Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EL CONTROL INTERNO
1. DEFINICIN 2. COMPONENTES 3. AUDITORIA 4. CONTROL INTERNO INFORMATICO 5. ESTRUCTURA DEL CONTROL INTERNO 6. ORGANIZACIN INTERNA DE LA SEGURIDAD INFORMTICA
1. DEFINICION 1.1. QU ES EL CONTROL INTERNO? Debido a la importancia que est adquiriendo el control interno en los ltimos tiempos a causa de numerosos problemas producidos por su ineficiencia, se ha hecho necesario que los miembros de los Consejos de Administracin asumieran de forma efectiva unas responsabilidades que hasta ahora se haban dejado en manos de las propias organizaciones de las empresas. Por eso es necesario que los consejos de administracin tengan claro en qu consiste el control interno para que puedan actuar en consecuencia. Para ello hemos utilizado los conceptos establecidos en el llamado Informe COSO, que se denomina control interno - Un marco general integrado (Internal Control Integrated Framework) que fue emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), en la que participan organizaciones tan prestigiosas y conocidas como el American Institute of Certified Public Accountants(AICPA), la American Accounting Association, el Institute of Internal Auditor, el Institute of Management Accountants y el Financial Executive Institute, que encarg la redaccin del Informe a Coopers & Lybrand.
1.2. DEFINICIN DE CONTROL INTERNO El control interno no tiene el mismo significado para todas las personas, lo cual causa confusin entre empresarios y profesionales, legisladores, reguladores, etc. En consecuencia, se originan problemas de comunicacin y diversidad de expectativas, lo cual da origen a problemas dentro de las empresas. El informe COSO nos da una definicin integradora de control interno con el objetivo de facilitar un modelo en base al cual las empresas y otras entidades puedan evaluar sus sistemas de control y decidir cmo mejorarlos: El control interno es un proceso que lleva a cabo el Consejo de Administracin, la direccin y los dems miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecucin de objetivos en los siguientes mbitos o categoras: Eficacia y eficiencia de las operaciones. Fiabilidad de la informacin financiera.
La anterior definicin refleja ciertos conceptos fundamentales: El control interno es un proceso . Es un conjunto de acciones estructuradas y coordinadas dirigidas a la consecucin de un fin, no es un fin en s mismo. El control interno lo llevan a cabo las personas . No se trata solamente de manuales de polticas e impresos, sino de personas en cada nivel de la organizacin. El control interno slo puede aportar un grado razonable de seguridad , no la seguridad total, a la direccin y al Consejo de Administracin de la entidad. El control interno est pensado para facilitar la consecucin de objetivos en uno o ms mbitos independientes, pero con elementos comunes.
En segundo lugar, da cabida a los subgrupos de control interno. As, uno puede centrarse en, por ejemplo, los controles sobre la informacin financiera o los relacionados con el cumplimiento de la legislacin aplicable en el rea operativa. Asimismo permite centrarse en los controles sobre unas unidades o actividades determinadas de una entidad. Los conceptos fundamentales descritos arriba se analizan en los siguientes prrafos: Un proceso Los procesos de negocios, que se llevan a cabo dentro de las unidades y funciones de la organizacin o entre las mismas, se coordinan en funcin de los procesos de gestin bsicos de planificacin, ejecucin y supervisin. El control interno es parte de dichos procesos y est integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento. Constituye una herramienta til para la gestin, pero no un sustituto de sta. Esta conceptuacin del control interno dista mucho de la antigua perspectiva, que vea el control interno como un elemento aadido a las actividades de una entidad o como una carga inevitable impuesta por los organismos reguladores o por los dictados de burcratas excesivamente celosos. Los controles internos deben ser incorporados a la infraestructura de una entidad, no deben ser aadidos, de manera que no deben entorpecer, sino favorecer la consecucin de los objetivos de la entidad. Al ser incorporados y no aadidos, podremos identificar desviaciones en costes en actividades operativas bsicas y adems agilizaremos el tiempo de respuesta para solucionar estas desviaciones o costes innecesarios. Personas El control interno lo llevan a cabo el Consejo de Administracin, la direccin y los dems miembros de la entidad. Lo realizan los miembros de una organizacin, mediante sus actuaciones concretas. Son las personas quienes establecen los objetivos de la entidad e implantan los mecanismos de control. Seguridad razonable El sistema de control interno aporta una seguridad razonable (pero no completa) al Consejo de Administracin, ya que existen limitaciones que son inherentes a todos los sistemas de control interno. Estas limitaciones se deben a que: las opiniones en que se basan las decisiones pueden ser errneas, los empleados encargados del
2. COMPONENTES DEL CONTROL INTERNO El control interno consta de cinco componentes interrelacionados. Estos se derivan del estilo de direccin del negocio y estn integrados en el proceso de gestin. Los componentes son los siguientes:
1. 2. 3. 4. 5.
Eficiencia de Operaciones Fiabilidad informacin Cumplimiento normativo Supervisin Comunicacin e informacin Actividades de control Evaluacin de riesgos Entorno de control
2.2. EVALUACIN DE RIESGOS Toda entidad tiene que hacer frente a riesgos del ms diverso estilo que pueden afectar a los ms diversos aspectos de la actividad de la empresa. Cualquier entidad debe determinar cules son los niveles de riesgo aceptables y tratar de evitar que los riesgos sobrepasen esos lmites. Previamente a determinar los riesgos hay que determinar los objetivos. Cada entidad debe determinar sus objetivos, sus puntos fuertes y dbiles y las oportunidades y amenazas del entorno. De esta manera obtendr un plan estratgico que identificar los factores de xito o condiciones previas para que la entidad consiga sus objetivos. Los objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la informacin financiera y objetivos de cumplimiento. Aunque aqu hablamos un poco de cada grupo de objetivos, no se intenta establecer ningn tipo de separacin estricta entre ellos y debe reconocerse que muchos de los objetivos de diferentes categoras se interrelacionan y entrecruzan entre s. 2.2.1. Objetivos de las operaciones Este tipo de objetivos son la razn de ser de las empresas y van dirigidos a la consecucin del objeto social. Este grupo de objetivos constituye un elemento de gestin y no un elemento de control interno, adems cada entidad tendr sus propios objetivos de las operaciones, mientras que los otros dos grupos de objetivos a pesar de tener distintos matices para cada entidad, son aplicables a
Estos requisitos se cumplirn siempre que se den las siguientes condiciones: Existencia: Los activos y pasivos existen a la fecha del balance. Totalidad: Todas las transacciones y acontecimientos ocurridos durante un perodo determinado han sido efectivamente reflejadas en los registros contables Derechos y obligaciones: Los activos son los derechos y los pasivos las obligaciones efectivas de la entidad. Valoracin: El importe de los activos y pasivos y el de los ingresos y gastos haban sido determinados con criterios adecuados de conformidad con principios contables generalmente aceptados. Presentacin: La informacin financiera presentada en los estados financieros es suficiente, adecuada y est correctamente clasificada
2.2.3.
Objetivos de cumplimiento Toda entidad debe desarrollar su actividad dentro del marco de una legalidad y unos reglamentos que regulan los ms diversos aspectos de las relaciones sociales (normativa mercantil, o civil, laboral, financiera, medio ambiente, seguridad, etc.) Una vez identificados los objetivos de la entidad, ya podemos pasar a la identificacin y el anlisis de riesgos. La direccin debe identificar los riesgos existentes a todos los niveles de la empresa, hay muchos procedimientos para proceder a su identificacin ms adelante veremos como se utilizan . Una vez identificados, la direccin debe realizar un anlisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los mismos, evaluar la probabilidad de que se den y analizar cmo han de gestionarse (estableciendo medidas que tiendan a limitarlos o reducirlos). Hay que tener en cuenta que los cambios producidos en la economa, el sector de actividad, la reglamentacin y las actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un contexto determinado quizs no lo ser en otro. El anlisis de riesgos es, por tanto, una actividad que
2.3. LAS ACTIVIDADES DE CONTROL Las actividades de control junto con ciertas actividades de gestin nos ayudarn a evitar que los riesgos a los que est sujeta la entidad se lleguen a materializar y producir efectos negativos en sta. Las actividades de control se traducen en polticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control). Las actividades de control constituyen un elemento importante del proceso mediante el que una entidad consigue sus objetivos. Algunos de los posibles mecanismos de control utilizables (con las complejidades que se requiera en cada momento): Segregacin de funciones El riesgo de que se puedan producir errores o irregularidades en el desarrollo y registro de las transacciones disminuye si las diferentes partes que componen el proceso se ejecutan por diferente persona. Las responsabilidades de autorizar, ejecutar, registrar y comprobar una transaccin deben de quedar en la medida de lo posible segregadas y diferenciadas. Este es uno de los mecanismos de control interno ms importante y efectivo. Anlisis realizados por la direccin La direccin analiza los resultados obtenidos comparndolos con perodos anteriores, con los presupuestos. Este tipo de actuacin es una actividad de control muy importante para la consecucin de objetivos, puesto que la informacin oportuna y apropiada constituye en la mayora de los casos la primera base para la correcta toma de decisiones. Controles fsicos El conteo fsico de los activos (existencias, ttulos negociables, tesorera, etc.) y la comprobacin de los resultados con los registros de control constituye una medida de control que puede resultar significativa para conseguir objetivos tanto de informacin financiera como de operaciones. Mecanismos de seguimiento del proceso de informacin Se trata de comprobaciones realizadas para asegurarse de la existencia, exactitud, totalidad y autorizacin de las transacciones registradas. Gestin de funciones de actividad Este tipo de controles est constituido por las revisiones de los resultados obtenidos en una actividad por parte de los responsables correspondientes y a niveles sucesivamente ms altos. Indicadores de rendimiento Incluye el anlisis combinado de diferentes conjuntos de datos (operativos o financieros) y la puesta en marcha de acciones correctivas.
Controles de los sistemas de informacin Aunque cuando se habla de sistemas de informacin se piensa casi automticamente en sistemas informticos, se incluye tambin la parte de los sistemas que corresponde a operaciones manuales. Los controles de los sistemas de informacin los podemos clasificar en: Seguridad fsica de los equipos y la informacin: Son programas de emergencia que permitan operar en equipos de emergencia o exteriores cuando se produzcan situaciones catastrficas Controles de acceso: Se trata de determinar quien es el posible usuario de la informacin y qu se puede hacer con la misma. Controles sobre el "software": Incluye los controles sobre la adquisicin, implantacin y mantenimiento del sistema y la ejecucin de aplicaciones. Controles de operaciones de proceso de datos: Controles sobre la intervencin de los operadores en la planificacin de los trabajos, la solucin de las incidencias, la realizacin y mantenimiento de backups, etc. Controles sobre el desarrollo y mantenimiento de aplicaciones: Muchas empresas desarrollan sus propias aplicaciones o utilizan paquetes estndar que deben ser adaptados e implantados, esto requiere controles especficos sobre su seleccin, adaptacin e implantacin. Controles de las aplicaciones: Este tipo de controles van incorporados dentro de las propias aplicaciones y tienen la finalidad de garantizar la totalidad y exactitud en el proceso de las transacciones, su autorizacin y su validez.
2.4. INFORMACIN Y COMUNICACIN 2.4.1. Informacin Es necesario identificar cual es la informacin relevante y, disponer de los mecanismos oportunos para recogerla y comunicarla en forma y tiempo oportunos, de tal forma que la misma pueda cumplir los objetivos previstos. La informacin se recoge de fuentes internas y externas y se comunica a destinatarios tanto internos como externos. Los flujos de informacin pueden ser tanto verticales como horizontales o transversales a lo largo y ancho por la estructura organizativa de la entidad y pueden tener carcter tanto formal como informal. Cada entidad debe valorar sus necesidades de sistemas de informacin en funcin de sus objetivos. Para responder a estas necesidades, debe de atenderse a los siguientes aspectos relativos a la calidad de la informacin: Contenido. La informacin debe ser necesaria y relevante Tiempo. La informacin debe de transmitirse en tiempo oportuno y adecuado. Actualidad. La informacin debe ser la ms reciente posible. Accesibilidad. Los miembros de la organizacin que necesiten utilizar informacin, deben poder acceder a la misma con facilidad.
2.5. SUPERVISIN El objetivo de la supervisin es asegurar que el sistema est funcionando adecuadamente y de que va adaptndose a las necesidades y cambios de circunstancias. La direccin debe disponer de los instrumentos necesarios para asegurarse de que esto es realmente as. La supervisin puede llevarse a cabo de dos formas: a travs de actividades y evaluaciones recurrentes o bien a travs de actividades y evaluaciones especficas. Cuanto ms importantes sean las actividades recurrentes, menos necesidad habr de actividades especficas y espordicas.
2.5.1. Actividades de supervisin recurrentes Existencia de canales abiertos para que la gerencia reciba ideas e informacin de los empleados referente a los sistemas en s mismo o sobre su funcionamiento. Revisin sistemtica por parte del departamento de auditoria interna de aspectos tanto puramente administrativos de cumplimiento como operativos, con manifestacin de las debilidades observadas, recomendaciones de mejora y seguimiento de su implantacin. Revisin anual de los sistemas de control interno por parte de los auditores externos con el alcance requerido a efectos de una auditoria externa. Comunicacin sistemtica o espordica con terceros: clientes, proveedores, entidades financieras, etc.
2.5.2. Actividades de supervisin especficas Aunque las actividades de evaluacin continua son esenciales, es muy conveniente realizar de vez en cuando evaluaciones de los sistemas de control interno dirigidas fundamentalmente a evaluar su efectividad. Con frecuencia los departamentos, unidades de negocio, ..etc. realizan "autoexmenes" de control interno, otras veces las revisiones se realizan intercambiando personal al mismo nivel, otras veces se utiliza a los auditores internos o a los auditores externos, etc.
2.5.3. Informacin sobre deficiencias de control interno El trmino "deficiencia" se define como cualquier situacin o condicin del sistema de control interno digna de atencin. Con ello se estn incluyendo no solo las posibles insuficiencias del sistema, sino tambin los puntos susceptibles de mejora.