Control en su sentido funcional se entiende como un proceso que da seguimiento y monitoreo a las operaciones celebradas en una organización, para constatar la realización adecuada de sus operaciones.
• Es un Proceso que constituye una relación de operaciones interrelacionadas
• Vigila Cumplimiento y da seguimiento en forma parcial o total a la realización de operaciones, verificándolas y examinándolas.
• Detecta y Corrige, identificando deficiencias en la operación, las analiza y en su caso las adecúa.
Control Interno representa un Plan Integral de Organización que involucra métodos y procedimientos que debidamente entrelazados son aprobados y adoptados por las organizaciones a efecto de salvaguardar su patrimonio, obtener información oportuna veraz y confiable y alentar la eficiencia, eficacia, calidad y excelencia de las operaciones, así como promover la observancia a los lineamientos administrativos establecidos.
• Veracidad de la información
• Eficiencia del personal
• Salvaguarda de bienes y activos
• Detección de errores
• Prevención de fraudes
• Acceso restringido
• Adhesión a las políticas de la administración
El marco conceptual de COSO fue diseñado para evaluar y documentar los componentes de control interno, con la finalidad de identificar los factores que originan la presentación de información financiera falsa o fraudulenta y emitir las recomendaciones que garantizasen la máxima transparencia informativa en tal sentido.
Metodología de Control Interno que tiene como fin el diseño, regulación, operación y evaluación de las políticas de control interno, mediante el establecimiento de procedimientos enfocados a la administración de riesgos, considerado como una herramienta eficaz para satisfacer la necesidad de un buen gobierno corporativo de las empresas.
Las compañías públicas y no públicas en USA y en otros países del mundo, han adoptado el marco de Control Interno COSO como base de sus políticas de administración de riesgos a través de controles; recomendado por diversas autoridades regulatorias, incluso por el FMI.
• 1992-marco integrado, constaba de 5 componentes (ambiente de control, evaluación del riesgo, actividades de control, información / comunicación y monitoreo)
• 2004-constaba de 8 componentes (los 5 anteriores, mas, establecimiento de objetivos, identificación de eventos y respuesta al riesgo)
• 2013-actualizado, simplificado con los 5 componentes originales, más 17 principios
• 2017-COSO ERM, integrado con estrategia y desempeño, consta de 5 componentes y 20 principios
El marco COSO está integrado por cinco componentes interrelacionados, los cuales se derivan de la forma en la cual la gerencia opera un negocio y están integrados a todos los procesos de este. Estos componentes deben aplicarse a cualquier nivel de la organización, es decir, a nivel de la empresa, unidad, negocio y/o proceso de negocio:
1) Ambiente de control.
2) Evaluación del riesgo.
3) Actividades de control.
4) Información y comunicación.
5) Monitoreo.
Establece el “tono” en que una organización promueve y fomenta la conciencia de control en los empleados para que contribuya a la calidad de los otros componentes del control interno. Tal marco de control tiene una influencia generalizada en la forma en que las actividades de negocios se estructuran, los objetivos se establecen y los riesgos se evalúan, es la base de todos los demás componentes de control y ofrece disciplina y estructura.
Algunos de los factores que se evalúan son la integridad, los valores éticos y la competencia de la gente de una organización; la filosofía y estilo de operación gerenciales; la forma en la cual la gerencia asigna autoridad y responsabilidad, como organiza y desarrolla a su gente; y la atención y dirección proporcionadas por el consejo de administración.
Entre los ejemplos comunes encontramos un código de conducta por escrito; programas de capacitación que abordan las expectativas de la gerencia y los valores corporativos; programas de incentivos; protocolos establecidos de autorización; y un Consejo de Administración independiente y proactivo y deseablemente un comité de auditoría, en resumen, un robusto Gobierno Corporativo
El Gobierno Corporativo tiene como Principios básicos los siguientes:
• El trato igualitario y la protección de los intereses de todos los accionistas.
• La emisión y revelación responsable de la información, así como la transparencia en la administración.
• Visión estratégica de la sociedad, así como vigilancia y efectivo desempeño de la administración.
• La identificación, la administración, el control y la revelación de los riesgos a que está sujeta la sociedad.
• La declaración de principios éticos y de responsabilidad social empresarial.
• La prevención de operaciones ilícitas y conflictos de interés.
• La revelación de hechos indebidos.
• El cumplimiento de las distintas regulaciones a que esté sujeta la sociedad.
• Dar certidumbre y confianza a los inversionistas y terceros interesados sobre la conducción honesta y responsable de los negocios de la sociedad.
• Constituido de 3 a 5 miembros INDEPENDIENTES
• Responsable por la contratación y/o despido de los auditores
• Implementar procedimientos para atender denuncias de empleados o terceros
• Al menos, un experto financiero / contable
• Responsable para contratar asesores independientes
• Los reportes emitidos han sido revisados y aprobados
• Los reportes financieros no contienen ninguna información falsa u omite cualquier hecho material
• Se diseñaron, establecieron y mantienen controles internos y éstos operan efectivamente
• Los estados financieros representan legítimamente la posición financiera, los resultados de la operación y el flujo de efectivo de la Compañía
• Las deficiencias y debilidades materiales de control interno han sido informadas al Comité de Auditoría y a los auditores externos.
• Los cambios en el control interno han sido documentados.
La alta dirección es responsable de:
• Establecer y mantener una adecuada estructura de control interno y procedimientos para la elaboración de información financiera.
• Evaluar la efectividad de la estructura de control interno y los procedimientos
• Para el cumplimiento de lo mencionado en los puntos anteriores es necesario contar con un Marco General de Control Interno que defina criterios objetivos para evaluar los controles.
Los auditores externos son responsables de certificar y avalar las declaraciones realizadas por la alta dirección
La evaluación de riesgo supone la identificación, análisis y manejo que hace la dirección de los riegos que pueden afectar la capacidad de la entidad para registrar, procesar, resumir y reportar la información financiera y que ésta concuerde con las afirmaciones de la dirección plasmadas en los estados financieros. Los cambios internos y externos afectan a los objetivos del negocio, por lo que los procesos de negocio deben ofrecer una evaluación continua del riesgo; entre las circunstancias que requieren de esta evaluación son las siguientes:
• Cambios en el Marco Regulatorio y Operativo del negocio
• Personal nuevo.
• Sistemas de información nuevos o renovados.
• Un rápido crecimiento del negocio.
• Nueva tecnología.
• Nuevos productos o actividades.
• Reestructuras, altas o bajas corporativas.
• Operaciones en el extranjero.
(Identificación de Riesgos y como pueden afectar a la organización)
Las actividades de control están diseñadas para responder a los riesgos a lo largo de toda la organización, incluyen una amplia gama de actividades específicas a cada ciclo del negocio, tales como aprobaciones, autorizaciones, verificaciones, revisiones y mejoras de operación y segregación de funciones.
Cada ciclo abarca regularmente varios tipos de transacción que varían según el negocio de que se trate. Por ejemplo, venta de productos y servicios, registros de clientes y finalmente los ingresos del efectivo; pueden ser tres clases de transacción distintas que integran el ciclo de ingresos.
La base de un ciclo es la trayectoria por la cual cada clase de transacciones se desplaza a través del sistema operativo y de contabilidad y la naturaleza de las actividades de control que se aplican.
(una vez detectados los Riesgos se definen los Controles para Mitigarlos)
Las actividades de control están diseñadas para responder a los riesgos a lo largo de toda la organización, incluyen una amplia gama de actividades específicas a cada ciclo del negocio.
Identificar, registrar y comunicar la información en una forma que permita a los empleados cumplir con sus responsabilidades de forma adecuada y en el tiempo deseado, incluyendo datos exactos, oportunos y relevantes para efectos financieros y de operación que estén soportados por los sistemas correctos y apropiados.
Cualquier organización o cualquier proceso necesita de sistemas de información que midan los resultados contra los objetivos. Estos sistemas deben estar acompañados de prácticas de comunicación que permitan que las “malas noticias” (desviaciones, faltas y/o fraudes) lleguen hasta la gerencia senior, se compartan las mejores prácticas en toda la organización, que todos comprendan la intención de la gerencia y sean una herramienta para la toma de decisiones adecuada y oportuna.
Ejemplos:
• Código de conducta
• Manuales de políticas y procedimientos
• Flujogramas
• Comunicados internos
• Boletines
• Resúmenes financieros
Verificar y dar seguimiento a las actividades y procesos de control, es un procedimiento que evalúa la calidad del desempeño del o los sistemas de control. Esto se logra a través de actividades continuas de evaluación y supervisión que van desde una supervisión de rutina de las actividades de oficina hasta la división de tareas entre los diferentes empleados de manera que puedan servir como verificación de unos a otros.
La necesidad de evaluaciones por separado depende primordialmente de una evaluación de los riesgos y efectividad de los procedimientos continuos de monitoreo, reportando a la gerencia las deficiencias de las actividades de control, y los asuntos delicados a la alta gerencia y al consejo.
Ejemplos de éstas evaluaciones pueden ser; revisión de presupuestos, reportes financieros, actuación por departamento, evaluación de KPI´s, auditorías, revisiones de consultores externos, entre otras.
Acciones y/o mecanismos necesarios para prevenir o reducir el impacto de los eventos que ponen en riesgo la adecuada ejecución de las actividades diarias y tareas requeridas para el logro de los objetivos de la institución, así como promover la observancia a los lineamientos administrativos establecidos.
Son aquellos que satisfacen, con un aseguramiento razonable, los objetivos de control pueden ser probados más eficientemente y que están directamente relacionados con transacciones y revelaciones de información financiera.
• Controles de monitoreo, efectivos para mitigar riesgos en procesos clave, incluido el riesgo de fraude y acceso restringido.
• Controles de aplicación, ya sea manuales o automatizados.
• Conjunto de controles que incluye equilibrio de prevención y detección.
Ejemplos de Controles Clave
Los controles de aplicación son procedimientos diseñados para asegurar la integridad de los registros contables; pueden ser procedimientos manuales llevados a cabo por usuarios o procedimientos hechos por programas de cómputo. Los controles de aplicación apoyan directamente a los objetivos de totalidad, exactitud, autorización y acceso restringido, como se define a continuación.
• Totalidad de registros.– estos controles están diseñados para asegurar que todas las transacciones sean registradas, ingresadas y aceptadas para el procesamiento y se actualicen en el archivo de datos apropiado y una vez que los datos hayan sido actualizados hacia un archivo, esos datos permanecen correctos y actualizados en el archivo y representan un saldo existente.
• Exactitud de los registros.- asegurar que los elementos de datos clave serán registrados e ingresados con exactitud en la computadora y los cambios en datos fijos sean ingresados con exactitud, es decir, que todas las transacciones ingresadas y aceptadas para su procesamiento actualicen con exactitud el archivo de datos apropiado.
• Autorización.– estos controles están diseñados para asegurar que las transacciones estén autorizadas, estén relacionadas con el sujeto adecuado (cliente, proveedor, mercancía, etc.) y que no sean ficticias. Que los cambios a los datos fijos estén autorizados y, una vez ingresados, no sean cambiados sin autorización.
• Acceso restringido a activos y registros (mantenimiento).– estos controles están diseñados para proteger contra correcciones y modificaciones de datos no autorizados, así como asegurar la confiabilidad de los datos y proteger los activos físicos, como el efectivo e inventario (por ejemplo).
Realizados manualmente por el personal de la Entidad.
Se usan para administrar y controlar actividades de "IT“, por ejemplo:
• Mantenimiento de los sistemas existentes
• Desarrollo e implementación de nuevos sistemas
• Seguridad de la información y Operaciones de cómputo.
Dan a la gerencia la seguridad de que los procesos de negocio u otros controles relacionados con los riesgos del negocio están operando tal y como se esperaba. Comprenden las evaluaciones continuas o periódicas ejecutadas por la gerencia, usando información generada dentro del negocio y llevando a medidas correctivas cuando así se necesite.
• Definir la estrategia de acuerdo con los riesgos identificados, revisar el posible impacto de los riesgos en la estrategia ya definida.
• Posibilidad de que la estrategia no esté alineada con la misión, visión y valores fundamentales de la organización.
• Implicaciones de la estrategia seleccionada.