CONTROL INTERNO EN LA ADMINISTRACIÓN Y EN LAS AUDITORIAS

Para poder identificar los riesgos a los que se somete cada organización, se
debe realizar un buen análisis sobre los riesgos y vulnerabilidades que
permitan determinar los controles que se necesitan para mitigarlos o,
eventualmente, eliminarlos, si su criticidad así lo requiere.

Un riesgo es cualquier evento que afecte el logro de los objetivos del negocio.
En un sentido amplio, es la posibilidad de que una amenaza determinada
explote las vulnerabilidades de un activo o grupo de activos y ocasione
pérdidas o daño al patrimonio. El impacto o severidad relativos del riesgo es
proporcional al valor de la pérdida/daño y a la frecuencia estimada de la
amenaza para el negocio.

Con el riesgo se pueden realizar 4 acciones:

- Eliminarlo
- Transferirlo
- Mitigarlo
- Aceptarlos.

Dependiendo el apetito al riesgo de la gestión (la tolerancia al riesgo), primero

se va a intentar eliminarlo, en caso de no poder esquivar ese riesgo del camino
del proyecto o de la gestión, se puede intentar transferirlo. Cuando se habla de
transferencia del riesgo es, por ejemplo, cuando se contrata un seguro, le
estamos pasando (transfiriendo) a otro el riesgo eventual de que algo pueda
generarnos daños o perdidas. Si no se puede transferir, se va a intentar
mitigarlo, es decir, generar un plan de contingencia por si ocurre, para poder
generar el menor daño posible. Por último, si no podemos eliminarlo,
transferirlo o mitigarlo, no hay otra alternativa que aceptarlo y aprender a
convivir con este.

Tipos de controles

Los controles están clasificados por su naturaleza como preventivos, de

detección o correctivos. Los controles preventivos tienen por finalidad detectar
problemas antes de que surjan, mediante el seguimiento del ingreso de datos y
las operaciones; los controles detectivos ponen de manifiesto que ha ocurrido
un error, una omisión o un hecho malicioso y lo reportan, mientras que los
errores correctivos mitigan el impacto de un error detectado o minimizan el
efecto potencial de una amenaza

Estos tipos de controles pueden darse en cualquier etapa del proceso

administrativo, es decir, durante la gestión administrativa y durante su auditoria.
En la gestión administrativa se encontrarán en mayor medida de prevención y
de detección, mientras que en las auditorias son mayormente correctivos.

1 de 5
Auditorias

En julio de 2.002, como reacción a los escándalos financieros y de fraude

corporativo que sacudieron los mercados norteamericanos (Enron, MCI
Worldcom, etc.) se promulgó la ley Sarbanes-Oxley, con la cual se persigue
garantizar a los accionistas la transparencia y corrección puestas en práctica
en la elaboración de los estados contables.

La sección 302 de la mencionada ley exige que las compañías que cotizan en
la SEC (Security Exchange Comission), a través de sus máximos referentes,
CEO (Chief Executive Officer) y CFO (Chief Financial Officer), certifiquen,
trimestral y anualmente, la efectividad de los controles y procedimientos de
exposición, que incluyen los controles internos para un adecuado reporte de la
información contable.

La sección 404, por otra parte, exige que la compañía asuma la

responsabilidad sobre el diseño, la documentación, el mantenimiento y la
evaluación del sistema de control interno que garantiza que toda la información
financiera comunicada a los mercados sea fiable y esté adecuadamente
elaborada.

Paralelamente, establece que se deberá obtener un informe del auditor externo

certificando la calidad y efectividad del sistema de control interno de la
compañía.

Para atender estos requerimientos, las compañías deben documentar, de

forma exhaustiva y detallada, todos sus procesos y actividades, a la vez que
establecer mecanismos de control y revisión de la aplicación del modelo de
control interno diseñado.

Gestión administrativa

La segregación de funciones evita la posibilidad de que una sola persona

pueda ser responsable de funciones diversas y críticas de tal forma que
pudieran ocurrir errores u operaciones indebidas y no ser detectadas
oportunamente en el curso normal de los procesos de negocios. La
segregación de funciones es un importante medio por el cual se puede prevenir
y disuadir actos fraudulentos o maliciosos.

Cuando las funciones están segregadas, se pueden restringir los accesos a la

computadora, la biblioteca de datos de producción, los programas de
producción, la documentación de programación, el sistema operativo y sus
utilitarios asociados.

Los controles de segregación de funciones más comunes son:

• Autorización de transacción,

2 de 5
• Custodia de archivos,
• Acceso a los datos,
• Formularios de autorización,
• Tablas de autorización de usuarios,

En una empresa pequeña, donde la reducida planta de personal impide una

eficiente segregación de funciones, se pueden implementar controles
compensatorios para mitigar el riesgo resultante de tal situación:

• Pistas de auditoría,
• Conciliación,
• Reportes de excepción,
• Registros de transacciones,
• Revisiones de supervisión,
• Revisiones independientes,

Algunos de los indicadores más significativos de los problemas potenciales

incluyen:

• Actitudes desfavorables del usuario final,

• Costos excesivos,
• Presupuesto excedido,
• Proyectos demorados,
• Rotación elevada del personal,
• Personal inexperto,
• Errores frecuentes de hardware/software,
• Lista excesiva de solicitudes de usuarios en espera,
• Tiempo demorado de respuesta de computadora,
• Numerosos proyectos de desarrollo abortados o suspendidos,
• Compras de hardware/software sin soporte o sin autorización,
• Frecuentes ampliaciones de capacidad de hardware/software,
• Extensos reportes de excepciones,
• Reportes de excepciones a los que no se dio seguimiento,
• Poca motivación,
• Ausencia de planes de contingencia,
• Confianza en uno o dos miembros clave del personal,
• Falta de entrenamiento adecuado,

Como consecuencia de ello, las empresas tomaron conciencia de la necesidad

de revisar integralmente su modelo de control, entendiendo como tal al proceso
diseñado para dar un grado de seguridad razonable acerca del cumplimiento
de los objetivos de negocio en cuanto a efectividad y eficiencia de las
operaciones, confiabilidad en la emisión de la información contable y
cumplimiento con las leyes, normas y regulaciones aplicables.

3 de 5
Tablero de comando

Dentro de esta masificación de controles, juega un rol fundamental el

instrumento denominado “Tablero de comando”. Su nombre hace alusión a los
tableros de conducción que poseen los autos o los aviones, los cuales tienen
distintos objetos que indican o referencian alguna situación con estos. Por
ejemplo, en el auto hay velocímetro, indicador del tanque, hay una luz que
indica el estado de la batería y, a medida que avanza el tiempo, se han
agregado diversos indicadores, mucho más complejos, reflejando con mayor
claridad el diagnóstico del auto mientras lo manejamos.

Entonces los tableros de comando están compuestos por la suma de distintos

indicadores, pero ¿Qué es un indicador? Un indicador es un cálculo que
permite visualizar cómo se progresa en un plan de negocios, plan de acción o
proceso administrativo. Se suman varios indicadores, porque cada uno puede
calcular solo un concepto, es decir, un indicador no puede medir más de una
cosa a la vez. Entonces, si una persona quiere ver cómo se desarrolla un
proceso de negocios, en el cual se busca aumentar la rentabilidad de un
producto, vamos a tener un tablero de comando compuesto por:
- Un indicador que mida el nivel de ventas de ese producto.
- Un indicador que mida el costo de ese producto.
- Un indicador que muestre la variación de precio del mismo.

Todo esto se debe adaptar al producto que se quiere vender, por ejemplo, si es
estacional o no; al tipo de economía, por ejemplo, si la variación de precio se
ve afectada por la demanda del producto o por razones económicas, lo mismo
con el costo.

Como ven en el ejemplo, cada indicador mide un concepto, pero en conjunto

reflejan la rentabilidad de ese producto.

Entonces se puede decir que lo primero que se debe determinar para realizar
un tablero de comando es qué quiero medir. Cuando se determina esto, voy a
identificar cada indicador que puedo llegar a necesitar, es decir, busco el
concepto que quiero medir con cada uno. Ya identificado lo que quiero
cuantificar con cada indicador, tengo que diseñar un cálculo, el cuál se va a
basar en un numerador y un denominador, el denominador va a establecer un
total y el numerador una parte de este (cálculo genérico), la que me interesa
medir. Con el cálculo hecho tengo que saber que resultado puedo llegar a
obtener y con qué frecuencia lo debo medir. En cuanto al resultado, es
importante que sepan, que si bien la mayoría van a dar entre 0 y 1 (como se
indica en el cálculo genérico), hay muchos indicadores que muestran
variaciones y pueden dar una amplitud de resultados muy grande, incluso
negativos. Sabiendo la amplitud del resultado que se puede llegar a obtener,
vamos a identificar cuáles son los que me interesa obtener, cuáles no y cuáles
deberían alertarme que me acerco a los resultados que no quiero obtener. Por
último, se debe generar un plan de contingencia en el caso de obtener
resultados que me indiquen un alerta o resultados que no queremos.

4 de 5
Si bien parece un proceso largo y difícil, los tableros de comando son perfectos
indicadores de gestión, ya que dependiendo la cantidad de indicadores que
utilicen, pueden llegar a realizar controles de gran amplitud.

Autores:
Gabriela Sol Di Stéfano
Norberto Caniggia
Micaela Sol Bernardello

5 de 5