- 1.
Introducción - 2. El
entorno de control - 3.
Evaluación de riesgos - 4. Las
actividades de control - 5.
Información y comunicación - 6.
Supervisión - 7.
Responsabilidades del control interno - 8.
Limitaciones de los sistemas de control
interno - 9.
Aplicación a las pequeñas
empresas - 10. La
información sobre el control interno
Es un proceso que lleva a cabo el
Consejo de Administración, la
dirección y los
demás miembros de una entidad, con el objetivo de proporcionar un
grado razonable de confianza en la consecución de objetivos en los siguientes
ámbitos o categorías: eficacia y eficiencia de las operaciones, fiabilidad de la
información financiera,
cumplimiento de las leyes y normas aplicables:
– es un proceso
– lo llevan a cabo las personas
– solamente puede aportar un grado razonable de
seguridad
– está pensado para la consecución de
objetivos
1. 1. EL PROCESO DE CONTROL INTERNO.
Constituye una herramienta útil para la gestión, pero no la
sustituye. Los controladores internos deben ser incorporados, no
añadidos:
– si una Compañía se centra en las
operaciones existentes e incorpora controles en las actividades
operativas básicas, normalmente puede evitar procedimientos y costes
innecesarios
– incorporar controles en las estructuras operativas suele
generar nuevos controles, lo que hace más ágiles a las
entidades.
1. 2. LAS PERSONAS.
El Consejo de Administración se
convierte en depositario y se erige como un importante elemento
de control interno.
1. 3. SEGURIDAD RAZONABLE.
El control interno sólo puede aportar un grado
razonable de seguridad a la dirección y al Consejo de
Administración en la consecución de los objetivos de la
entidad.
1. 4. OBJETIVOS.
Pueden ser clasificados en 3 ámbitos o
categorías:
– operativos
– información financiera
– cumplimiento
Se espera que el sistema de control interno
proporciones un grado razonable de seguridad en la
consecución de objetivos relacionados con la fiabilidad de
la información financiera y el cumplimiento de las leyes y
normas aplicables.
1. 5. COMPONENTES.
El control interno no es un proceso lineal, sino un
proceso interactivo multidireccional, con cinco componentes
interrelacionados:. Entorno de control
– Evaluación de riesgos
– Actividades de control
– Información y comunicación
– Supervisión
2. 1. ELEMENTOS DEL ENTORNO DE CONTROL.
Integridad y Ética. Un clima ético vigoroso dentro
de la empresa y en todos sus
niveles, es esencial para el bienestar de la organización, sus
componentes y el público en general. La transmisión de
valores se hace:. con el
ejemplo
– estableciendo normas escritas
– estableciendo respuestas eficientes y
contundentes
Competencia profesional. Compromiso de la organización con el trabajo bien hecho, de
forma eficaz y eficiente
Responsabilidad del Consejo de
Administración
– Un Consejo de Administración pasivo y sin
capacidad de cuestionar las decisiones y políticas de la
Dirección es un riesgo de control interno muy
significativo
Estilo y Filosofía Gerencial. Actitud positiva de control
interno = evitar riesgos innecesarios, ponderar aspectos
positivos y negativos de cada alternativa, etc.
Estructura organizativa. Ajustada al tamaño de la
entidad y a su tipo de actividad y objetivos.
Delegación de poderes y responsabilidades.
Acompañada de:. nivel de supervisión
adecuado
– conocimiento claro e in
dudable de los objetivos de la entidad
Políticas y prácticas de recursos humanos. Indicando a
los empleados los niveles éticos y de competencia profesional que
pretende lograr la entidad en cada caso.
La determinación de objetivos es una condición
sine qua non para establecer un elemento fundamental del control
interno: la evaluación de riesgos. Los objetivos pueden
clasificarse en relativos a operaciones, a información
financiera y a cumplimiento.
3. 1. OBJETIVOS DE LAS OPERACIONES.
Son la razón de ser de las empresas y se dirigen a la
consecución del objetivo social. Son peculiares para cada
entidad y han de ser coherentes y realistas. Aunque no son un
elemento de control interno sino de gestión, son una base
previa para aquél.
3. 2. OBJETIVOS RELACIONADOS CON LA INFORMACIÓN
FINANCIERA
Requisitos de fiabilidad de los estados financieros:. principios contables aceptados y
apropiados a las circunstancias
– información financiera suficiente y apropiada,
resumida y clasificada pertinentemente
– estados financieros que reflejen adecuada y
razonablemente la situación financiera
Como cualquier información, los estados financieros
anuales deben cumplir:
– existencia
– totalidad
– derechos y obligaciones
– valoración
– presentación
3. 3. OBJETIVOS DE CUMPLIMIENTO.
Los objetivos se interrelacionan y debe existir una
estructuración coherente de los mismos. La definición
más usual hasta hace pocos años incluía como
objetivos del mismo el adecuado reflejo de los registros contables y la
salvaguarda de los activos. También debe lograr
un nivel adecuado de información sobre la consecución
de los objetivos operativos.
3. 4. RIESGOS.
La identificación y el análisis de riesgos es un
proceso interactivo continuo y constituye un componente
fundamental de un sistema de control interno eficaz. La
identificación de riesgos debe ser seguida de un proceso de
análisis de los mismos, que incluye: estimación de su
importancia, evaluación de su probabilidad y análisis de
cómo han de gestionarse ( = establecer medidas para
limitarlos o reducirlos). El análisis de riesgos es
fundamental para el éxito de la
Compañía
3. 5. GESTIÓN DEL CAMBIO.
En el análisis de riesgos es fundamental
identificar las circunstancias que modifican los riesgos para
tomar las acciones
necesarias:
– cambios en el entorno operacional
– nuevas
tecnologías
– nuevas actividades y nuevos productos
– nuevos S.I.(fundamentalmente,
informáticos)
– crecimiento rápido
– rotación del personal
El análisis de riesgos es una actividad que debe
revisarse de forma continua y exige a la dirección una
permanente alerta para detectar las circunstancias que modifican
el entorno y, por consiguiente, los nuevos riesgos a los que se
enfrenta.
Se traducen en políticas y procedimientos. El
control interno es un mecanismo integrador del proceso de
gestión. Son posibles mecanismos de control:
– segregación de funciones
– análisis realizados por la
dirección
– controles físicos
– mecanismos de seguimiento del proceso de
información (acciones correctivas)
– gestión de funciones de actividad
– indicadores de
rendimiento
4. 1. CONTROLES DE LOS S.I.
Se distinguen los programados de los generales. Entre
éstos se incluyen:
– Seguridad física de los equipos y la
información (programas de
emergencia)
– Controles de acceso
– Controles sobre el software
– Controles de operaciones del proceso de datos
– Controles sobre el desarrollo y mantenimiento de
aplicaciones
– Controles de las aplicaciones.
5. 1. INFORMACIÓN.
Los flujos de información (verticales, horizontales
o transversales; formales o informales) se recogen de fuentes internas o externas y
se comunican a destinatarios tanto internos como externos. Se
designa como S.I. al procesamiento interno de los datos relativos
a transacciones y actividades operativas. Cada entidad debe
valorar sus necesidades de S.I. en función de sus objetivos,
atendiendo a:. contenido
– tiempo
– actualidad
– accesibilidad.
5. 2. COMUNICACIÓN.
Transmisión de información, interna y externa.
La dirección establece los canales adecuados para que
la comunicación llegue
con claridad a sus destinatarios. Es preciso mantener canales
independientes que actúen como mecanismos de seguridad.
Existen multitud de mecanismos posibles (formales e informales)
para comunicar incidencias, problemas, ideas, sugerencias,
etc., mejorando la flexibilidad y adaptabilidad de la
organización. Se transmiten pautas de comportamiento esperado,
reglas del juego (incluyendo
actuación decidida y sancionadora, si es preciso). La
dirección ha de establecer canales de comunicación
abiertos con el exterior (clientes, bancos, etc.) y con el Consejo de
Admón., así como con determinados elementos externos
como auditores, asesores legales, etc.
Su objetivo es asegurar que el sistema está
funcionando adecuadamente y que tiene capacidad de
adaptación a las necesidades y cambios en el entorno, a
través de actuaciones y evaluaciones recurrentes o
específicas.
Recurrentes:
– canales abiertos empleados
– revisión sistemática (departamento auditoria
interna) de aspectos operativos y de cumplimiento
administrativo
– revisión anual por auditores externos de los
sistemas de control
interno
– comunicación sistemática o esporádica
con terceros (clientes., bancos, etc.)
Específicas:. eficiencia de los controles de
supervisión sistemáticos y recurrentes
– autocomprobación de control interno por
departamentos o unidades de negocio
– auditorias internas o externas
de departamentos o unidades de negocio
La metodología a utilizar
depende de las circunstancias y necesidades en cada caso: el
benchmarking se usa en el
marco de asociaciones empresariales específicas para esta
finalidad y con ayuda de consultores.
Las líneas generales del procedimiento de revisión
del control interno son:
– concretar el alcance de la revisión
– identificar el sistema o subsistema a
revisar
– analizar y evaluar otras revisiones
realizadas
– analizar áreas de riesgo
– desarrollar un programa de trabajo
– comprobar que el programa de trabajo
funciona
– seguimiento del trabajo y obtención de
conclusiones provisionales
– discusión de las conclusiones
– informe
– seguimiento de conclusiones y
recomendaciones.
6. 1. INFORMACIÓN SOBRE DEFICIENCIAS DE CONTROL
INTERNO
Deficiencia = situación o condición del
sistema de control interno digna de atención (insuficiencias
o posibles mejoras). La fuente de identificación de
deficiencias son las actividades de supervisión recurrentes,
las esporádicas y las fuentes externas. Todas las
debilidades de control interno que puedan afectar a la
consecución de objetivos de una entidad deberían ser
comunicadas. La evaluación de qué deficiencias son
importantes o no para ser comunicadas, es también un
problema delicado, así como determinar quién debe ser
informado de las deficiencias detectadas: los responsables de
áreas o departamentos tienen que recibir información de
todas las deficiencias de su área de actuación y la
alta dirección y el Consejo de Administración de las
significativas. Los informes específicos
describen el problema y sus efectos, las recomendaciones para
solucionarlo y la respuesta de los responsables.
7. RESPONSABILIDADES DEL
CONTROL INTERNO
Llevado a cabo por el Consejo de Administración, la
dirección y el resto del personal. La responsabilidad más
directa corresponde a la dirección, que también asigna
a los directores de departamento responsabilidades de
gestión y control interno, pero casi todo el personal cumple
alguna función de control interno, transmitiendo posibles
sugerencias por los canales adecuados: los miembros de la
organización deben concientizarse de que el control interno
no es ajeno a ellos, sino que todos están implicados. No
debe olvidarse el papel clave de la dirección financiera y
contable, así como el del departamento de auditoria interna,
que cubre los 3 tipos de objetivo (operativos, formación
financiera y cumplimiento). En organizaciones complejas, se
corre el riesgo de identificar el control interno con las
funciones de auditoria interna, en vez de considerarlo
responsabilidad de toda la organización. La garantía de
independencia más
importante que se puede dar al departamento de auditoria interna
es situarla bajo el control del propio Consejo de
Administración y concederle acceso al Consejo o Comité
de Auditoria, con los terceros que colaboran en el control
interno (auditores externos, reguladores, etc.). Los auditores
externos informan de si los estados financieros representan
adecuadamente la situación financiera patrimonial, los
resultados del período y los motivos de fondos. Los
reguladores emiten normativas, inspeccionan y controlan la
información. Los clientes y proveedores, así como
otros terceros, aportan informaciones útiles. El Consejo de
Administración nombra al máximo ejecutivo de la
organización, establece políticas y líneas
generales de actuación, aprueba presupuestos y cuentas anuales y ejerce el
control general de la organización = debe establecer
líneas de comunicación directa con los diferentes
niveles de la organización y, al menos una parte de sus
miembros, debe ser independiente de la línea ejecutiva. En
algunos países se organiza el Consejo en comités, como
el de Auditoria o el de Nombramientos.
8. LIMITACIONES DE LOS
SISTEMAS DE CONTROL
INTERNO
La seguridad es razonable y no absoluta. En cuanto a los
objetivos operativos, el sistema genera la información
necesaria para que dirección y Consejo de
Administración conozcan de forma adecuada en qué medida
se cumplen los objetivos, pero no garantiza que los objetivos se
estén alcanzando. En cambio sí se pueden alcanzar,
siempre con una seguridad razonable, los objetivos de
información financiera y su cumplimiento.
DISFUNCIONES. errores de juicio, fatiga o
despiste
OMISIÓN DE CONTROLES POR PARTE DE LA
DIRECCIÓN. Encubrir situaciones no deseadas o realizar u
ocultar actos fraudulentos: no confundir con la intervención
(actos de la dirección con finalidades legítimas pero
fuera de las políticas establecidas) utilizada para
enfrentar acontecimientos puntuales
CONFABULACIÓN DE 2 O MÁS PERSONAS. No
identificable por el sistema de control
RELACIÓN COSTE/BENEFICIO. El beneficio de un
control es difícil de cuantificar de forma positiva.
Generalmente es más fácil evaluar los costes de los
controles, aunque es más difícil con los de alto
nivel.
9. APLICACIÓN A LAS
PEQUEÑAS EMPRESAS
La filosofía y los conceptos básicos son
aplicables igualmente a las pymes.
9. 1. EL ENTORNO DE CONTROL
Es muy poco probable que una pequeña empresa disponga de un código de conducta formal y que el Consejo
de Administración cuente con suficientes miembros
cualificados.
9. 2. LA DETERMINACIÓN DE LOS RIESGOS
En una pequeña empresa se simplifica la
determinación y comunicación de los objetivos que,
aunque no esté muy formalizada, tendrá un seguimiento
directo dada la involucración directa de la dirección
general que también participará directamente en el
análisis de riesgos, que también seguirá un
procedimiento informal pero seguramente muy flexible y adaptado a
las circunstancias.
9. 3. LAS ACTIVIDADES DE CONTROL
En una pequeña organización no suele ser
posible mantener todos los mecanismos de control que existen en
las grandes organizaciones pero el control de la dirección
suele ser más directo y concreto y su presencia
permanente es un elemento fundamental dentro del funcionamiento
del sistema de control.
9. 4. INFORMACIÓN Y COMUNICACIÓN
La información también es esencial en las
pequeñas empresas. L os medios informáticos
actuales facilitan la recogida de información interna
independientemente del tamaño de la entidad pero la
información externa en estas empresas pequeñas requiere
una fuerte involucración de la dirección. La ausencia
de canales formal es de comunicación no significa que
ésta no exista, ya que los contactos directos son mucho
más frecuentes en las pequeñas
organizaciones.
9. 5. SUPERVISIÓN
La dirección debe apoyarse en los empleados, los
auditores externos, los terceros y otros asesores externos. En
resumen, los conceptos básicos de control interno son
aplicables a todo tipo de entidades, independientemente de su
tamaño, pero la aplicación práctica es más
directa, flexible e informal en las pequeñas
organizaciones.
10. LA INFORMACIÓN SOBRE
EL CONTROL INTERNO
El hecho de informar públicamente sobre el control
interno no constituye un componente eficaz ni es un elemento que
contribuya a conseguirlo, pero normalmente el Consejo de
Administración que va a emitir un informe sobre el control
interno suele analizar el sistema con más detalle y se
preocupa por conseguir que funcione de manera
correcta.
10. 1. ALCANCE DEL INFORME
El control interno relativo a la formulación de
estados financieros públicos es realizado por el Consejo de
Administración, la dirección y el resto de empleados de
una entidad, diseñado para proporcionarle un grado razonable
de seguridad en cuanto a la fiabilidad de dichos estados
financieros. La seguridad razonable de que dicha información
pública es fiable, adecuada y representativa conduce al
concepto de imagen fiel.
– objetivos operativos: no se plantea la
información pública
– objetivos de cumplimiento: si se planteara, la
presentación sería como la información
financiera.
10. 2. CONTENIDO DEL INFORME
Se emite a fecha de cierre de ejercicio y cubre no
sólo las cuentas anuales sino también los estados
financieros intermedios publicados y cualquier otra
información financiera publicada a lo largo del ejercicio.
Se tiende a incluir los siguientes elementos:
– Responsabilidad de los administradores en el control
interno
– Análisis de elementos específicos:.
Funciones del Comité de Auditoria
– Políticas y procedimientos escritos
– Delegación de poderes
– Políticas de personal
– Código de conducta
– Auditoria interna y revisiones
– Medidas correctivas
-Limitaciones del sistema de control interno
(seguridad razonable, no garantía absoluta)
Recomendaciones que debe contener la información
pública sobre el control interno:
– Categoría de los controles
– Declaración sobre limitaciones de todo sistema
de control interno
– Declaración sobre mecanismos de
supervisión del sistema y regularización de
deficiencias
– Marco de referencia para el informe
– Conclusión sobre la eficacia del control
interno
– Fecha o periodo a la que se refiere la
conclusión
– Los nombres de las personas que firman el
informe.
* Fuente: Revista ENLACES de RR.HH.
Suscríbase SIN CARGO en
María de los Angeles Hierro