Académique Documents
Professionnel Documents
Culture Documents
Informe COSO
* Es un proceso
* Realizado por todas las personas
* Es un medio para conseguir un fin
* El fin es cumplir los objetivos (Metas)
* Ser Eficaces (lograr los objetivos)
* Ser Eficientes (con el menor empleo de recursos)
* Contar con Información Confiable
* Cumplir Leyes, Normas y estándares
* Toda la Empresa
* Todas las actividades
* Todos los Procesos
* Toda la Información necesaria para administrarse y tomar las decisiones
correctas para ser Eficaces, Eficientes y dar cumplimiento a las Leyes, Normas y
Estándares
CONCEPTO Y COMPONENTES
Las Normas del IIA para la Práctica Profesional de Auditoría Interna (Normas) se
refieren a un "sistema de control interno" y definen este sistema como un arreglo,
conjunto, o grupo de conceptos, partes, actividades y/o personas que se conectan
o inter-relacionan para alcanzar objetivos y metas. Las Normas, además, definen
control como cualquiera acción realizada por la gerencia para aumentar la
probabilidad de que se cumplan los objetivos y metas establecidos.
La gerencia cumple sus responsabilidades de control interno planificando,
organizando y dirigiendo el desempeño de acciones suficientes para proporcionar
una garantía razonable para el logro de objetivos y metas.
Ventajas de Coso
ENTORNO DE CONTROL
El entorno de control marca la pauta del comportamiento en una organización,
siendo la base de todos los demás elementos del control interno:
* disciplina,
* valores éticos,
* capacidad,
* estructura,
* segregación de funciones y
* la filosofía como la Dirección distribuye la autoridad y la responsabilidad para
organizar y desarrollar profesionalmente a las personas que integran la
organización.
El Recurso Humano, el ambiente, los códigos y el clima organizacional:
* Integridad y Valores Éticos
* Competencia profesional
* Consejo de Administración o Comité de Auditoría
* Filosofía de Dirección o estilo de Gestión
* Estructura Organizacional
* Asignación de autoridad y responsabilidad
* Políticas y prácticas de Recursos Humanos
INFORMACIÓN Y COMUNICACIÓN
En la actualidad, queda claramente de manifiesto que los sistemas de información
son la plataforma básica para ejercer las responsabilidades de Dirección,
Planificación y Control de las operaciones, en cualquier entidad.
Por otra parte, establecer una comunicación eficaz en el mas amplio sentido, implica
generar las condiciones para la circulación multidireccional de información que
contribuya a la coordinación de las operaciones.
Es necesario que los empleados (funcionarios) comprendan el rol que deben
desempeñar dentro del Sistema de Control Interno, así como, la relación que existe
entre las actividades propias y la del resto de las personas que se desempeñan en
su área o en otras áreas de la entidad.
Del mismo modo, es importante mantener una comunicación eficaz con terceros
externos, tales como los clientes, proveedores, organismos estatales (SVS,
Superintendencias, SII, etc.) de regulación y fiscalización, Bancos, Accionistas,
Inversionistas, etc.
CALIDAD DE LA INFORMACIÓN:
* Contenido: ¿Se cuenta con toda la información necesaria, interna y externa, para
el desarrollo eficiente de las operaciones y la toma de decisiones?
* Oportunidad: ¿La información está disponible cuando se necesita?
* Actualidad: ¿La información está vigente y es lo más reciente?
* Exactitud: ¿La información es producto de datos correctos?
* Accesibilidad: ¿Los requirentes o usuarios de la información pueden acceder a
ella con facilidad
La Comunicación:
* Comunicación Interna: Cada persona debe entender lo que se espera de su
trabajo, su rol en el sistema de control interno y la responsabilidad que tiene al
respecto. Por su parte, la Dirección debe crear mecanismos adecuados para una
auténtica comunicación ascendente.
* Comunicación externa: Es conveniente que exista una comunicación eficaz con
clientes y proveedores y estos deben conocer lo que la empresa espera de ellos y
las pautas éticas que regularán las relaciones, entendiéndose que no se tolerarán
actos indebidos. De igual modo, se deben abrir canales expeditos para recibir y
atender consultas y quejas que, en la mayoría de los casos, revelan deficiencias
operativas internas.
Los clientes y proveedores pueden aportar información de gran valor sobre el diseño
y calidad de los productos y servicios, permitiéndole a la empresa, responder a los
cambios en las exigencias y preferencias de los clientes.
Del mismo modo, la empresa debe contar con el soporte de procedimientos
administrativos capaces de recibir, procesar, atender y hacer seguimiento de la
información y de las comunicaciones que recibe de fuente externa, clientes,
proveedores, bancos, organismos de control u otros interesados en la empresa.
* Calidad de la Información:
Contenido o Integridad
Oportunidad
Actualidad
Exactitud
Accesibilidad
* La Comunicación:
Interna: Escalabilidad - Fluidez
Externa: Clientes, Proveedores, Bancos, etc. Consultas, Reclamos,
Requerimientos, Soporte, procedimientos
Políticas de Control Interno
* Comité de Informática
* Definición de política Informática
* Asignación de Recursos
* Soporte, herramientas, procedimientos, RR.HH.
* Entrenamiento / Capacitación de los usuarios
* Evaluación permanente de nuevas tecnologías
* Entrenamiento del personal del área informática
SUPERVISIÓN
Resulta necesario realizar una supervisión de los sistemas de Control Interno,
evaluando la calidad de su comportamiento.
Dicha evaluación consta de actividad de supervisión contínua (controles
permanentes), de evaluaciones periódicas (Auditoría o revisiones) o una
combinación de ambas.
Los mecanismos de control permanente se inscriben en el marco de las actividades
corrientes y comprende a aquellos controles regulares efectuados por la dirección,
así como determinadas tareas que realiza el personal en el cumplimiento de sus
funciones.
El alcance y la frecuencia de las revisiones o auditorías se determinarán en base a
la evaluación de riesgos y de la eficacia de estos mismos procedimientos de
supervisión.
Las deficiencias en el sistema de control interno, en su caso, deberían ser
informadas a la gerencia del área y los asuntos más importantes, comunicados al
primer nivel directivo y al consejo de administración.
El control cotidiano, permanente, habitual...
* Controles permanentes
* Revisiones o Auditorías
* La comunicación de las deficiencias
Los Controles permanentes comprenden la evaluación de ciertos aspectos
según la manera en que se han diseñado los procesos y procedimientos e
incorporado controles, derivado de los riesgos visualizados previamente.
Los procedimientos que incorporan controles permanentes, los materializan de
dos formas:
- Mediante actividades continuas de control (verificaciones automatizadas,
cálculos de cuadratura, dígitos de verificación, etc.)
- Por evaluaciones puntuales (visaciones, autorizaciones, etc.)
Cuanto mayor sea la eficacia de las actividades permanentes de control, menor
será la necesidad de realizar evaluaciones puntuales
La frecuencia de las revisiones o Auditorías y sus resultados dependerán de:
* La naturaleza e importancia de los cambios y de los riesgos asociados,
* De la competencia y experiencia de las personas que aplican los controles,
* De los resultados observados en los controles permanentes.
Una combinación entre la aplicación de controles permanentes y de revisiones
(auditorías), asegurará normalmente, el mantenimiento de la eficacia del control
interno.
ACTIVIDADES DE CONTROL PERMANENTE Y SUPERVISIÓN
Además de los controles incorporados en los procedimientos, comprende
actividades corrientes de gestión, supervisión, comparaciones, conciliaciones, etc.,
como, por ejemplo:
* A través del cumplimiento de las acciones de gestión
* Al realizar conciliaciones de diversos informes
* Identificación rápida de errores importantes,
* Divergencias importantes al corroborar datos agrupados,
* Información financiera completa y oportuna,
* Reclamos por facturación errónea,
* Supervisión de tareas administrativas de registro
* Segregación de funciones y verificaciones cruzadas (recíprocas),
* Tomas de inventario físico (existencias / activo fijo)
* Reuniones internas (cualquiera) que permitan cruzar información
* Evaluación del plan de organización y de los procedimientos
EVALUACIONES DE AUDITORÍA
Alcance y frecuencia
Dependerá de la magnitud de los riesgos objeto de control y de la importancia
de los controles para la reducción de aquellos:
* cambios importantes en la estrategia,
* importantes adquisiciones o enajenaciones,
* fuerte modificación en los procesos y/o procedimientos,
* según la categoría del objetivo de control (operacionales, financieros, de la
información financiera, de cumplimiento de normas, leyes y regulaciones.
La evaluación del Control Interno, forma parte de las funciones normales de
Auditoría Interna.
El proceso de evaluación
* El auditor deberá entender cada una de las actividades de la entidad y cada
componente del sistema de control interno objeto de evaluación,
* Su tarea será averiguar el funcionamiento real del sistema de CI,
* Tendrá entrevistas con los empleados que aplican los controles, revisará los
datos registrados, documentos y respaldos de los registros,
* El auditor revisará el diseño del sistema de control interno y los resultados de las
pruebas realizadas,
* Establecerá si el sistema de control ofrece una garantía razonable con respecto
al cumplimiento de los objetivos establecidos.
Entorno de control:
“La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo
mecanismos para identificar, analizar y tratar los riesgos correspondientes en las
distintas áreas”.
Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe
identificar y analizar riesgos, cuantificarlos, y prever la probabilidad de que
ocurran, así como las posibles consecuencias.
La evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe
ser un proceso continuo, una actividad básica de la organización, como la
evaluación continua de la utilización de los sistemas de información o la mejora
continua de los procesos.
Actividades de control:
Las actividades de control son las políticas y los procedimientos que ayudan a
asegurar que se lleven a cabo las instrucciones de la dirección de la empresa.
Ayudan a asegurar que se tomen las medidas necesarias para controlar los
riesgos relacionados con la consecución de los objetivos de la empresa. Hay
actividades de control en toda la organización, a todos los niveles y en todas las
funciones.
Las empresas pueden llegar a padecer un exceso de controles hasta el punto que
las actividades de control les impidan operar de manera eficiente, lo que
disminuye la calidad del sistema de control. Por ejemplo, un proceso de
aprobación que requiera firmas diferentes puede no ser tan eficaz como un
proceso que requiera una o dos firmas autorizadas de funcionarios componentes
que realmente verifiquen lo que están aprobando antes de estampar su firma. Un
gran número de actividades de control o de personas que participan en ellas no
asegura necesariamente la calidad del sistema de control.
Información y comunicación:
El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las
responsabilidades del control han de tomarse en serio. Los empleados tienen que
comprender cual es el papel en el sistema de control interno y como las
actividades individuales estén relacionadas con el trabajo de los demás. Por otra
parte, han de tener medios para comunicar la información significativa a los
niveles superiores. asimismo, tiene que haber una comunicación eficaz con
terceros, como clientes, proveedores, organismos de control y accionistas.
Los empleados deben saber que sus superiores desean enterarse de los problemas,
y que no se limitarán a apoyar la idea y después adoptarán medidas contra los
empleados que saquen a luz cosas negativas. En empresas o departamentos mal
gestionados se busca la correspondiente información pero no se adoptan medidas
y la persona que proporciona la información puede sufrir las consecuencias.
Supervisión o monitoreo:
Luego del análisis de cada uno de los componentes, podemos sintetizar que éstos,
vinculados entre sí:
Para una dirección eficiente la institución debe contar con los siguientes
elementos:
Sistema de Costo
Control Presupuestario de costos y gastos.
Análisis de la interpretación de ambos.
Todos los elementos que componen el control interno deben gravitar alrededor de
los principios de calidad e idoneidad, entre ellos se encuentran:
Estos son los objetivos y planes perfectamente definidos con las siguientes
características:
Clases de control interno:
Planeación Planeación
Valoración Control
Ejecución Supervisión
Monitoreo Promoción
2, Controles 2, Controles
2,5, Programas de
adiestramiento
3, Aseguran 3, Aseguran
3,1 todas las transacciones de 3,1, Eficiencia, Eficacia y
acuerdo a la autorización específica Efectividad de operaciones
1. Delimitación de responsabilidades.
2. Delimitación de autorizaciones generales y específicas.
3. Segregación de funciones de carácter incompatible.
4. Prácticas sanas en el desarrollo del ejercicio.
5. División del procesamiento de cada transacción.
6. Selección de funcionarios idóneos, hábiles, capaces y de moralidad.
7. Rotación de deberes.
8. Pólizas.
9. Instrucciones por escrito.
10. Cuentas de control.
11. Evaluación de sistemas computarizados.
12. Documentos pre enumerados.
13. Evitar uso de efectivo.
14. Uso mínimo de cuentas bancarias.
15. Depósitos inmediatos e intactos de fondos.
16. Orden y aseo.
17. Identificación de puntos claves de control en cada actividad, proceso o
ciclo.
18. Gráficas de control.
19. Inspecciones e inventarios físicos frecuentes.
20. Actualización de medidas de seguridad.
21. Registro adecuado de toda la información.
22. Conservación de documentos.
23. Uso de indicadores.
24. Prácticas de autocontrol.
25. Definición de metas y objetivos claros.
26. Hacer que el personal sepa por qué hace las cosas.
VALORACIÓN DE RIESGO
El riesgo es otro de los elementos que constituyen el control interno. Los riesgos
son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta pero no
nula. La importancia de cada riesgo en el control interno se basa en su
probabilidad de manifestación y en el impacto que puede causar en la
organización.
El riesgo puede ser tanto interno como externo y comprende situaciones que
imponen a la organización barreras para su crecimiento o inclusive para su
supervivencia.
Eliminar completamente el riesgo es una situación hipotética porque los factores a
considerar son demasiados en un entorno donde el dinamismo es una constante.
Sin embargo, existen muchas opciones para reducir el riesgo de que la
organización sea afectada por amenazas. Una de ellas es precisamente un
adecuado control interno que tiene el objetivo, en lo que respecta al riesgo, de
mantener en observación las principales variables que comprenden los riesgos
más importantes.
El principal responsable de considerar y tomar acciones contra los riesgos
involucrados en el actuar de la organización es la alta dirección. Sin embargo, a
partir de sus observaciones y determinaciones, la responsabilidad de mantener
control interno sobre los riesgos se propaga hacia el resto de la organización,
tanto en dimensión vertical como horizontal. De esta manera se mantienen
responsabilidades bien definidas en toda la organización, pero manteniendo una
estructura jerárquica en éstas.
En este apartado, la auditoría tiene la responsabilidad de supervisar que el control
interno cumple sus objetivos de minimizar los riesgos y en el caso de existir puntos
débiles en el control, identificarlos.
Podemos citar algunos de los riesgos más frecuentes que puede sufrir una
organización tipo:
Algunos riesgos externos:
• desarrollos tecnológicos que en caso de no adoptarse, provocarían
obsolescencia organizacional
• cambios en las necesidades y expectativas de la demanda
• condiciones macroeconómicas (tanto a nivel internacional como nacional)
• condiciones microeconómicas
• competencia elevada con otras organizaciones
• dificultad para obtener crédito o costos elevados del mismo
• complejidad y elevado dinamismo del entorno de la organización
• reglamentos y legislación que afecten negativamente a la organización
Algunos riesgos internos:
• riesgos referentes a la información financiera
• sistemas de información defectuosos
• pocos o cuestionables valores éticos del personal
• problemas con las aptitudes y actitudes (comportamiento) del personal
Los riesgos internos son abarcados por el control interno.
Identificación de riesgos
Para identificar los riesgos más importantes es necesario realizar un mapeo de
estos, que incluya la especificación de los dominios o puntos clave de la
organización, las interacciones significativas entre la organización y los terceros, la
identificación de los objetivos generales y particulares, y las amenazas y riesgos
que se pueden tener que afrontar.
La dirección tendrá la responsabilidad de identificar riesgos, siendo también
importante que se analicen con la misma profundidad los factores que pueden
contribuir a aumentarlos.
Gráfico de organización
Manual de funciones por cargos.
Estos estados periódicos deben ser revisados y discutidos con la Junta Directiva,
Comité‚ Ejecutivo, presidente, Tesorero, Jefes de Departamentos, etc., con vista a
la toma de decisiones económicas encaminadas a una mayor efectividad de la
empresa.