Vous êtes sur la page 1sur 4

Cmo auditar el sistema de control interno de una empresa

14/12/2007 Un slido anlisis tiene que hacerse bajo un enfoque que arranque de lo general para

llegar a lo particular. Los directores deben apoyar el procedimiento


Por ltima actualizacin: 14/12/2007 4:12:00 am

Decenas de veces nos ha tocado revisar el sistema de control interno de una organizacin. La primer debilidad de que encontramos es la falta de abordaje en dos niveles: Control interno a nivel entidad y a nivel proceso, transaccin y aplicacin. Vamos entonces a explicar para qu se efecta una evaluacin del control interno a nivel entidad (cuestin que suele faltar en muchos de los casos revisados), las herramientas y metodologa utilizada, el alcance y el curso de accin a seguir luego de obtener los resultados que arroja este tipo de evaluacin. Los dos primeros conceptos que destacaremos son los siguientes: Un slido anlisis del control interno debe hacerse utilizando un enfoque basado en el riesgo y bajo la metodologa "top down" (de lo general hacia lo particular). No deberamos ocuparnos del control interno a nivel proceso, transaccin y aplicacin si previamente no logramos una acabada comprensin acerca del funcionamiento de los controles internos a nivel entidad. Sabemos que, si bien existen buenas prcticas o marcos de control interno generalmente aceptados, sea cual fuere l mtodo escogido, la estructura de control interno debe adaptarse a las necesidades de cada organizacin; debe ser considerada como un enfoque integral y completo, e involucrar a todo el personal. Sin perjuicio de esta afirmacin, como principales responsables del control interno, deben estarfuertemente involucrados la direccin general y cada uno de los directores o altos ejecutivos, cuya principal responsabilidad frente al control interno debe ser velar por la eficiencia y eficacia en las operaciones, la confiabilidad en la informacin, el cumplimiento de leyes y regulaciones y la prevencin del fraude. Habiendo comprendido ya que el lugar ms lgico para comenzar una evaluacin general del control interno es la cspide de una entidad, seguiremos con algunos conceptos que desagregan ms esta importante etapa en este anlisis. Esta etapa incluye la revisin de aquellos elementos de los cinco componentes del control interno que tienen un efecto dominante sobre la organizacin. Estos componentes o "pilares" del control interno, son los siguientes: El entorno o ambiente de control: marca la forma de comportamiento de una organizacin, que influye en la conciencia de control de su personal. Es el fundamento o base sobre la cual se apoyarn los dems componentes del control interno, y provee de disciplina, estructura e integridad. El entorno de control parte de la premisa que las entidades sometidas a un control eficaz se esfuerzan por tener personal competente e inculcan en toda la organizacin un sentido de integridad y concientizacin sobre el control. Por eso expresa tambin que algunos indicios de un buen ambiente de control pueden ser, entre otros, polticas y

procedimientos adecuados y un cdigo de conducta escrito que haga hincapi en los valores compartidos y el trabajo en equipo para conseguir los objetivos de la entidad. Un adecuado ambiente de control se verifica por medio de los siguientes aspectos que deben ser evaluados:

Integridad y valores ticos. Compromiso de competencia profesional. Filosofa de direccin y el estilo de gestin. Estructura Organizativa. Asignacin de autoridad y responsabilidad. Polticas y prcticas de RR.HH. Comit de Direccin Comit de auditora.

La evaluacin del riesgo: es la identificacin, el anlisis y la toma de decisiones relacionadas con la respuesta a los riesgos relevantes que corre la organizacin para el logro de sus objetivos. Las organizaciones deben definir sus objetivos (en todos los niveles), comprender qu podra suceder que impida alcanzar los mismos en forma razonable (a esto le llamamos riesgos) y qu decisiones empresarias deben tomarse para mantener estos riesgos de acuerdo a los requisitos de los accionistas (apetito de riesgo). Los sistemas de informacin y comunicacin: soportan la base para identificar, capturar e intercambiar informacin en una forma y perodo de tiempo que permita al personal cumplir con sus responsabilidades. Los sistemas de informacin deben identificar, recopilar y comunicar informacin pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Estos sistemas de informacin deben ser funcionales para el suministro de informacin que permita dirigir y controlar el negocio en forma adecuada. Asimismo deben permitir manejar no solo datos internos, sino los generados externamente. Debe existir una comunicacin eficaz. Debe fluir en todas las direcciones a travs de todos los mbitos de la organizacin (de arriba hacia abajo, a la inversa y transversalmente). La direccin debe comunicar a sus empleados claramente que las responsabilidades de control han de tomarse en serio. Cada empleado debera conocer qu papel juega dentro la organizacin y dentro del sistema de control interno y cmo las actividades individuales estn relacionadas con el trabajo de los dems. Deben disponer de medios para comunicar la informacin significativa a los niveles superiores. Debe existir un sistema de comunicacin eficaz con terceros (clientes, proveedores, organismos de control y accionistas). Las actividades de control: son las polticas y procedimientos que deben seguirse para tener certeza que las instrucciones de la Direccin orientadas a cumplir sus objetivos se llevan a cabo a nivel operativo. Las actividades de control se distribuyen a lo largo y a lo ancho de la organizacin, en todos los niveles y funciones. Incluyen un amplio abanico de actividades diversas tales como: aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos, segregacin de funciones, entre otros. Este anlisis es el ms tradicional dentro de las tpicas evaluaciones del control interno (anlisis a nivel operacional). Monitoreo o supervisin: es un proceso llevado a cabo para verificar la calidad de desempeo del control interno a travs del tiempo. Se realiza a travs de dos tipos de actividades: supervisin continua (desarrollada por las gerencias y jefaturas como ejercicio habitual de su responsabilidad frente a sus funciones y al control interno), y

evaluaciones peridicas puntuales (principalmente mediante la actuacin de la auditora interna, pero tambin de la externa y otras revisiones dirigidas). Las deficiencias o debilidades de control interno detectadas debern ser notificadas a niveles superiores, y la alta direccin deber estar informada de los hallazgos significativos. La evaluacin del control interno a nivel entidad debera llevar a una organizacin a plantearse las siguientes preguntas clave, para luego estar en condiciones de darles respuesta:

Ha creado la alta direccin de la compaa un entorno de control en el que motiva al personal a cumplir con Ha implantado la organizacin los mecanismos de control necesarios para monitorear el sistema y corregir Esos mecanismos estn funcionando eficazmente?

controles en lugar de ignorarlos o burlarlos? las faltas de cumplimiento? De esta manera el anlisis propuesto comienza con la evaluacin del control interno a nivel entidad, y su interrelacin con el resto de la organizacin; es decir la manera en que desciende el clima de control desde la cima y fluye a travs de los canales de informacin y comunicacin a todos los extremos de la compaa. Algunas tcnicas para efectuar este tipo de evaluaciones son las siguientes, y se pueden utilizar en forma individual o combinadas:

Encuestas (pueden ser bajo la metodologa de entrevista o de autorrelevamiento; tambin, dependiendo de

diversos aspectos tales como la experiencia de la organizacin en este tipo de trabajos, puede convenir hacerla en forma nominada o annima).

Entrevistas dirigidas. Talleres. Anlisis del diseo comparacin contra estndares pre- definidos (polticas corporativas o benchmarking). Pruebas de efectividad testing.

Veamos en forma resumida algunos ejemplos de aspectos que esta clase de anlisis del control interno suelen abordar:

La organizacin cuenta con un cdigo de conducta y otras polticas que abordan cuales son sus prcticas Estos documentos cubren todas las necesidades de la organizacin? Forma en que estas polticas mencionadas en el punto anterior son comunicadas tanto con sus empleados, Forma en que los empleados, clientes y proveedores conocen y aceptan (formalmente y en la prctica) este Los empleados conocen cual debe ser su conducta en caso de tomar conocimiento de comportamientos Los estndares ticos y su importancia es transmitida a los nuevos empleados en el momento de ingresar. Los empleados se conducen de forma tica en su trato con empleados, proveedores, inversores, acreedores,

aceptables de negocios, el tratamiento de conflicto de intereses y estndares esperados de comportamientos ticos.

clientes y proveedores. cdigo de tica y conducta. inadecuados. De qu manera. competidores, reguladores y auditores.

En caso que el management tome conocimiento de circunstancias que puedan implicar un desvo al cdigo El personal tiene competencia y el entrenamiento necesario para las funciones a las que fue asignado. Las descripciones de puesto existen e indican el nivel de supervisin de cada empleado. Las mismas estn

de conducta, a las polticas o a los procedimientos de la compaa, toma medidas adecuadas y oportunas.

formalizadas en forma adecuada. Resulta sencillo advertir que muchos de estos aspectos son del tipo "blandos", o sea, que su adecuado funcionamiento no solo por medio de las herramientas que hemos citado anteriormente, sino que la experiencia del evaluador juega un papel fundamental. De hecho, hacer una analoga entre el clima en un determinado lugar y momento, y el ambiente de control resulta muy atinado: ambas son cuestiones que nuestros sentidos perciben. El ambiente de control se siente y se vive dentro de una organizacin. Para finalizar nos interesara hacer una serie de postulados que sustentan que en un examen de control interno basado en el riesgo, comencemos a analizar, de arriba hacia abajo, el control interno a nivel entidad:

El riesgo siempre existe. No es posible eliminarlo (excepto abandonando la actividad riesgosa). De

esta afirmacin se desprende que si el riesgo es inherente a toda actividad resulta necesario conocerlo y administrarlo.

El propsito de los controles es mantener los riesgos en un nivel aceptable. Y el grado de aceptabilidad es El riesgo no es malo en si mismo. "El riesgo es una oportunidad. Es la nica alternativa para lograr Lo ms importante es conocer el riesgo y decidir en consecuencia. De lo contrario, el riesgo no reconocido No hay que minimizar el riesgo. Hay que optimizarlo. No es lo mismo hacer seguridad que gestionar riesgos.

algo que las organizaciones deben definir dentro de cada tipo de riesgo. desarrollo". es riesgo asumido.

De esta manera, se eficientizan los procedimientos empresariales. Carlos Rozen, Socio de BDO Becher y Asociados, responsable de Auditora Interna y Mejora de Procesos (Risk Advisory Services).