional estén establecidos para prevenir que una persona controle los aspectos clave de las operaciones de los sistemas, pudiendo así conducir a acciones no autorizadas u obtener acceso indebido a los recursos de información.
04 El control del desarrollo y mantenimiento de los sistemas de información provee la estructura para el desarrollo seguro de nuevos sistemas y la modificación de los existentes, incluyendo las carpetas de documentación de estos. Se requiere definir mecanismos de autorización para la realización de proyectos, revisiones, pruebas y aprobaciones para actividades de desarrollo y modificaciones previas a la puesta en operación de los sistemas. Las decisiones sobre desarrollo propio o adquisición de software deben considerar la satisfacción de las necesidades y requerimientos de los usuarios así como el aseguramiento de su operabilidad.
05 Los controles de aplicación incluyen la implementación de controles para el ingreso de datos, proceso de transformación y salida de información, ya sea por medios físicos o electrónicos. Los controles deben estar implementados en los siguientes procesos: 1. Controles para el área de desarrollo: En el requerimiento, análisis, desarrollo, pruebas, pase a producción, mantenimiento y cambio en la aplicación del software. En el aseguramiento de datos fuente por medio de accesos a usuarios internos del área de sistemas. En la salida interna y externa de datos, por medio de documentación en soporte físico o electrónico o por medio de comunicaciones a través de publicidad y página Web. 2. Controles para el área de producción: En la seguridad física, por medio de restricciones de acceso a la sala de cómputo y procesamiento de datos, a las redes instaladas, así como al respaldo de la información (backup). En la seguridad lógica, por medio de la creación de perfiles de acuerdo con las funciones de los empleados, creación de usuarios con accesos propios (contraseñas) y relación de cada usuario con el perfil correspondiente. 3. Controles para el área de soporte técnico, en el mantenimiento de máquinas (hardware), licencias (software), sistemas operativos, utilitarios (antivirus) y bases de datos. Los controles de seguridad deben proteger al sistema en general y las comunicaciones cuando aplique, como por ejemplo redes instaladas, intranet y correos electrónicos.
06 El control específico de las actividades incluye el cambio frecuente de contraseñas y demás mecanismos de acceso que deben limitarse según niveles predeterminados de autorización en función de las responsabilidades de los usuarios. Es importante el control sobre el uso de contraseñas, cuidando la anulación de las asignadas a personal que se desvincule de las funciones.
07 Para el adecuado ambiente de control en los sistemas informáticos, se requiere que éstos sean preparados y programados con anticipación para mantener la continuidad del servicio. Para ello se debe elaborar, mantener y actualizar periódicamente un plan de contingencia debidamente autorizado y aprobado por el titular o funcionario designado donde se estipule procedimientos previstos para la recuperación de datos con el fin de afrontar situaciones de emergencia.
08 El programa de planificación y administración de seguridad provee el marco y establece el ciclo continuo de la administración de riesgos para las TIC, desarrollando políticas de seguridad, asignando responsabilidades y realizando el seguimiento de la correcta operación de los controles.
Norma general para el componente de información y comunicación
Se entiende por el componente de información y comunicación, los métodos, procesos, canales, medios y acciones que, con enfoque sistémico y regular, aseguren el flujo de información en todas las direcciones con calidad y oportunidad. Esto permite cumplir con las responsabilidades individuales y grupales. La información no solo se relaciona con los datos generados internamente, sino también con sucesos, actividades y condiciones externas que deben traducirse a la forma de datos o información para la toma de decisiones. Asimismo, debe existir una comunicación efectiva en sentido amplio a través de los procesos y niveles jerárquicos de la entidad. La comunicación es inherente a los sistemas de información, siendo indispensable su adecuada transmisión al personal para que pueda cumplir con sus responsabilidades. Esta norma comprende: Funciones y características de la información; Información y responsabilidad; Calidad y suficiencia de la información; Sistemas de información; Flexibilidad al cambio; Archivo institucional; Comunicación interna; Comunicación externa; Canales de comunicación.
4.1. Funciones y características de la información
La información es resultado de las actividades operativas, financieras y de control provenientes del interior o exterior de la entidad. Debe transmitir una situación existente en un determinado momento reuniendo las características de confiabilidad, oportunidad utilidad con la finalidad que el usuario disponga de elementos esenciales en la ejecución de sus tareas operativas o de gestión.
Comentarios:
01 La información debe ser fidedigna con los hechos que describe. En este sentido, para que la información resulte representativa debe satisfacer requisitos de oportunidad, accesibilidad, integridad, precisión, certidumbre, racionalidad, actualización y objetividad.
02 Los flujos de información deben ser coherentes con la naturaleza de las operaciones y decisiones que se adopten en cada nivel organizacional. Por ello debe distinguirse que en los niveles inferiores generalmente se realizan actividades programadas que requieren información de carácter operacional. En cambio, en la medida que se asciende en los niveles, se requiere disponer de otro tipo de información orientada al logro de los objetivos estratégicos y de gestión. Por ello requiere ser seleccionada, analizada, evaluada y sintetizada para reducir los grados de incertidumbre que caracterizan a la actividad gerencial en la toma de decisiones, reflejada en la elección de diversas alternativas posibles.
03 La información debe ser usada para la creación de conocimiento en la entidad, siendo necesario el establecimiento de un sistema de gestión del conocimiento que permita el aprendizaje organizacional y la mejora continua.
4.2. Información y responsabilidad
La información debe permitir a los funcionarios y servidores públicos cumplir con sus obligaciones y responsabilidades. Los datos pertinentes deben ser captados, identificados, seleccionados, registrados, estructurados en información y comunicados en tiempo y forma oportuna.
Comentarios:
01 El titular y funcionarios deben entender la importancia del rol que desempeñan los sistemas de información para el correcto desarrollo de sus deberes, mostrando una actitud comprometida hacia éstos. Esta actitud debe traducirse en acciones concretas como la asignación de recursos suficientes para su funcionamiento eficaz y otras que evidencien la atención que se le otorga.
02 La obtención y clasificación de la información deben operarse de manera de garantizar la adecuada oportunidad de su divulgación a las personas competentes de la entidad, propiciando que las acciones o decisiones que se sustenten en la misma cumplan apropiadamente su finalidad.
4.3. Calidad y suficiencia de la información
El titular o funcionario designado debe asegurar la confiabilidad, calidad, suficiencia, pertinencia y oportunidad de la información que se genere y comunique. Para ello se debe diseñar, evaluar e implementar mecanismos necesarios que aseguren las características con las que debe contar toda información útil como parte del sistema de control interno.
Comentarios:
01 La información es fundamental para la toma de decisiones como parte de la administración de cualquier entidad. Por esa razón, en el sistema de información se debe considerar mecanismos y procedimientos coherentes que aseguren que la información procesada presente un alto grado de calidad. También debe contener el detalle adecuado según las necesidades de los distintos niveles organizacionales, poseer valor para la toma de decisiones, así como ser oportuna, actual y fácilmente accesible para las personas que la requieran.
02 La información debe ser generada en cantidad suficiente y conveniente. Es decir debe disponerse de la información necesaria para la toma de decisiones, evitando manejar volúmenes que superen lo requerido.
4.4. Sistemas de información
Los sistemas de información diseñados e implementados por la entidad constituyen un instrumento para el establecimiento de las estrategias organizacionales y, por ende, para el logro de los objetivos y las metas. Por ello deberá ajustarse a las características, necesidades y naturaleza de la entidad. De este modo, el sistema de información provee la información como insumo para la toma de decisiones, facilitando y garantizando la transparencia en la rendición de cuentas.
Comentarios:
01 La entidad debe implementar sistemas de información que se adecuen a la estrategia global y a la naturaleza de las operaciones de la entidad, pudiendo ser informáticos, manuales o una combinación de ambos.
02 Pueden orientarse al manejo, preparación y presentación de la información económica, financiera, contable, presupuestaria y operacional, entre otras de manera imparcial y objetiva. Deben estar en posibilidad de brindar información con respecto a: i) Misión, planes, objetivos, normas y metas institucionales; ii) Programación, ejecución y evaluación de actividades, con expresiones monetarias y físicas; iii) Niveles alcanzados en el logro de los objetivos estratégicos y operativos; iv) Estados de situación económica, contable y financiera por períodos y expuestos comparativamente; v) Gestión administrativa, presupuestal y logística de la entidad, en consonancia con la normativa sobre transparencia fiscal y acceso público a la información; vi) Otros requerimientos específicos de orden legal, técnico u operativo.
03 Los sistemas de información deben estar orientados a integrar las operaciones de la entidad, de preferencia y dependiendo del caso en tiempo real. La calidad de los sistemas de información debe asegurarse por medio de la elaboración de procedimientos documentados.
4.5. Flexibilidad al cambio
Los sistemas de información deben ser revisados periódicamente, y de ser necesario, rediseñados cuando se detecten deficiencias en sus procesos y productos. Cuando la entidad cambie objetivos y metas, estrategia, políticas y programas de trabajo, entre otros, debe considerarse el impacto en los sistemas de información para adoptar las acciones necesarias.
Comentarios:
01 La revisión de los sistemas de información debe llevarse a cabo periódicamente con el fin de detectar deficiencias en sus procesos y productos y cuando ocurren cambios drásticos en el entorno o en el ambiente interno de la entidad. En consecuencia, producto de la evaluación realizada se debe decidir por efectuar cambios en sus partes u optar por el rediseño del sistema.
02 La flexibilidad al cambio debe considerar en forma oportuna situaciones referentes a: Cambios en la normativa que alcance a la entidad; Opiniones, reclamos, necesidades e inquietudes de los clientes o usuarios sobre el servicio que se les proporciona.
4.6. Archivo institucional
El titular o funcionario designado debe establecer y aplicar políticas y procedimientos de archivo adecuados para la preservación y conservación de los documentos e información de acuerdo con su utilidad o por requerimiento técnico o jurídico, tales como los informes y registros contables, administrativos y de gestión, entre otros, incluyendo las fuentes de sustento.
Comentarios:
01 La importancia del mantenimiento de archivos institucionales se pone de manifiesto en la necesidad de contar con evidencia sobre la gestión para una adecuada rendición de cuentas.
02 Corresponde a la administración establecer los procedimientos y las políticas que deben observarse en la conservación y mantenimiento de archivos electrónicos, magnéticos y físicos según el caso, con base en las disposiciones técnicas y jurídicas que emiten los órganos competentes y que apoyen los elementos del sistema de control interno.
4.7. Comunicación interna
La comunicación interna es el flujo de mensajes dentro de una red de relaciones interdependientes que fluye hacia abajo, a través de y hacia arriba de la estructura de la entidad, con la finalidad de obtener un mensaje claro y eficaz. Asimismo debe servir de control, motivación y expresión de los usuarios.
Comentarios:
01 La comunicación interna debe estar orientada a establecer un conjunto de técnicas y actividades para facilitar y agilizar el flujo de mensajes entre los miembros de la entidad y su entorno o influir en las opiniones, actitudes y conductas de los clientes o usuarios internos de la entidad, todo ello con el fin de que se cumplan los objetivos.
02 Es importante establecer buenas relaciones entre el personal de las áreas que componen la entidad, definiendo misiones, responsabilidades y roles con la finalidad de emitir un mensaje adecuado y claro.
03 La política de comunicaciones debe permitir las diferentes interacciones entre los funcionarios y servidores públicos, cualesquiera sean los roles que desempeñen, así como entre las áreas y unidades orgánicas en general.
4.8. Comunicación externa
La comunicación externa de la entidad debe orientarse a asegurar que el flujo de mensajes e intercambio de información con los clientes, usuarios y ciudadanía en general, se lleve a cabo de manera segura, correcta y oportuna, generando confianza e imagen positivas a la entidad.
Comentarios:
01 Se debe disponer de líneas abiertas de comunicación donde los usuarios puedan aportar información de gran valor sobre el diseño y la calidad de los productos y servicios brindados, permitiendo que la entidad responda a los cambios en las exigencias y preferencias de los usuarios.
02 Las quejas o consultas que se reciben sobre las actividades, productos o servicios de la entidad pueden revelar la existencia de deficiencias de control y problemas operativos. Estas deficiencias deben ser revisadas y el personal encontrarse preparado para reconocer sus implicancias y adoptar las acciones correctivas que resulten necesarias.
03 Los mensajes hacia el exterior deben considerar la imagen que la institución debe proyectar con respecto de la lucha contra la corrupción.
04 Las comunicaciones con los grupos de interés de la entidad y ciudadanía en general deben contener información acorde con sus necesidades, de modo que puedan entender el entorno y los riesgos de la entidad.
05 Deben aplicarse controles efectivos para la comunicación externa de forma que se prevenga flujos de información que no hayan sido debidamente autorizados. Sin embargo, debe garantizarse la transparencia y el derecho de acceso a la información pública, de acuerdo con la normativa respectiva vigente.
4.9. Canales de comunicación
Los canales de comunicación son medios diseñados de acuerdo con las necesidades de la entidad y que consideran una mecánica de distribución formal, informal y multidireccional para la difusión de la información. Los canales de comunicación deben asegurar que la información llegue a cada destinatario en la, cantidad, calidad y oportunidad requeridas para la mejor ejecución de los procesos, actividades y tareas.
Comentarios:
01 Los canales no sólo deben considerar la recepción de información (mensajes apropiadamente transmitidos y entendidos), sino también líneas de entrega que permitan la retroalimentación y distribución para coordinar las diferentes actividades.
02 El diseño de los canales de comunicación debe contribuir al control del cumplimiento de los planes estratégico y operativo, al control del personal de la entidad, y a la ejecución de procesos, actividades y tareas en la entidad.
03 El diseño de los canales de comunicación debe contemplar, al menos, los siguientes aspectos: Ajustar los recursos a las necesidades de información y en concordancia con la dimensión organizacional; Mejorar la capacidad de procesamiento de la información, aplicando la tecnología informática; Coordinar las oportunidades de información entre los diferentes usuarios de la entidad para evitar duplicidad de tareas o superposición entre las mismas; Generar formas de relaciones participativas en el ámbito de trabajo, tales como: Contactos directos entre gerentes, para lograr la continua transferencia de información entre los mismos; Roles de enlace entre sectores, unidades y departamentos que coadyuven al involucramiento general de los miembros de la entidad en sus diversas áreas de competencia y respectivas problemáticas; Equipos de trabajo en relación con tareas ocasionales o periódicas, permitiendo ahorros en el uso de canales de comunicación; Roles integradores, para ayudar a la supervisión de los trabajos, a las relaciones interdisciplinarias y a la mejora de la visión y logro de los objetivos institucionales.
04 Los canales de comunicación deben permitir la circulación expedita de la información, de modo que sea trasladada al funcionario o servidor competente en un formato adecuado para su análisis y dentro de un lapso conveniente que haga posible la toma oportuna de decisiones. Como medida preventiva, estos canales deben ser usados por el personal de manera uniforme y constante. Ello no implica que deba desestimarse por completo la posibilidad de que, para efectos internos, en determinadas circunstancias y condiciones previamente definidas, algunos canales informales resulten ser el medio requerido.
Norma general para la supervisión
El sistema de control interno debe ser objeto de supervisión para valorar la eficacia y calidad de su funcionamiento en el tiempo y permitir su retroalimentación. Para ello la supervisión, identificada también como seguimiento, comprende un conjunto de actividades de autocontrol incorporadas a los procesos y operaciones de la entidad, con fines de mejora y evaluación. Dichas actividades se llevan a cabo mediante la prevención y monitoreo, el seguimiento de resultados y los compromisos de mejoramiento. Siendo el control interno un sistema que promueve una actitud proactiva y de autocontrol de los niveles organizacionales con el fin de asegurar la apropiada ejecución de los procesos, procedimientos y operaciones; el componente supervisión o seguimiento permite establecer y evaluar si el sistema funciona de manera adecuada o es necesaria la introducción de cambios. En tal sentido, el proceso de supervisión implica la vigilancia y evaluación, por los niveles adecuados, del diseño, funcionamiento y modo cómo se adoptan las medidas de control interno para su correspondiente actualización y perfeccionamiento. Las actividades de supervisión se realizan con respecto de todos los procesos y operaciones institucionales, posibilitando en su curso la identificación de oportunidades de mejora y la adopción de acciones preventivas o correctivas. Para ello se requiere de una cultura organizacional que propicie el autocontrol y la transparencia de la gestión, orientada a la cautela y la consecución de los objetivos del control interno. La supervisión se ejecuta continuamente y debe modificarse una vez que cambien las condiciones, formando parte del engranaje de las operaciones de la entidad. Esta norma comprende las normas básicas para las actividades de prevención y monitoreo; dentro de las cuales se distingue: prevención y monitoreo; monitoreo oportuno del control interno; y las normas básicas para el seguimiento de resultados, dentro de la cual se tiene: reporte de deficiencias; seguimiento e implantación de medidas correctivas; asimismo comprende las normas básicas para los compromisos de mejoramiento, dentro de la misma se distingue: autoevaluación y las evaluaciones independientes.
5.1. NORMAS BÁSICAS PARA LAS ACTIVIDADES DE PREVENCIÓN Y MONITOREO
5.1.1. Prevención y monitoreo
El monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección necesarias para garantizar la idoneidad y calidad de los mismos.
Comentarios:
01 La supervisión constituye un proceso sistemático y permanente de revisión de los procesos y operaciones que lleva a cabo la entidad, sean de gestión, operativas o de control. En su desarrollo intervienen actividades de prevención y monitoreo por cuanto, dada la naturaleza integral del control interno, resulta conveniente vigilar y evaluar sobre la marcha, es decir conforme transcurre la gestión de la entidad, para la adopción de las acciones preventivas o correctivas que oportunamente correspondan.
02 La prevención implica desarrollar y mantener una actitud permanente de cautela e interés por anticipar, contrarrestar, mitigar y evitar errores, deficiencias, desviaciones y demás situaciones adversas para la entidad. Se fundamenta sobre la base de la observación y análisis de sus procesos y operaciones, efectuados de manera diligente, oportuna y comprometida con la buena marcha institucional. En tal sentido, está estrechamente relacionada y opera como resultado de las actividades de monitoreo.
03 El ejercicio de la supervisión a través del monitoreo comprende integralmente el desempeño de la entidad. Por ello actúa en la planificación, ejecución y evaluación de la gestión y sus resultados, retroalimentando permanentemente su accionar y proponiendo correcciones o ajustes en las etapas pertinentes, contribuyendo así a mejorar el proceso de toma de decisiones.
04 El resultado del monitoreo también provee las bases necesarias para estrategias adicionales de manejo de riesgos, actualiza las existentes y vuelve a analizar los riesgos ya conocidos. Asimismo, facilita y asegura el cabal cumplimiento de la normativa legal o administrativa aplicable a las operaciones de la entidad, de acuerdo con su finalidad y formalidades, brindando seguridad razonable con respecto de potenciales objeciones e inconformidades.
5.1.2. Monitoreo oportuno del control interno
La implementación de las medidas de control interno sobre los procesos y operaciones de la entidad, debe ser objeto de monitoreo oportuno con el fin de determinar su vigencia, consistencia y calidad, así como para efectuar las modificaciones que sean pertinentes para mantener su eficacia. El monitoreo se realiza mediante el seguimiento continuo o evaluaciones puntuales.
Comentarios:
01 El desarrollo del monitoreo sobre el sistema y las actividades de control interno debe proveer a la entidad seguridad razonable sobre el logro de sus objetivos, la confiabilidad de la información, el empleo de los criterios de eficacia y eficiencia, el cumplimiento de políticas y normas internas vigentes, así como el logro de estándares de calidad cada vez mejores.
02 Mediante el monitoreo, la supervisión busca asegurar que los controles operen y sean modificados apropiadamente de acuerdo con los cambios en el entorno organizacional. Asimismo, se debe valorar si, en el cumplimiento de la misión de la entidad, se alcanzan los objetivos generales del control interno y si se contribuye al aseguramiento de la calidad.
03 El monitoreo oportuno del sistema de control interno y las medidas puestas en aplicación, se realiza a través del seguimiento continuo de su funcionamiento y a través de evaluaciones puntuales, o una combinación de ambas modalidades.
04 Las actividades de seguimiento continuo se despliegan sobre el conjunto de componentes de control interno, orientándose a minimizar los riesgos y evitar efectos ineficientes, ineficaces o antieconómicos. Regularmente este tipo de monitoreo se construye, implementa y ejecuta dentro de las operaciones normales y recurrentes de la entidad, incluyendo las acciones o funciones que el personal debe realizar al cumplir con sus obligaciones.
05 Las evaluaciones puntuales se realizan para determinar la calidad y eficacia de los controles en una etapa predefinida de los procesos y operaciones de la entidad. El rango y la frecuencia de las evaluaciones puntuales dependerán de la valoración de riesgos y de la efectividad de los procedimientos permanentes de seguimiento. Ambas modalidades se correlacionan, respectivamente, con las categorizaciones del control gubernamental previstas en la Ley N° 27785 (artículos 7° y 8°) que diferencian el control previo, simultáneo y posterior.
06 El desarrollo del monitoreo sigue un orden jerárquico descendente desde el nivel gerencial, pasando por los niveles ejecutivos intermedios y llegando hasta los operativos. En cualquier caso, tiene como propósito contribuir a la minimización de los riesgos que puedan afectar el logro de los objetivos institucionales, incrementando la eficiencia del desempeño y preservando su calidad, en una relación interactiva con los demás componentes del proceso de control.
07 Los Órganos del SNC contribuyen con la labor de supervisión, aportando su opinión sobre la razonabilidad del control interno, emitiendo observaciones, comentarios y recomendaciones como resultado de la evaluación del control interno.
5.2. NORMAS BÁSICAS PARA EL SEGUIMIENTO DE RESULTADOS
5.2.1. Reporte de deficiencias
Las debilidades y deficiencias detectadas como resultado del proceso de monitoreo deben ser registradas y puestas a disposición de los responsables con el fin de que tomen las acciones necesarias para su corrección.
Comentarios:
01 El término "deficiencia" constituye la materialización de un riesgo. Es decir, se refiere a la condición que afecta la habilidad de la entidad para lograr sus objetivos. Por lo tanto, una deficiencia puede representar un defecto percibido o real, que debe conducir a fortalecer el control interno.
02 Deben establecerse requerimientos para obtener la información necesaria sobre las deficiencias de control interno.
03 La información generada en el curso de las operaciones es usualmente reportada a través de canales formales a los responsables por su funcionamiento, así como a los demás niveles jerárquicos de los cuales dependen. Para ello se debe contar con canales alternativos de comunicación para reportar actos ilegales o incorrectos.
5.2.2. Implantación y seguimiento de medidas correctivas
Cuando se detecte o informe sobre errores o deficiencias que constituyan oportunidades de mejora, la entidad deberá adoptar las medidas que resulten más adecuadas para los objetivos y recursos institucionales, efectuándose el seguimiento correspondiente a su implantación y resultados. El seguimiento debe asegurar, asimismo, la adecuada y oportuna implementación de las recomendaciones producto de las observaciones de las acciones de control.
Comentarios:
01 La efectividad del sistema de control interno depende, en buena parte, de que los errores, deficiencias o desviaciones en la gestión sean identificadas y comunicadas oportunamente a quien corresponda en la entidad para que determine la solución correspondiente que favorezca la consecución de los objetivos institucionales del control interno. Cuando la persona que descubra una oportunidad de mejora, no disponga de autoridad suficiente para disponer las medidas preventivas o correctivas necesarias, deberá comunicar inmediatamente al funcionario superior competente para que éste tome la decisión pertinente con el fin que establezca la acción o solución respectiva.
02 El seguimiento del control interno debe incluir políticas y procedimientos que busquen asegurar que las oportunidades de mejora que sean resultado de las actividades de supervisión, así como los hallazgos u observaciones producto de las acciones de control u otras revisiones, sean adecuada y oportunamente resueltas. Para ello se debe determinar las alternativas de solución y adoptar la más adecuada, teniendo en cuenta en su caso las recomendaciones formuladas por los organismos competentes de control, en armonía con sus atribuciones funcionales y lo establecido por la normativa del SNC.
03 La implantación de medidas correctivas debe asegurar la mejora del control interno como resultado del monitoreo, así como la adecuada y oportuna implementación de las recomendaciones producto de las observaciones de las acciones de control.
04 Los titulares y funcionarios deben: i) Identificar y evaluar oportunamente las causas de los errores, deficiencias y hallazgos u observaciones detectadas como consecuencia de revisiones o acciones de control; ii) Determinar las acciones correctivas que conduzcan a solucionar la problemática detectada e implementar las recomendaciones de las revisiones y acciones de control realizadas; iii) Completar, dentro de su ámbito de competencia funcional, todas las acciones que corrijan o resuelvan los asuntos que han llamado su atención.
05 El proceso de implementación de recomendaciones y el seguimiento de medidas correctivas derivadas de acciones o actividades de control gubernamental son regulados por la Contraloría General de la República.
5.3. NORMAS BÁSICAS PARA LOS COMPROMISOS DE MEJORAMIENTO
5.3.1. Autoevaluación
Se debe promover y establecer la ejecución periódica de autoevaluaciones sobre la gestión y el control interno de la entidad, por cuyo mérito podrá verificarse el comportamiento institucional e informarse las oportunidades de mejora identificadas. Corresponde a sus órganos y personal competente dar cumplimiento a las disposiciones o recomendaciones derivadas de la respectiva autoevaluación, mediante compromisos de mejoramiento institucional.
Comentarios:
01 La autoevaluación constituye una herramienta diseñada como parte del sistema de control interno. Se define como el conjunto de elementos de control que actúan coordinadamente permitiendo en cada área o nivel organizacional medir la eficacia y calidad de los controles en los procesos, productos y resultados de su gestión.
02 Responde a la necesidad de establecer las fortalezas y debilidades de la entidad con respecto al control, propiciar una mayor eficacia de todos los componentes de control, y asignar la responsabilidad sobre el mismo a todas las dependencias de la organización. Asimismo, les permite adecuar constantemente sus objetivos a los cambios en el entorno.
03 La autoevaluación facilita la medición oportuna de los efectos de la gestión y del comportamiento del sistema de control, con el fin de evaluar su capacidad para generar los resultados previstos y tomar las medidas correctivas necesarias, a través de los siguientes elementos: i) Autoevaluación del control interno: permite establecer el grado de avance en la implementación del sistema de control interno y la efectividad de su operación en toda la entidad; ii) Autoevaluación de la gestión: establece el grado de cumplimiento de los objetivos institucionales y evalúa la manera de administrar los recursos necesarios para alcanzarlos.
04 La autoevaluación genera mayor responsabilidad en los empleados al involucrarlos en el análisis de fortalezas y debilidades del Sistema de Control, los compromete con la recolección de la información que soporta el juicio sobre el estado del sistema y les permite proponer planes de mejoramiento que contribuyan al logro del objetivo del sistema de control, y por ende al de la organización.
05 La autoevaluación del control interno favorece el autocontrol y la autogestión en toda la organización porque permite que cada persona y dependencia que participa en ella puede determinar las deficiencias en una escala personal como organizacional. Esto permite la toma de conciencia frente a los cambios que se requieren y estimula la toma de acciones necesarias con el fin de mejorar la calidad del sistema.
5.3.2. Evaluaciones independientes
Se deben realizar evaluaciones independientes a cargo de los órganos de control competentes para garantizar la valoración y verificación periódica e imparcial del comportamiento del sistema de control interno y del desarrollo de la gestión institucional, identificando las deficiencias y formulando las recomendaciones oportunas para su mejoramiento.
Comentarios:
01 El sistema de control interno y las medidas implementadas por la entidad requieren una evaluación objetiva, imparcial y externa a las áreas u órganos responsables de su implantación y funcionamiento, con el fin de verificar y garantizar tanto su conformidad respecto de los planes, programas, normativa, proyectos, entre otros, como la forma en que han sido realizados. En tal sentido, dicha evaluación debe ser realizada por los órganos de control competentes del SNC, de conformidad con la normativa emitida por la CGR.
02 Como resultado de las evaluaciones independientes, se dará cumplimiento a las recomendaciones que formulen los órganos de control, las mismas que constituyen compromisos de mejoramiento que institucionalmente también serán objeto del correspondiente registro, seguimiento y verificación de su cumplimiento.
Bases teóricas especializadas sobre el tema
EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
La evaluación del sistema de control interno define las fortalezas y debilidades de la entidad mediante una cuantificación de todos sus recursos. Mediante el examen y objetivos del control interno, registros y evaluación de los estados financieros se crea la confianza que la entidad debe presentar frente a la sociedad. La evaluación del sistema de control interno basado en principios, reglas, normas, procedimientos y sistemas de reconocido valor técnico son el fundamento de la realización de una buena auditoría financiera. El auditor financiero debe asegurarse que se cumplan todas las medidas adecuadas y necesarias en la implementación del sistema de evaluación de control interno. En el proceso de evaluación del control interno un auditor debe revisar altos volúmenes de documentos, es por esto que el auditor se ve obligado a programar pruebas de carácter selectivo para hacer inferencias sobre la confiabilidad de sus operaciones. Para dar certeza sobre la objetividad de una prueba selectiva y sobre su representatividad, el auditor tiene el recurso del muestreo estadístico, para lo cual se deben tener en cuenta los siguientes aspectos primordiales: La muestra debe ser representativa. El tamaño de la muestra varía de manera inversa respecto a la calidad del control interno (Guerra, 2014, 85-92).
Para llevar a cabo la evaluación del sistema de control interno un primer aspecto es proceder a tomar los reconocimientos, alternativas y producir las recomendaciones que lleven al mejoramiento continuo del sistema, que se está aplicando en la fecha de la evaluación de la entidad, utilizando herramientas como la teoría de la calidad total, que indiscutiblemente beneficiarán en general a los funcionarios, jefes de áreas así como a toda la entidad y sus usuarios externos, en el futuro inmediato. La metodología se basará en la utilización de principios, reglas, normas, procedimientos, sistemas, manuales, cuestionarios y calificaciones, con las cuales se puede evaluar la entidad en su conjunto, sus unidades, sus actividades, en una fecha o período determinado. Al respecto se utilizará los siguientes herramientas: El Muestreo Estadístico como técnica de control; Método de Cuestionario o Preguntas; Método Narrativo o de Prosa; Método Grafico.
Respecto del muestreo estadístico como técnica de control; en el proceso de la evaluación del sistema de Control Interno, así como en aplicaciones de las distintas auditorias, interventorías y monitorias, etc. el evaluador o el auditor debe revisar altos volúmenes de documentos, por esto se hace necesario y es de obligatorio cumplimiento la utilización del método selectivo, usando técnica y científicamente las estadísticas, según el caso, para lo cual se deberá preparar previamente los programas y pruebas respectivas, mediante el sistema propiciado por la ciencia Estadística, logrando que los resultados de la evaluación sea confiable y oportuna con unas que conclusiones lógicas y reales, dentro de la determinadas operaciones de control, con criterio analítico y profesional. Para dar certeza sobre la objetividad de una prueba selectiva y sobre su representatividad el evaluador o auditor tiene el recurso del muestreo estadístico, para lo cual debe tener en cuenta las siguientes recomendaciones:
La muestra seleccionada o grupo de elementos o documentos debe ser representativa frente al total del conjunto. El tamaño de la muestra varía de manera proporcional e inversa respecto a la calidad del Sistema de Control Interno y sus elementos. El examen de los documentos incluidos debe ser exhaustivo, detallado y profundo para poder hacer que las conclusiones sean adecuadas y confiables. Siempre habrá un riesgo latente y más cuando la muestra no sea representativa y por lo tanto dependerá del buen criterio profesional del evaluador.
Respecto del método de cuestionario o preguntas para evaluar el sistema de control interno; consiste en la evaluación con base a preguntas, las cuales deben ser contestadas por parte de los responsables de las distintas áreas bajo examen. Por medio de las respuestas dadas, el auditor obtendrá una evidencia que deberá constatar con procedimientos alternativos los cuales ayudarán a determinar si los controles operan tal como fueron diseñados. La aplicación de cuestionarios ayuda a determinar las áreas críticas de una manera uniforme.
Respecto del método narrativo o de prosa para evaluar el sistema de control interno; consiste en la descripción hecha por los funcionarios, como producto de entrevistas, encuestas, tanto escritas como verbales, detallada los procedimientos más importantes y las características del sistema de control interno y sus elementos, para las distintas áreas de la Entidad, mencionando los registros y formularios que intervienen en el sistema.
Respecto del método grafico para evaluar el sistema de control
interno; consiste en revelar o describir la estructura orgánica de las
áreas y de los procedimientos utilizando gráficas, símbolos
convencionales, flujogramas etc. Con sus explicaciones que den una idea completa
y correcta de los procedimientos de la empresa, con las siguientes ventajas:
Identifica la ausencia de controles financieros, operativos y de gestión;
Permite una visión panorámica de las operaciones o de la Entidad;
Identifica desviaciones de procedimientos y de las normas; Identifica procedimientos
que sobran o que faltan o partes dentro de los mismos y sus normas; Facilita
el entendimiento de las recomendaciones del evaluador y su aplicabilidad sobre
asuntos contables o financieros, operativos, normativos y técnicos (Buendía;
2014; 114-120).
Autor:
Dr. Domingo Hernández Celis
[1] Comisi?n de Normas de Control Interno de la Organizaci?n Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).
 Página anterior | Volver al principio del trabajo | Página siguiente  |