Partiremos de la Declaración sobre las Normas de Auditoría (SAS 1, de las siglas del inglés) del Instituto Americano de Contadores Públicos, que contiene la compilación de las declaraciones emitidas hasta el año 1948.
Esta declaración contiene el concepto de control interno que lo utilizamos hasta inicios de los años 90, cuando se introducen algunos cambios mediante la emisión de la Declaración No. 55 que se refiere a la estructura de control interno y su consideración cuando un profesional esta relacionado con la ejecución de la auditoría financiera.
Luego, con la colaboración de los cinco principales organismos de profesionales de los Estados Unidos de América (EUA), a finales de los años 80`s, se organizó la Comisión de Organismos Patrocinadores (COSO de las siglas en inglés del Committe of Sponsoring Organizations) para identificar las necesidades de fortalecer los controles internos de las organizaciones, tanto del sector público como del sector privado. La Treadway Commission fue la que gestionó la formación del Comité COSO para iniciar la investigación a nivel internacional sobre el conocimiento y la aplicación de los criterios de control interno en las grandes corporaciones, así como las medianas y pequeñas empresas, incluyendo temas relacionados con el mejoramiento técnico y el alcance de las funciones en el diseño del control interno en las organizaciones.
En septiembre de 1992 se publicó el informe conocido como Nuevos Conceptos de Control Interno, el mismo que difunde los resultados en el Informe COSO. Dicha Comisión contó con la asistencia técnica permanente de la firma Coopers & Lybrand. El acceso a esta información es un aporte mayor para los profesionales de América Latina cuando a finales del año 1997, se publica una traducción en español en el texto denominado Nuevos Conceptos de Control interno, Informe COSO. La traducción la hacen Coopers & Lybrand y el Instituto de Auditores Internos, Capítulo España.
La disponibilidad del texto es aun limitada en la mayoría de los países de América Latina. Por lo tanto, la difusión de los conceptos y las técnicas han estado limitadas a la mayoría de los profesionales interdisciplinarios relacionados con el área y en diferentes campos de las actividades. En pocos países se ha logrado diseminar los conceptos con el apoyo del Instituto de Auditores Internos, capítulos de cada país, y en casos con la colaboración de las entidades superiores de auditoría, (ISA). Para este último caso, la promulgación de la Ley de Control Interno por el Gobierno de la República de Costa Rica a finales de agosto del 2002, es una acción modelo que evidencia la importancia de los nuevos conceptos y la proyección de los mismos para la administración eficiente y efectiva de las organizaciones públicas y de las empresas privadas.
Otra traducción del Informe COSO fue elaborada en la República de Colombia, por Ecoediciones que también ha sido difundida en forma limitada.
La firma Casals & Asociados ha contribuido mediante la difusión de los conceptos de control interno y la ejecución práctica de varios talleres de auto evaluación a varias entidades públicas utilizando la tecnología informática desarrollada por PDK, Control Consulting International Ltd. del Canadá, que mediante un software especializado acumula las opiniones y sugerencias del personal que participa en el proceso, obtiene la votación secreta sobre la disponibilidad y aplicación de los factores y criterios técnicos definidos en los cuestionarios utilizados para evaluar el control interno bajo el enfoque del control interno definido por el Instituto Canadiense de Contadores Certificados y conocido como el Informe COCO (Criteria of Control).
La Asociación de Auditores Internos, Capítulo Nicaragua, ha venido desarrollando el tema para los profesionales interdisciplinarios que participan en las funciones relacionadas con el diseño, implantación y mantenimiento de los controles internos en las empresas y las entidades del sector público. Desde el año 2000 ha programado y ejecutado el Seminario Control Interno Integrado, enfoque del Informe COSO, en varias oportunidades.
La Asociación Interamericana de Contabilidad Comisión Técnica del Sector Gobierno (COTESEG-AIC) y la Federación Latinoamericana de Auditores Internos (FLAI) han manifestado su interés en emitir un documento técnico basado en estos enfoques modernos, lo denominamos Marco Integrado de Control Interno Latinoamericano (MICIL). Estos organismos profesionales participan como promotores técnicos del Proyecto, que ahora se concreta.
Los profesionales experimentados en control interno, finanzas y auditoría con diferentes experiencias y especialidades tenemos interés en transmitir formalmente los criterios modernos de control interno adaptados a los países de América Latina, como base para su aplicación en todas las instituciones públicas y privadas y por la sencillez de su presentación en municipios, organizaciones de la sociedad civil, entidades públicas y empresas privadas pequeñas.
- Desarrollo de una Propuesta para América Latina.
Las dos últimas décadas, a partir de los años 80, han sido perjudiciales para los países de América Latina y las sociedades que la integran. Los datos macroeconómicos y del desarrollo alcanzado son muy pobres. Las diferencias entre los ricos que lo tienen todo y los pobres que carecen de recursos para su alimentación y satisfacción de sus necesidades básicas, son muy grandes y es una brecha que se incrementa. En general, se manifiesta que el 80% de la población en América Latina es pobre.
En una parte importante estos desequilibrios se fundamentan en los modelos utilizados por los países para programar y ejecutar sus actividades y promover su desarrollo, en los cuales no participa la población, principalmente la ubicada en la zona rural, la misma que no ha sido un agente activo en el desarrollo de las economías.
El Marco Integrado de Control Interno Latinoamericano (MICIL) en desarrollo puede enfocarse a nivel global de un país, hacia los poderes de un Estado, dirigido a los sectores importantes de la economía, hacia las entidades públicas específicas, para las empresas privadas en sus diferentes actividades, enfocado a las organizaciones de la sociedad civil, dirigido a las municipalidades y especializado para las unidades de operación.
Las dificultades por las cuales están pasando las finanzas y el crecimiento de los países, de las corporaciones y las empresas privadas, de las instituciones públicas del Poder Ejecutivo, de las Municipalidades, de las organizaciones de la sociedad civil, en la mayoría de los casos se deben a problemas que podrían prevenirse a través del control interno diseñado y aplicado formalmente, siempre que al menos una persona que participa en el proceso cumpla con responsabilidad social sus funciones y haga evidente las situaciones erradas a la autoridad adecuada en la estructura general de la sociedad. Algunas empresas importantes tienen en funcionamiento el Comité de Ética y Transparencia donde se conoce y resuelven los problemas importantes del accionar que podrían presentar dificultades pro estar fuera de las normas y valores en que operan la organización.
Los problemas, calificándolos de una manera benigna, suscitados en los últimos años en la administración de las grandes corporaciones de los países industrializados demuestran que los problemas y la situación se esté generalizando debido al nivel de competencia en que se encuentran todas las organizaciones. Es evidente que los problemas mayores se ubica en los niveles superiores de las organizaciones, incluyendo a los organismos de vigilancia y seguimiento del gobierno y las intermediarias financieras que tienen acceso a la información de los inversionistas, todo esto a causa de las debilidades de los “controles internos” como se aprecia en las siguientes citas tomadas del diario El Economista, de 21 de junio del 2002, titulado Hombres de Nombre, Viejos Fraudes Financieros que se reeditan:
“Esta historia, que se ha repetido desde las dos últimas décadas ante la falta de determinación de las intermediarias financieras de imponer adecuados controles internos, la falta de conocimiento de los clientes y una acción poco determinada de la Comisión Nacional de Bancaria y de Valores, ahora presidida por Jonathan Davis, sigue dándose.
Ahora tocó a un grupo de clientes de Valmex, encabezada por Rafael Mc-Gregor, quien permitió que el dizque ejecutivo de cuenta, un delincuente del fuero común, Malro Garrido, cometiera un fraude en contra de un grupo de clientes a quienes les robó mucho más de 3 millones de dólares.
Hoy, los afectados se dan cuenta que el único interés de la casa de bolsa es no verse implicados y dejar a sus clientes abandonados ante el fraude.
La recomendación para los clientes es tener un particular cuidado con los estados de cuenta; no dejarse impresionar por los ejecutivos de cuenta ni fingir que saben más de inversiones de lo que realmente saben; así como elegir aquellas casas de bolsa que tienen los mejores controles internos.”
Interesantes conclusiones se pueden obtener y en gran medida dirigidas al conocimiento que varios usuarios deberían tener sobre los controles internos, entre ellos: los inversionistas (ciudadanos en general), los funcionarios y empleados de los organismos financieros (casas de valores, bancos, casas de cambio, otras entidades, etc.), las instituciones financieras en el diseño de sus procesos, los organismos de vigilancia oficiales y particulares (Comisión Nacional Bancaria y de Valores, auditores externos y consultores independientes). Ahora y en consecuencia con la conclusión, cabe hacer las siguientes preguntas:
- Qué es el control interno?
- Cómo podemos identificar las entidades que tienen los mejores controles internos?
- Qué componentes conforman el control interno de una organización?
- Quiénes están autorizados para calificar los controles internos de las organizaciones?
- Las disposiciones legales son parte del control interno?
- Considera necesario que la ciudadanía, en general, y los profesionales de todas las disciplinas, en particular, conozcan ampliamente los conceptos de control interno?
Las respuestas con seguridad serán afirmativas. Si es así, este documento que establece en forma resumida el Marco Integrado de Control Interno Latinoamericano (MICIL) ha sido elaborado con terminología clara y sencilla para que los potenciales usuarios comprendan el significado de control interno y la forma en que puede ayudar al realizar sus actividades, al adquirir servicios, bienes o valores con menor riesgo y al ejecutar todo tipo de operaciones en el ejercicio profesional de las actividades de todas las disciplinas.
El Marco Integrado de Control Interno Latinoamericano (MICIL) es producto de la investigación aplicada, la discusión en varios seminarios y la referencia tomada de la normativa que sobre la materia han emitido varios organismos de control de América Latina. Los organismos profesionales de contadores públicos y de otras disciplinas, las universidades y las facultades con especialidades en administración, derecho, finanzas, economía y contabilidad.
Otros interesados en el tema que están desconectados de los nuevos conceptos integrados de control interno legisladores, profesores y la sociedad civil por lo que su difusión tomará un tiempo importante hasta crear la cultura, conocimiento y aplicación de los criterios como una práctica que promueve el manejo eficiente y eficaz de las operaciones de cualquier naturaleza.
C. Sectores comprendidos
El concepto, los componentes, los factores, el enfoque, los modelos, el método y las herramientas del control interno integrado involucran a todos los sectores de la sociedad, entidades públicas, empresas privadas y organismos de la sociedad civil que manejan recursos propios y de terceros, sobre los cuales deben rendir cuentas en relación a su buen uso y el cumplimiento de los objetivos propuestos cuando se originaron.
Una coincidencia con las recomendaciones del Informe COSO, que señala la obligación de todos los sectores de la sociedad, respecto al conocimiento del marco integrado de control interno aplicables a la entidad donde preste sus servicios. Esto será posible solo a través de los estudios formales en la carrera universitaria, cuando los profesionales estén iniciándola. Para los profesionales que culminaron su carrera en años pasados es necesario que los organismos profesionales y la sociedad civil los actualice a través de los programas de educación continua.
Por indicado, las universidades y otras organizaciones de educación tienen un rol fundamental en la difusión y diseminación de los conceptos, criterios modernos y herramientas de control interno integrado, necesarios para la buena gestión y la rendición efectiva de cuentas a quienes les confiaron la administración de los recursos.
El informe COSO recomienda que el “Control Interno Integrado” (CII) sea considerado como una asignatura obligatoria para todas las profesiones de nivel universitario. Esta condición debería ser proyectada por los organismos de profesionales y la sociedad civil, ya que parte importante del control interno se fundamenta en los valores y un código de conducta ética para sensibilizar a las personas, así como la responsabilidad personal por el cumplimiento de los deberes para con la entidad, los usuarios de los servicios y la sociedad en general.
Tanto en la administración pública como en la actividad privada, existen algunos requerimientos legales que establecen los pilares del control interno institucional y de los cuales se desagregan los componentes, factores, enfoque, método y herramientas del control interno. La ley de creación (entidades públicas) o el estatuto de creación (empresa privada) tienen el mismo propósito en cada ente jurídico e incluso puede compararse con lo que establece la Constitución Política para el funcionamiento de un país, donde están definidos los principales objetivos, organización, autoridad, responsabilidad, funciones y limitaciones. Puede decirse que el estudio de la ley o el estatuto de un país, de una empresa, de una entidad pública, de una organización de la sociedad civil y de otras permite identificar una buena parte del ambiente de control establecido para su funcionamiento en varios sentidos. Por lo tanto, el control interno integrado (CII) entre sus factores debe insertar este requerimiento y considerarlo como de cumplimiento es obligatorio.
Más adelante tendremos la oportunidad de profundizar y fortalecer los criterios relacionados con el marco integrado de control interno, adaptándolos a los requerimientos específicos existentes en América Latina (MICIL).
II. FILOSOFIA Y ENFOQUE DEL MARCO INTEGRADO DE CONTROL INTERNO LATINOAMERICANO (MICIL)
En una primera etapa, el marco integrado de control interno fue desarrollado por los requerimientos de los auditores externos, como base para determinar el grado de confiabilidad en las operaciones realizadas y registradas a partir de su evaluación. Con el desarrollo de las funciones de control y auditoria profesional las organizaciones han llegado a crear y constituir las “direcciones ejecutivas de auditoría interna” (DEAI) de las entidades y empresas, cuya principal actividad esta dirigida a la evaluación del control interno en funcionamiento y obtener una razonable seguridad respecto al eficiente uso de los recursos y el eficaz logro de los objetivos para los cuales se creo la entidad.
La Normas para el Ejercicio Profesional de la Auditoría Interna (NEPAI) emitidas por el Instituto Americano de Auditores Internos, (IIA de sus siglas del inglés) y obligatorias a partir de enero del 2002, incluye la nueva definición del control interno y los cuatro objetivos del mismo para la administración de las entidades.
Los organismos profesionales de varios países industrializados han promovido y realizado estudios y trabajado en los modelos de control interno. El Informe COSO (investigación realizada por gestión de la Comisión Treadway de los Estados Unidos de América) es el resultado de la investigación realizada en busca de una mayor disciplina y aplicación de los criterios que permitan asegurar el cumplimiento de los objetivos institucionales. Los resultados de la investigación demostraron un conocimiento adecuado y la aplicación satisfactoria de los principales criterios de control interno en el caso de la gerencia de grandes empresas. No obstante, los casos que se conocen hoy públicamente y por los cuales se están definiendo normas más estrictas para establecer las responsabilidades por el manejo de las organizaciones y de la información que producen las que cotizan públicamente sus acciones en las bolsas de valores demuestra situaciones contrarias, pues los hechos demuestran que se manipuló y maquillo la información financiera por instrucciones de los niveles superiores de las empresas.
Otros organismos profesionales de los países industrializados han definido su enfoque sobre el control interno, siempre basados en los criterios definidos en el Informe COSO, como son los siguientes: Criteria of Control (COCO) del Instituto Canadiense de Contadores Certificados (CICA siglas del inglés), Cadbury del Instituto de Contadores del Reino Unido, King del Instituto de Contadores de Australia, entre los más difundidos.
En América Latina estamos conociendo e iniciando la aplicación del esquema y el método definido en el Informe COSO, con las adaptaciones dirigidas a obtener una mejor comprensión y utilización de los instrumentos y herramientas que incluye el documento y la filosofía que se utilizaría en la evaluación, de tal manera que la administración conoce y esta informada de los criterios bajo los cuales sería evaluada.
- Conocimiento y participación de todo el personal de la organización sobre el MICIL
La información que aparece en la prensa todos los días, los programas de investigación presentados en la televisión, el tema de las conversaciones entre profesionales y funcionarios de la administración pública y de las empresas privadas, así como las formas como realizamos las actividades un porcentaje de la población, regularmente están enfocadas bajo criterios que denotan actuaciones erradas y en casos irregulares, debido al incumplimiento de leyes, reglamentos y normas. Todas ellas relacionadas con el control interno de las organizaciones y los criterios de control interno que los ciudadanos debemos aplicar en la ejecución de nuestras actividades personales y profesionales.
Muchas situaciones del diario convivir de la sociedad demuestran condiciones de una actitud con limitaciones en los valores y otras que podrían decirse carecen de ética. Al escuchar y mirar las noticias cuando empieza el día, la mayoría son situaciones negativas de las actividades de la sociedad. En los intermedios de las noticias se pasa publicidad que incluye elementos que al menos pueden calificarse como “verdades a medias” que tratan de atraer al cliente a cualquier costo. Al leer la prensa se observa que los artículos de opinión y las noticias se presentan por lo general con una óptica negativa y una crítica poco o nada constructiva a lo que se informa. La propaganda de los comercios, las instituciones financieras, los paquetes de las agencias de viaje, entre otros, incluyen la información poco favorable para una decisión positiva, en letra pequeña que es difícil de percatarse, algo parecido a la letra menuda de los contratos de seguros o de las tarjetas de crédito que son ampliamente conocidas.
Bueno, podríamos listar muchas más a medida que vamos avanzando en las actividades diarias, solo hemos visto las dos primeras horas del día, imagínense ustedes el resto de operaciones, ojalá sean más positivas.
En resumen, una constante evidente esta en que las actividades realizadas por la comunidad están dirigidas a evitar el cumplimiento honesto de las obligaciones que como miembros de la sociedad tenemos los funcionarios y servidores de las empresas privadas, de las instituciones públicas y de las organizaciones de la sociedad civil?
Por lo indicado, es preciso que todos los ciudadanos conozcamos en que consiste el marco integrado de control interno latinoamericano (MICIL) y como encajamos cada uno de nosotros en su funcionamiento eficiente y eficaz de las operaciones para el cumplimiento de nuestros objetivos como personas, como proyectos, como instituciones, como empresas, como pequeños empresarios, como gobierno y como país. Algunos avances en el derecho se van incorporando en las actividades de las instituciones y la sociedad.
La Ley de Acceso a la Información Pública promulgada en el Estado mexicano de Sinaloa, demuestra la importancia del tema relacionado con la información y comunicación como componente fundamental del marco integrado de control interno y mediante el cual se define en unos casos y en otros se ratifica la característica de “información pública” para un grupo de datos, registros e informes que las organizaciones del sector público de oficio deberán poner en conocimiento de la sociedad y en formatos fáciles de acceder al conocimiento de los aspectos básicos del control interno y el ejercicio de los derechos que tenemos como ciudadanos. Esto permitirá fortalecer el funcionamiento del aparato productivo de la Nación, mediante la participación de la mayoría de los ciudadanos al realizar nuestras actividades particulares. Más adelante se presenta en forma sencilla la definición del marco integrado de control interno para conocimiento y aplicación de todos los ciudadanos.
Un ejemplo sencillo de la participación de los ciudadanos en el funcionamiento del control interno, es cumplir con la solicitud de la factura al realizar una compra, de tal manera que se asegura el pago de los impuestos que de todas maneras estará aplicado al precio de las mercaderías o servicios adquiridos. Si no entregan la factura, hay que informar y el Estado debe disponer de mecanismos de fácil acceso sin que el ciudadano que denuncie tenga que acudir a presentar documentos y solicitudes que finalmente carecen de resultados finales y formales. Una llamada telefónica debería ser suficiente y si hay mérito la oficina correspondiente del Estado realizará la indagación preliminar.
Finalmente, el marco integrado de control interno solo funciona con la participación de la mayor parte del personal que conforma una organización o una sociedad, si es el caso. Es poco probable que el control interno sea efectivo si está bajo la responsabilidad de un grupo pequeño de personas, independientemente del nombre que tenga la entidad o unidad organizativa responsable del mismo.
B. Limitaciones de control interno en los organismos con titulares individuales
El marco integrado de control interno bajo el enfoque del Informe COSO está dirigido a las corporaciones, es decir organismos privados y públicos que funcionan bajo la orientación y supervisión de una Junta, Consejo o Comité Directivo, donde se definen las políticas para que la gerencia general o presidencia ejecutiva realice las operaciones y cumpla los objetivos de la organización. Este tipo de organización es la que mejores oportunidades presenta para garantizar el funcionamiento del control interno. No obstante, los últimos acontecimientos negativos que a nivel internacional se conocen, demuestran que el modelo funcionó parcialmente. Ahora los problemas de valoración de las acciones de grandes empresas, poderosas organizaciones y aparentes buenos negocios que estaban registradas en la Bolsa de Valores de Nueva York, presentan problemas de maquillaje o manipular los resultados de sus operaciones mediante el viejo criterio de diferir los gastos de operación o la generación de ingresos por operaciones no realizada. Sin duda, estos casos se han presentado también en Latinoamérica con los bancos privados y otros del Estado que mantienen como activos corrientes cartera de préstamos de muy difícil recuperación y que califican con riesgos elevados que requieren reservas elevadas para incobrables.
Vale decir que las organizaciones que tienen una junta directiva presentan desde el punto de vista conceptual un ambiente de trabajo y control más confiable para la ejecución de sus operaciones, pues la junta supervisa de manera continua, mínimo cada mes de operaciones los resultados obtenidos y puede corregir las desviaciones a tiempo. Además conoce las operaciones importantes que la gerencia debe informar o solicitar autorización para su concreción y ejecución.
Qué sucede entonces con las organizaciones que son manejadas por una sola persona o un titular único? Un ejemplo es una empresa privada de tipo familiar donde el principal accionista, presidente de la Junta y gerente general sea la misma persona. El ambiente de control es débil pues la misma persona tiene la autoridad y la responsabilidad para instruir como deben hacerse las cosas. Es evidente que tiene propiedad de la mayor parte de la empresa y por tanto en gran medida es su inversión. No obstante, en este caso los accionistas minoritarios estarían desprotegidos y la misma empresa tendría pocas oportunidades de crecimiento debido a la débil condición del sistema de control interno. Un inversionista que identifica esta condición debe tomar muchas previsiones antes de decidir una operación bajo esas circunstancias.
La misma situación se presenta en una entidad pública, donde el titular es un solo funcionario seleccionado y designado por el Presidente de la República, el Poder Legislativo u otra instancia. El ambiente de control es débil, pues el titular, llámese ministro, secretario, contralor, superintendente, director o cualquier otro título, tiene el poder y la autoridad total para administrar la institución y sus recursos bajo los criterios legales y normativos establecidos, por lo regular sin requerimientos de información formal a otras instancias superiores salvo los que formalmente se presentan por la gestión del presupuesto y la administración financiera en periodos semestrales o anuales que en muchos casos se presentan atrasados.
Lo indicado, demuestra la necesidad de cambios importantes en el ambiente de trabajo y control de varias entidades públicas que administran recursos de la comunidad, sin rendir cuentas de los resultados logrados a las instancias superiores en forma mensual para evaluar el cumplimiento de los objetivos que como administrador público designado debería cumplir. En todo caso, la junta o consejo, al cual se informe debe ser un organismo conformado por profesionales conocedores de las actividades empresariales y en la representación ante los principales sectores de la sociedad, incluyendo los organismos profesionales y las organizaciones de la sociedad civil.
Al desarrollar el marco integrado de control interno latinoamericano (MICIL) se considerará este punto para la administración pública de los países.
- Aplicación del marco integrado de control interno latinoamericano (MICIL) en las medianas y pequeñas organizaciones
Las investigaciones realizadas para definir los nuevos conceptos de control interno estuvieron dirigidas a las grandes corporaciones, donde el cumplimiento de los requerimientos técnicos se manifestó que fueron satisfactorios, en general. Para las pequeñas y medianas empresas es aplicable el enfoque, concepto, componentes, factores y herramientas, en todo caso las adaptaciones necesarias para un diseño eficaz y proyectar una evaluación eficiente estará relacionado con los detalles contenidos en los factores a ser evaluados como parte de los componentes del control interno.
La aplicación de los factores que se desglosan para cada componente del control interno, requieren ser adaptados, primero en cuanto a los requerimientos de diseño y luego su posterior evaluación.
Los componentes son totalmente aplicables al diseñar el sistema de control interno, no obstante el detalle de los factores que lo conforman pueden estar concentrados en un solo manual y la aplicación se podría promover por medio de instrucciones verbales en reuniones con todo el personal y formalizadas en los instructivos de las operaciones.
En el caso de la administración pública, un municipio pequeño tendrá limitaciones para disponer de un código de ética específico, sin embargo podría sujetarse al emitido por la organización que agrupa a las municipalidades. De otra manera, debería considerarse los requerimientos del código de ética contenidos en la ley de creación de la municipalidad y otras disposiciones normativas. Lo importante es que el personal conozca y aplique los principios éticos y valores en que se fundamentan las operaciones de la organización.
En el sector privado una pequeña empresa de un propietario individual también estará en condiciones de instruir al personal sobre la conducta ética y los valores a aplicar en el cumplimiento de sus funciones y los instrumentos emitidos por los organismos profesionales. En el caso del propietario, se entiende que el control interno estará orientado a vigilar su patrimonio y todas las decisiones que tome afectarán positiva o negativamente los resultados de las operaciones.
El marco conceptual integrado de control interno definido en los siguientes capítulos es aplicable a las medianas y pequeñas organizaciones tomando considerando los recursos humanos, materiales, financieros y tecnológicos que administre, evitando introducir procedimientos que dificulten las operaciones de la empresa u organización. Como ejemplo, las pequeñas y medianas empresas seguramente no requieren de una función de auditoría interna permanente, sin embargo dicho criterio de control interno puede ser obtenido o substituido de diferentes maneras (tiempo parcial, contratación por productos, utilizar las auto evaluaciones) y con objetivos específicos (evaluación del control interno, auditoría de gestión, auditorías especializadas).
D. La normativa profesional relacionada con el MICIL
La normativa profesional proyectada por la contaduría pública ha estado relacionada con la definición de los principios de contabilidad generalmente aceptados (PCGA) y las normas de auditoría generalmente aceptadas (NAGA). En estos días la aplicación no consistente de los PCGA en corporaciones multinacionales ha creado dificultades financiera y han llevado a declararse en bancarrota, ocasionando pérdidas importantes para los inversionistas en acciones de estas empresas. La causa es la generación de información que demuestra resultados sólidos y rentables financieramente utilizando arreglos o maquillando (rasurando) la información que es de conocimiento del público y es la base para realizar el estudio y tomar decisiones para invertir a través de la compra de acciones o de documentos de renta fija emitidos por estas organizaciones.
Situaciones difundidas como Enron – Artur Andersen han sido ampliamente analizadas y demuestran la aplicación inconsistente de las Normas Internacionales de Contabilidad al capitalizar operaciones que afectan en forma directa las utilidades de la empresa demuestran el deseo de aprovecharse de las circunstancias y las acciones llegaron a ser calificadas sin valor al nivel de basura. Los accionistas perdieron la totalidad de las inversiones realizadas.
El desplome en la Bolsa de Valores de las acciones de Omnicom Group Inc., gigantesco grupo publicitario, debido a las dudas planteadas respecto a las bases utilizadas para determinar el crecimiento y las utilidades provenientes de las adquisiciones de firmas más pequeñas en el área del mercadeo. Ante la publicación de un artículo en The Wall Street Journal sobre las adquisiciones las acciones bajaron un 20% y cerraron en US$ 62.28 la acción en la Bolsa de Nueva York al 12 de junio del 2002.
El caso de Worlcom es otra demostración del fracaso en el manejo de las corporaciones al decidir el registro de operaciones que alteraron en forma positiva sus utilidades por US$ 3.800 millones. El desplome final se produce a partir del requerimiento de información por parte de la Comisión de Valores de Estados Unidos (SEC) sobre procedimientos contables y préstamos realizados en marzo 11 del 2002. La Compañía anuncia el recorte de personal en 3.700 puestos de trabajo en EUA y representa el 4% de la fuerza laboral en abril 3 del 2002. El Presidente Ejecutivo de WorldCom renuncia ante el desplome en el precio de las acciones y una investigación de la SEC sobre sus préstamos personales. Es evidente que por lo señalado que existieron situaciones reñidas con los valores y la ética en el manejo del directorio de la Compañía que promueve el registro irregular de las operaciones y el consecuente incremento de las utilidades.
La situación de Xerox Corp., en los últimos tres años sus acciones han perdido valor en el mercado en forma impresionante de US$ 62 en junio de 1999 han llegado a US$ 6,97 a junio del 2002. La información de Xerox al haber registrado en forma inapropiada ingresos por US$ 6.400 millones e inflar sus utilidades en US$ 1.141 millones en los últimos cinco años pone presión sobre la SEC para realizar la investigación. Otro asunto relacionado es la participación de KPMG como auditor externo y los problemas que se han presentado hasta que es despedida en octubre del 2001. Sin duda la Junta Directiva conoce de estas operaciones y los auditores externos igual, incluso Price WaterhouseCoopers aparece como el nuevo contador de Xerox llegando a una controversia con KPMG respecto a los procedimientos contables utilizados.
El caso de Vivendi evidencia problemas de control interno con problemas similares derivados de la adquisición de compañías y la generación de negocios y utilidades que no fueron realmente generadas. El cambio del Presidente de Vivendi al parecer fue el punto que ha mantenido en calma a las operaciones presentes.
Los casos nacionales que se presentan en los países latinoamericanos son poco publicitados al carecer de un periodismo especializado en el tema y la limitada participación de los organismos profesionales en el estudio de estos casos e informar a la comunidad como elementos activos de la sociedad. En los últimos años, 1999 en Ecuador liquidaron 15 de los 30 bancos que operaban, Nicaragua liquidaron 6 de 12 bancos que funcionaban, México los bancos no conceden préstamos, Argentina, Uruguay, Paraguay, Brasil, Perú, Venezuela, Colombia, con problemas de orden económico, social y financiero.
La normativa dirigida al control interno no ha sido formalmente definida por los organismos profesionales nacionales, las organizaciones regionales como la Asociación Interamericana de Contabilidad (AIC) y las instituciones internacionales de profesionales como la Federación Internacional de Contabilidad (IFAC de sus siglas en inglés), que requiere una definición general, que se fundamente en una estructura acordada o consensuada, quizá sobre la base del Informe COSO, adaptada a los requerimientos de la región y potencialmente especificadas a nivel de cada país para el futuro.
El enfoque moderno del control interno integrado se fundamenta en los valores y los principios éticos del personal de las organizaciones. Para los países industrializados el tema es más conocido, aceptado y existe mayor respeto a las disposiciones legales y reglamentarias, pues sus instituciones funcionan, como se observo en los problemas difundidos sobre corporaciones importantes, donde es evidente que la operación de la junta de directores profesionales supervisan la gestión gerencial de las organizaciones.
Bajo el enfoque del control interno integrado la situación para las instituciones del sector público es similar, las juntas directivas son parte fundamental para la operación del control interno integrado y las direcciones ejecutivas de auditoría interna (DEAI) evalúan de manera permanente el funcionamiento de los controles y la gestión de informar sobre los problemas operacionales y financieros detectados.
E. Diseño del marco integrado de control interno
Un diagnóstico inicial de las actividades que se encuentren ejecutando las entidades es la base para iniciar la actualización del control interno integrado de una organización. Por lo general, la actualización en el diseño del control interno es un proceso permanente y es mejorado de manera informal al determinar prácticas más efectivas de trabajo. Un ejemplo, es aplicar el método de la auto evaluación del control interno como un aspecto positivo a pesar de que no es obligatorio. El método y los resultados demuestran su efectividad y, por tanto, lo aplicamos con la participación directa del personal que acepta los resultados por que es producto de sus aportes, logrando así el apropiamiento del personal en relación a los objetivos de la organización.
Cómo realizar el diagnóstico?
El modelo genérico de negocio es la base para orientar las actividades a evaluar, considera las principales actividades, servicios o productos elaborados por la organización. Por lo general, se han manejado y dirigido a esquemas relacionados con la estructura administrativa o los componente financieros de una organización, por tanto solo evalúan las funciones de apoyo, dejando de lado las actividades sustantivas de la organización que es lo más relevante.
Qué orientación seguir?
El informe COSO incluye una serie de actividades que vinculan a toda la organización. Se clasifican en las siguientes actividades:
- De contexto (externas relacionadas con la organización),
- Que generan el valor agregado,
- De infraestructura,
- De gestión empresarial y
- De procesos financieros.
Cómo organizar los resultados del diagnóstico?
Para organizar los resultados del diagnóstico sugiero utilizar las actividades señalas en el punto anterior, de ser necesario las actividades de contexto.
F. Auto evaluación del control interno integrado (CII)
La auto evaluación del control interno de la institución, por una parte, o de las actividades importantes que ejecuta, por otra, es una práctica necesaria en la actualidad y se constituye en un apoyo importante para la gestión eficiente de las organizaciones.
La inclusión de la práctica de auto evaluación en el diseño del marco integrado de control interno necesita capacitar al personal en las actividades y en los procesos que desarrolla para la prestación del servicio o la producción de los bienes y su participación en dicha generación de valor.
La auto evaluación debería ser ejecutada al menos una vez al año, a base de los resultados obtenidos en el primer semestre de operaciones, como base para evaluar el grado de obtención de los objetivos parciales de la organización. La auto evaluación se realiza utilizando diferentes métodos para calificar el control interno y con base en encuestas dirigidas a valorar los componentes, factores y criterios del control interno definidos para el sector o tipo de actividad que se realiza.
La facilitación de los procesos de auto evaluación es punto relevante que debe ser apoyado por las direcciones ejecutivas de auditoría interna (DEAI), en el caso de las organizaciones que la dispongan o con el apoyo del nivel superior de la entidad para garantizar una aplicación disciplinada y positiva de este proceso que toma entre cuatro y ocho horas, según la importancia de la actividad o proceso evaluado.
Las auto evaluaciones pueden ser aplicadas en cualquier momento, cuando la dirección superior o el encargado de dirigir el proceso lo sugiera. En todos los casos, es conveniente partir de un informe diagnóstico general y tener disponibles los informes de resultados de gestión al terminar el último mes de operaciones. En los capítulos siguientes se presenta un estudio detallado de los procedimientos y método para la auto evaluación.
G. Evaluación independiente del marco integrado de control interno
La evaluación del control interno es un procedimiento que generalmente ha sido ejecutado por los auditores internos y externos.
En el caso de la auto evaluación, la participación del auditor interno garantiza la calidad de los resultados y es aceptado por la administración, por lo tanto, no se requiere otra evaluación, salvo que existan situaciones observadas que creen dudas sobre los resultados obtenidos, al realizar la evaluación externa del control interno. De igual manera, si el auditor interno realizó o participó en la auto evaluación del control interno, los auditores externos deben partir de esos resultados para su evaluación global o general de la organización.
La evaluación del control interno a partir de las herramientas desarrolladas y disponibles para su aplicación adaptada a las condiciones específicas de las organizaciones es un paso importante en el desarrollo de las actividades de control. El auditor externo de manera obligatoria debe emitir un informe con los resultados importantes que identifiquen las fortalezas de la empresa y las operaciones que deben apoyarse para mejorar su funcionamiento.
Más adelante se incluye información detallada sobre la evaluación del marco integrado del control interno y otros aspectos importantes relacionados.
III. CONCEPTOS MODERNOS DE CONTROL INTERNO
La responsabilidad por el funcionamiento de una organización es de todas las personas que colaboran en sus operaciones, siempre en la perspectiva de la autoridad y las funciones asumidas y ejecutadas por cada una de ellas.
Quizá el crecimiento de las empresas privadas y de las entidades públicas ha aumentado el grado de dificultad para ubicar dicha autoridad y la correspondiente responsabilidad, debido a la elevada cantidad de niveles creados en las organizaciones y los métodos alternativos desarrollados para la toma de decisiones y el registro de las operaciones que tienen efectos en los resultados de gestión y en las finanzas de las empresas y las corporaciones. No obstante, la autoridad y la responsabilidad se mantiene en correspondencia a las funciones de la dirección superior, las unidades de apoyo y asesoría, y el personal operativo de las organizaciones con muchos niveles en las empresas grandes y reducidas a uno o dos en las pequeñas y medianas empresas.
El uso adecuado de la autoridad delegada y el cumplimiento de las responsabilidades asignadas por el personal en todos los niveles deben orientarse a los objetivos de la organización, los mismos que estarán puntualmente definidos y ampliamente diseminados o difundidos en la organización. El personal debe apropiarse de los objetivos de la entidad y colaborar en forma activa para alcanzarlos en el mayor nivel posible, en el clásico proceso de empoderamiento del recurso humano, que es difícil de alcanzar debido al conflicto de intereses que existe entre los objetivos personales y los organizacionales..
La participación activa del personal mediante la ejecución de sus funciones y el apoyo a los equipos de producción de bienes y servicios es la actitud más importante para el funcionamiento eficiente y eficaz de la organización, en esto ayuda ampliamente el diseño del control interno adecuadamente implantado y solidamente mantenido por la administración. La apropiación de los objetivos institucionales por el personal en todos los niveles asegura y quizá garantiza el funcionamiento del control interno y por tanto apoya y fomenta el cumplimiento de los objetivos institucionales.
- Concepto actual de control interno y su adaptación a las organizaciones
El Informe del Committé of Sponsoring Organization (COSO) incluye la siguiente definición del control interno integrado:
“El control interno se define como un proceso, efectuado por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
- Eficacia y eficiencia en las operaciones,
- Fiabilidad de la información financiera y de gestión,
- Salvaguarda de los recursos de la entidad, y,
- Cumplimiento de las leyes y normas aplicables”
La definición incluye dos adiciones importantes a la versión inicial del Informe COSO. La primera en el segundo objetivo se adiciona la frase “y de gestión” tomada de las Normas para el Ejercicio de la Auditoría Interna (NEPAI) donde se hace dicha ampliación que compartimos totalmente, pues el control interno integrado es para toda la organización y no esta circunscrito a las transacciones financieras. La segunda es la inclusión del tercer objetivo que se originó en la sugerencia realizada por la Contraloría General de los Estados Unidos de América (GAO de sus siglas del inglés) y que ha sido aceptada por la Comisión COSO.
El concepto esta presentado en palabras sencillas que son de amplia utilización y conocimiento en las actividades de los sectores privado y público. Creemos que todos los elementos incluidos generalmente son conocidos por las personas, sin embargo algunos puntos y palabras claves de la definición se analizan a continuación:
- Proceso aplicado a las operaciones
El control interno es un proceso aplicado en la ejecución de las operaciones, por tanto es una herramienta o un medio utilizado para apoyar la consecución de los objetivos institucionales.
El control interno definido como un proceso esta entrelazando las actividades operativas de la entidad y existe por razones organizacionales fundamentales. Su identificación e incorporación a la infraestructura de la entidad es importante, ya que de esta forma pasa a ser parte de su esencia o de las actividades sustantivas de la empresa.
El marco integrado del control interno esta inmerso en los programas de calidad y es esencial para que estos tengan éxito. Los controles internos tienen incidencias relevantes en la contención o restricción de los costos de operación y en los tiempos de respuesta por las reacciones automáticas que generan los controles internos eficientes y debidamente aplicados por el personal de las organizaciones.
El proceso completo en que están integrados los controles internos diseñados y aplicados incluyen las siguientes actividades:
- Las que generan valor agregado (también conocidas como operativas o sustantivas),
- Las de infraestructura (sustento directo a las operaciones que generan valor),
- Las de gestión institucional (administración, finanzas, riesgos, planificación y otras), y,
- Las referidas a los procesos de control de la gestión financiera (procesos de cuentas por cobrar, cuentas por pagar, tesorería, análisis y conciliaciones, entre otras).
- Control interno es diseñado y ejecutado por funcionarios y servidores.
El control interno es ejecutado por los funcionarios y servidores que laboran en las organizaciones, recurso humano que constituye el elemento más importante para su funcionamiento.
El control interno no solo son procedimientos de control detallados en los manuales de operación, organización, administración y finanzas, el personal en todos los niveles de la organización es el elemento activo más importante, pues tienen autoridad para ejecutar determinadas operaciones y la responsabilidad de orientarlas según los objetivos de la empresa.
El diseño, implantación y mantenimiento de los controles internos son ejecutados por todos los miembros de la organización y por tanto la responsabilidad es compartida. Esto es evidente por las acciones desarrolladas, las instrucciones formales y verbales que se dictan y las decisiones tomadas para que los objetivos se vayan cumpliendo.
El consejo de administración o junta directiva de las organizaciones (en la administración pública pueden tener otras denominaciones) tiene autoridad para supervisar los resultados de las operaciones y definir las políticas sobre situaciones importantes para ejecutar las operaciones y registrar las transacciones y, por tanto, constituye un nivel fundamental del control interno relacionado con la aprobación de las operaciones importantes. Los organismos o las entidades que no dispongan de una junta directiva u organismo similar, presenta una limitación importante relacionada con uno de los factores del componente conocido como entorno o ambiente de control.
- Aportar un grado de seguridad razonable.
El control interno debe aportar un grado de seguridad razonable, en ningún caso la seguridad será total o absoluta, a la dirección superior de la organización, en relación al cumplimiento de la metas y objetivos institucionales.
La seguridad razonable requerida para el cumplimiento de los objetivos de las organizaciones es posible programarla mediante el diseño y aplicación de un sistema de control interno integrado a las operaciones sustantivas de la organización, completándola mediante las evaluaciones periódicas internas y externas del control interno.
Algunas limitaciones que ratifican la característica de seguridad razonable del control interno se fundamentan en los siguientes aspectos:
- Decisiones del personal pueden ser erradas.
- Pueden suceder fallas humanas.
- Controles diseñados que pueden ser burlados por colusión entre dos o más personas que participan en el proceso de la operación.
- Alta dirección que puede eludir los controles internos en todos los casos que los estime conveniente para fines extraños o de interés personal.
- Ausencia de información importante para la toma de decisiones. Sea por ocultamiento de la información o porque los resultados negativos hayan sido maquillados para presentar resultados de la gestión de las finanzas en forma satisfactoria.
Ningún sistema de control interno diseñado e implantado puede garantizar en forma absoluta el cumplimiento de los procedimientos de seguridad incluidos y mucho menos el logro de los objetivos primarios de las organizaciones. Además, el grado de solidez del control interno tiene un costo, el mismo que debe ser adecuado en relación a las actividades de la organización.
E. Facilitar la consecución de los objetivos de la organización
El control interno diseñado debe orientarse a facilitar la consecución de los cuatro objetivos de la organización, que fueron detallados en la definición.
Es importante señalar que los objetivos del control interno se caracterizan porque se superponen. Si analizamos los objetivos en el orden inverso a como se presentaron en el concepto, la base sería el cumplimiento legal y normativo para salvaguardar los recursos, obtener información confiable y ejecutar las operaciones eficientemente (buen uso de los recursos disponibles) y eficazmente (lograr los objetivos institucionales).
Presentados así los objetivos del control interno permite identificar la superposición existente en los mismos. En todo caso, el objetivo principal del control interno está dirigido a la eficiencia y eficacia de las operaciones de la organización.
El control interno adecuadamente diseñado y funcionando puede garantizar un grado razonable de seguridad para la consecución de las tres categorías de objetivos señalados en el concepto, a continuación de la eficiencia y eficacia de las operaciones que es la prioridad.
Con respecto a los objetivos operacionales es evidente la amplitud y no siempre estarán bajo la decisión total o global de la entidad. El control interno es capaz de prevenir las opiniones y decisiones equivocadas o los acontecimientos externos que pueden afectar el cumplimiento de las metas operativas.
En los objetivos operativos el control interno puede aportar datos sobre la seguridad de que la dirección y el consejo de administración estén informados puntual y ampliamente sobre el grado de avance logrado en la gestión de los objetivos y se constituirá en la base para las decisiones que deban tomar.
- COMPONENTES Y FACTORES BÁSICOS DEL MICIL
Como base para el desarrollo y definición del Marco Integrado de Control Interno Latinoamericano (MICIL) utilizaremos la estructura presentada por el Informe COSO para identificar a los componentes del control interno integrado, los que se encuentran interrelacionados en el proceso de ejecución de las operaciones de las empresas u organismos y consideramos son de aplicación general, de manera específica para el diseño del marco integrado de control interno y de manera general para programar y ejecutar la auto evaluación y la evaluación externa de su funcionamiento y operación.
El proceso y los componentes definidos por el Informe COCO (Criteria of Control) están relacionados en forma muy estrecha al marco definido por el Informe COSO, y se observa las cualidades y características más orientadas o dirigidas a la evaluación del funcionamiento del marco integrado de control interno y es el enfoque a utilizar en la presentación del Marco Integrado de Control Interno Latinoamericano (MICIL).
Existen posibilidades de adecuaciones a la realidad y requerimientos de las organizaciones y empresas que operan en América Latina, las que se introducirán al desarrollar los factores que integran los cinco componentes del control interno.
Cabe destacar la importancia que tienen los cinco componentes en el diseño del sistema de control interno institucional. La administración de las entidades tiene la responsabilidad de realizar un análisis comparado del diseño del control interno que está funcionando en la entidad y los componentes básicos detallados en este capítulo, incluso puede llegar a calificarlo en forma cualitativa y cuantitativa, para disponer de una base que justificará la necesidad de introducir mejoras y programar el análisis comparado más profundo en el futuro.
Lo importante es iniciar el proceso de diseño, aplicación, auto evaluación y evaluación externa para obtener el resultado que permitirá en un futuro validar las mejoras introducidas para el funcionamiento de la entidad, para cada componente del control interno y en conjunto a la organización o las actividades importantes consideradas en el proceso.
En resumen, al desarrollar los componentes y los factores básicos del Marco Integrado de Control Interno Latinoamericano (MICIL) estaremos basándonos en los criterios desarrollados por los Informes COSO y COCO, así como las experiencias y requerimientos observados en las empresas y organizaciones de la región.
- Qué son los componentes del marco integrado de control interno?
El Marco Integrado de Control Interno Latinoamericano incluye cinco componentes de control interno y constituyen las bases para estructurar una pirámide con cuatro lados similares que demuestra la solidez del control interno institucional como fundamento para el funcionamiento participativo, organizado, sistematizado, disciplinado y empoderado del recurso humano para el logro de los objetivos de la organización.
La base de la pirámide es el soporte fundamental para el funcionamiento de la organización debido a la fortaleza que significa los valores, la ética y la transparencia de la organización y del personal que la conforma. El apoyo y el ejemplo de la dirección superior y la supervisión permanente de los directivos complementa el principio fundamental de la base de la pirámide del MICIL.
Los cinco componentes integrados en la pirámide de control interno permiten observar de manera objetiva la relación existente entre cada uno de ellos y la manera como una debilidad o la ausencia de uno de ellos promueve o facilita el deterioro como un conjunto.
Los componentes de control interno para su diseño presentan un esquema que partiendo del ambiente de control como la base de la pirámide auspicia el funcionamiento efectivo de los cuatro que se asientan sobre él, llegando hasta la supervisión o seguimiento de su funcionamiento en todos los niveles de la organización.
El componente información y comunicación es el más dinámico y permite interrelacionar la base de la pirámide (ambiente de control) con la cúspide de la pirámide (supervisión), mediante los reportes procesados para los diferentes niveles y en varias instancias, la misma que regresa a la base de la pirámide mediante la comunicación que se procesa desde la supervisión del sistema hacia el resto de componentes y así perfeccionar el sistema al bajar por la pirámide hasta la base.
En mayor detalle, puede decirse que por la ubicación del componente y la relación que demuestra entre la base y la cima, la información se genera en los tres componentes básicos, pero el principal esta en el ambiente de control y se agrega con la evaluación del riesgo y las actividades de control desarrolladas y relacionadas con la información en la línea ascendente hasta el nivel de supervisión que recibe, analiza y toma decisiones con base en los datos procesados. Por el lado derecho de la pirámide se observa una columna similar, pero con la palabra comunicación y en el sentido contrario, es decir de arriba hacia abajo, siempre relacionando los componentes actividades de control y evaluación del riesgo para el cumplimiento de los principales objetivos de la organización, que serían similares a los cuatro objetivos del control interno bajo el enfoque COSO.
En resumen, podemos manifestar que los componentes de control interno son los requisitos básicos para el diseño y funcionamiento sólido del marco integrado de control interno de una organización o de una actividad importante y son:
- Ambiente de control y trabajo,
- Evaluación de riesgos,
- Actividades de control,
- Información y comunicación, y,
- Supervisión.
Cada uno de los componentes señalados conforman la pirámide del marco integrado de control interno dispone de varios factores que señalan en gran medida su importancia. A continuación se detallan los factores del control interno clasificados por los componentes.
- La pirámide del MICIL y los factores por componente.
Cada componente de control interno esta integrado por varios factores relacionados con los puntos clave generales para el control de la empresa u organización en su conjunto o referido a las actividades importantes de una institución.
Los factores que se integran a cada componente definen la importancia del mismo. El ambiente de control institucional es el componente que mayor número de factores contiene, y por tanto, el más relevante y la base para su diseño, la implantación, la auto evaluación y evaluación en una organización.
Otro componente fundamental y conocido como el elemento dinámico del marco integrado de control interno es el denominado información y comunicación, pues en gran medida es el que sustenta la calificación del control interno como integrado, bajo los modernos criterios sobre la materia.
La comunicación entre los cinco componentes de control interno es evidente a través de la relación que presenta la pirámide. En el gráfico se observa el contacto que tienen las dos figuras que representan la información y la comunicación, en las dos columnas laterales que unen el ambiente de control y a la supervisión en sus extremos. A la vez se relaciona ampliamente con la evaluación del riesgo y las actividades de control que están en la parte intermedia de la pirámide.
En los siguientes títulos de este capítulo se desarrollan los componentes y los factores del marco integrado control interno a base de la pirámide incluida en detalle en la siguiente página y que permite un mejor entendimiento y comprensión del marco integrado para su diseño, funcionamiento, auto evaluación y evaluación en una organización.
Los factores constituyen el contenido técnico de cada componente de control interno y se presentan como los controles clave que deben diseñarse de manera obligatoria. Es posible incluir otros factores o controles clave en cada uno de los componentes, de acuerdo a los requerimientos específicos de la organización para la cual se diseña el control interno. Las actividades ejecutadas y los objetivos buscados son atributos importantes para el diseño del control interno y su posterior evaluación. Los factores definidos en una organización determinan el grado de profundidad para el diseño, implantación y evaluación del marco integrado.
El tipo de operaciones que realice una organización constituye un elemento a considerar para determinar el desarrollo de los factores como puntos clave de control interno. Por ejemplo, cuando se trata de un banco, la importancia de los valores, la ética y la transparencia son de mayor desarrollo, cuidado y difusión, que en el caso de entidades que prestan otros servicios no relacionados con el manejo del dinero de sus clientes, como un comercio o una industria. Bueno existen muchas alternativas para estos casos, por ese motivo el marco integrado de control interno latinoamericano es general y las aplicaciones específicas corresponde a las empresas y organismos individuales o por sectores de producción.
(PIRÁMIDE DEL MICIL)
C. Entorno o ambiente de control interno institucional
“El entorno de control marca las pautas de comportamiento de una organización, y tiene una influencia directa en el nivel de concienciación del personal respecto al control. Constituye la base de todos los demás elementos del control interno, aportando disciplina y estructura. Entre los factores que constituyen el entorno de control se encuentran la honradez, los valores éticos y la capacidad del personal; la filosofía de la dirección y su forma de actuar; la manera en que la dirección distribuye la autoridad y la responsabilidad y organiza y desarrolla profesionalmente a sus empleados, así como la atención y orientación que proporciona el consejo de administración.” Cita del Informe COSO.
La base de los marcos de control interno COSO y COCO está en los valores, la conducta ética y la integridad. El primer factor y la base de la pirámide del factor ambiente de control son los valores y la ética y por tanto, el cimiento donde se asienta el peso del principal componente del marco integrado de control interno Latinoamericano (MICIL). Este es un elemento en el que hay que trabajar en forma constante, no solamente mediante la emisión de un código de ética y la presentación de los valores que tiene la organización. Es necesaria la comunicación continua con el personal de la empresa, los clientes y terceras personas relacionadas para garantizar la producción de bienes o la prestación de servicios basados en los principios que rigen en la organización.
El tema de los valores, la ética y la transparencia en América Latina es un proyecto de largo alcance y la participación de varios organizaciones, donde es necesaria la educación de la población en varios niveles, quizá partiendo desde el nivel escolar y el ejemplo que tengan en sus hogares. Ahora, para el MICIL; el reto es para las organizaciones que tienen un campo de acción definido y donde pueden incidir de manera directa, principalmente con los funcionarios y empleados quienes deben estar atentos a problemas de éticos y en caso de conocerlos reportarlos para generar disciplina en el funcionamiento de las organizaciones. El ejemplo del ejecutivo principal es fundamental para garantizar el apoyo del personal de la organización, pues mientras existan diferencias marcadas en temas como salarios, compensaciones y otros beneficios, así como la selección de funcionarios sin aplicar los criterios de transparencia poco se podrá avanzar en el fortalecimiento del marco integrado del control interno.
Cabe reconocer la importancia que se le atribuye al entorno o ambiente de control institucional como base para el desempeño de sus actividades y la consecución de sus objetivos principales. Las organizaciones que promueven la aplicación de los procedimientos de control en forma consistente en todas las actividades relevantes, a partir de la selección y contratación del personal, la adquisición de bienes y servicios necesarios para ejecutar sus operaciones, pasando por los procesos necesarios para producir bienes o prestar los servicios en forma eficiente y eficaz.
La responsabilidad de mantener un entorno de control institucional calificado corresponde a todo el personal de la organización. No obstante, el titular de la entidad debe ser el principal promotor de un ambiente de control que promueva la participación activa de todo el personal y que la cultura de control sea una forma corriente de proceder en todos los niveles de la organización, a partir del ejemplo o modelo de actuación observado en la dirección superior.
En gran medida y de manera formal el entorno de control está definido en la ley de creación de una entidad pública o en el estatuto de constitución de una empresa privada. El objeto social, la estructura organizativa general, la autoridad y responsabilidad de los principales funcionarios, el financiamiento de las operaciones y las aportaciones de capital, el número de años que funcionará la organización y otras disposiciones importantes relacionadas con la contratación de créditos y la venta de sus activos importantes, están definidos en la estructura propuesta de las organizaciones y por tanto un factor fundamental para el ambiente de control institucional cuando es conocido por el personal.
Podemos manifestar que el entorno de control más esta dirigido a la manera como se gerencia, dirige y supervisa el funcionamiento de la entidad. No obstante, el diseño básico del marco integrado de control interno de una entidad o empresa está en la definición que se da al conformarla, la cual en muchos casos constituye la causa de varios problemas de operación, principalmente por la aplicación de los criterios de orden legal..
En América Latina, tanto el diseño e implantación del control interno, así como la evaluación del mismo se basa en muchos criterios de cumplimiento legal y reglamentario. Los criterios técnicos o normativos son referenciales, pues en caso exista una disposición legal o reglamentaria sobre el tema, prevalecen estas últimas.
De todas maneras, basados en el Informe COSO consideramos que es adecuado con algunas variaciones y se ratifica su aplicación. Respecto a los factores que integran el componente se establecen los siguientes, manteniendo el orden de presentación para su estudio y aplicación:
(PIRÁMIDE DEL ENTORNO O AMBIENTE DE CONTROL Y TRABAJO)
1. Integridad y valores éticos
La base en que se sustenta las acciones dirigidas al diseño y aplicación del control interno integrado de una organización se sustenta en los valores y los principios éticos conocidos y aplicados por su personal y las políticas definidas formalmente para la prestación de servicios o la producción y distribución de los bienes producidos.
La integridad de la organización al ejecutar las distintas actividades (contexto, generan valor añadido, infraestructura, gestión y proceso de las transacciones) o las fases del proceso de producción, gestión e información, constituyen el cimiento en que se apoya el resto de factores establecidos para validar el ambiente de control de la organización.
El cumplimiento de los objetivos de la organización se basan en diversas prioridades, juicios de valor y estilos de gestión, las cuales se evidencian en las normas de comportamiento que definen la integridad de la dirección y el compromiso que esta asume en relación a los valores, los principios éticos, la integridad y la transparencia en el ejercicio de sus responsabilidades.
La reputación de una organización es muy valiosa y las normas de comportamiento deben ir más allá del cumplimiento de las disposiciones legales. El público usuario de los servicios o el inversionista espera algo más.
La eficacia de los controles internos deben estar supeditados a los valores éticos y la integridad de las personas que los diseñan, administran y supervisan. Esto es aplicable a los cinco componentes que integran el control interno de una organización o actividad importante.
En muchos casos es difícil establecer los valores y principios éticos debido a la necesidad de tener en cuenta los intereses de los elementos que conforman la organización. Los valores de la dirección superior deben encontrar un equilibrio justo entre los intereses de la organización, sus trabajadores, proveedores, usuarios, competidores y el ciudadano. La respuesta en general es muy compleja y los resultados pueden ser frustrantes debido al enfrentamiento de los intereses que muchas veces se presenta. A manera de ejemplo el objetivo de la organización es cumplir con las metas establecidas utilizando los recursos de manera eficiente (menor costo y mayor rendimiento) situación en conflicto con el interés de los trabajadores que tienen como objetivo un mayor salario y consecuentemente un mayor costo.
Los problemas de conocimiento público de las corporaciones que cotizan en la Bolsa de Valores de Nueva York relacionados con los valores y la ética de sus principales funcionarios han dado lugar a una baja considerable en la cotización de las acciones y a la pérdida de las ganancias logradas en períodos anteriores de manera acelerada. El manejo de la información y la difusión de resultados que cumplen con las aspiraciones de los inversionistas y de los usuarios de los servicios y de los bienes se ha convertido en una condición peligrosa para las organizaciones. Los ejemplos recientes de Enron, Wordlcom, Tyco, Vivendi, Xerox, entre otras, son evidencias claras de la ausencia de valores y el incumplimiento de los principios éticos por parte de la dirección superior de las organizaciones. No obstante, el control interno integrado es responsabilidad de todos los funcionarios y servidores que para los casos señalados no ha funcionado, quizá debido al conflicto de intereses que se presenta cuando el personal pasa a ser inversionista de la organización y esta obteniendo los beneficios de las prácticas contables indebidamente aplicadas por instrucciones o decisiones de los niveles superiores de la organización, que además aprueban de manera formal los informes financieros que incluyen los resultados de las operaciones en base a diferentes criterios contrarios a las normas de contabilidad de aceptación general.
Es evidente, que los funcionarios y empleados de la organización como accionistas tienen ventajas respecto a los inversionistas externos por el acceso directo a la información y facilita las decisiones en cuanto a la negociación de las inversiones en el mercado de valores, como ha sucedido en varios casos de funcionarios que son de dominio público.
La experiencia señala algunos motivos por los que se incurre en prácticas cuestionables o se comenten actos fraudulentos al presentar la información financiera y de gestión de la organización y que pueden calificarse como anti éticos:
- Presiones para alcanzar objetivos de rendimiento poco realista, principalmente en los establecidos a corto plazo. Un ejemplo. Cuando se plantea el 60% de ocupación para un hotel para el corto plazo, el indicador de rendimiento es adecuado pues se basa en la experiencia del negocio a nivel internacional, además debe considerarse las condiciones del país en que opera, pues en el caso de Colombia en los actuales momentos el indicador debe ser mucho menor.
- Gratificaciones en que el rendimiento tiene un peso específico elevado que incentiva a los funcionarios a tomar acciones para proyectar los resultados a base de operaciones no concretadas.
- Establecimiento de límites máximos y mínimos como parte de los sistemas de gratificación para los niveles superiores de la organización.
2. Estructura organizativa
La adecuación de la estructura organizativa de una institución depende de la naturaleza de sus actividades, tamaño y su dependencia.
En general la estructura organizativa formal de las organizaciones están resumidas en el documento de creación, una ley en el caso de las entidades públicas, o el estatuto de constitución para las organizaciones privadas. Esta estructura general proporciona el marco en que se planifica, coordina , ejecuta, supervisa y controla las actividades principales relacionadas con las que generan valor agregado, la infraestructura y la gestión empresarial.
Los aspectos más relevantes a tener en cuenta al definir y poner en funcionamiento la estructura organizativa tienen relación con las áreas clave de autoridad y responsabilidad y el establecimiento de las líneas adecuadas de comunicación e información. A manera de ejemplo, la autoridad del Comité de Auditoría de la organización y la función y dependencia de la auditoría interna para obtener información sin limites de las unidades operativas y administrativas de la entidad y el conocimiento de los resultados de las evaluaciones realizadas por dicho Comité.
Existen varias opciones para definir la estructura organizativa de las instituciones. En casos se utilizan criterios centralizadores de la funciones y en otros emplean la descentralización.
En todos los casos es importante diseñar la estructura de tal manera que sea evidente para los usuarios de la información los siguientes niveles: Dirección superior, unidades relacionadas con la gestión y apoyo, así como las unidades de operación que tienen relación con el cumplimiento de los objetivos de la organización.
La relación del número de unidades, del personal y del costo de funcionamiento son indicadores que para el diseño y la evaluación deben tomarse en cuenta a base de la naturaleza de las actividades y el tamaño de la organización. En todos los casos, las unidades de operación deben ser la parte más importante referida al número de unidades, el personal asignado y el monto de recursos financieros que utilizan.
3. Autoridad asignada y responsabilidad asumida
La asignación de autoridad entre los principales funcionarios de la organización esta formalizada en el documento que evidencia la creación de la organización. Para el funcionamiento de la entidad es necesario puntualizar la autoridad en las diferentes unidades operativas que se integran para su funcionamiento adecuado, basados en la naturaleza de las actividades ejecutadas y el grado de responsabilidad que cada una asume a través de su titular.
La responsabilidad que asume un funcionario o empleado de la organización siempre estará relacionada con la autoridad asignada. Por lo regular, a mayor grado de autoridad mayor será el grado de responsabilidad de los funcionarios y empleados.
La tendencia dirigida a la delegación de autoridad a los niveles que se encuentran más cerca del proceso de producción se ha venido desarrollando para que las decisiones relacionadas con la producción estén más cerca del personal que la opera. Esta situación permite una serie de beneficios para la organización, como el concentrarse en la calidad, eliminar los defectos, reducir la duración de los ciclos de producción o mejorar el grado de satisfacción de los usuarios o clientes.
En algunos casos, la delegación mayor de autoridad es el resultado de la racionalización intencional de la estructura organizativa. El cambio estructural generado para fomentar la creatividad, la iniciativa y la capacidad de reacción puede aumentar la competitividad y el grado de satisfacción al usuario (cliente).
La mayor delegación de autoridad puede requerir el incremento del nivel de competencia del personal, así como mayor responsabilidad. Por otra parte, los procedimientos de supervisión a los resultados alcanzados deben ser más oportunos y eficaces.
El asumir autoridad promueve en el personal la aceptación de responsabilidades adicionales y esto tiene un impacto positivo para el entorno de control de la organización. Este se aplica en todos los niveles de la entidad, incluso para el director general que, en última instancia, es el responsable de todas las actividades ejecutadas por la entidad, incluso el control interno diseñado e implantado.
4. Administración de los recursos humanos
El recurso más importante de las organizaciones es el personal que la conforma. El ambiente de control estará totalmente fortalecido si la organización administra de manera eficaz este recurso, que se inicia a partir de la determinación de las necesidades de personal y el perfil de los funcionarios y empleados requeridos.
El proceso técnico definido para la administración del recurso humano parte de la integridad, el comportamiento ético y la competencia profesional que debe ser demostrada en relación a las funciones que debe ejecutar y los productos a generar.
La definición de normas de operación y su aplicación en la administración del recurso humano se relacionan de manera principal con las acciones de reclutamiento, selección, administración, contratación, formación, evaluación, asesoramiento y remuneración del personal.
La rotación del personal en los casos que sea factible y necesario, así como los ascensos fomentados por las evaluaciones periódicas que demuestran el compromiso de la organización en el progreso del personal calificado. El funcionamiento de un Comité para la Administración del Personal es importante para garantizar el manejo justo y equitativo de las contrataciones y los resultados del desempeño. Esta actividad incluye un riesgo inherente o relacionado con la operación alto, principalmente debido a los conflictos de interés que se presenta al seleccionar y contratar personal, así que se debe tener cuidado en el diseño y aplicación de los procedimientos relacionados.
El concurso público abierto es el método óptimo para obtener los mejores profesionales disponibles en la comunidad como los potenciales funcionarios y servidores idóneos para las organizaciones. La opinión pública conformada por los usuarios, proveedores, inversores, propietarios y ciudadanos que observan el proceso seguido, presenta una imagen positiva sobre la integridad de las organizaciones que cumplan con este procedimiento en la incorporación del personal. Además, siendo un concurso público las empresa difunde en los medios su actividad y la forma transparente en que actúa.
Los programas de pasantías para jóvenes profesionales que colaboran con las organizaciones, trabajando y formándose para en los casos positivos convertirse en personal de carrera es otra opción, que igual parte de una convocatoria abierta y pública o mediante la información que proporcionen las universidades con una lista de los mejores egresados de uno o varios años y de diferentes especialidades.
5. Competencia profesional y evaluación del desempeño individual
Los conocimientos y habilidades para desarrollar las tareas en una posición son fundamentales para garantizar el funcionamiento de la organización y la calidad de los servicios entregados o de los bienes producidos.
Una de las actividades de infraestructura en el modelo genérico de negocio presentado por el Informe COSO es la administración de los recursos humanos, que indicamos es el recurso más importante para el funcionamiento del marco integrado de control interno y mejorar la obtención de los objetivos de la organización. La definición del perfil profesional para el desempeño de las posiciones directivas y de operación es facultad del área que requiere el personal en coordinación con la unidad de recursos humanos y que pasa a conocimiento y aprobación de la dirección ejecutiva.
En la definición del perfil profesional para desempeñar las posiciones funcionales de una organización debe considerar la naturaleza y el grado de juicio profesional aplicables a un trabajo específico. Además, se debe buscar el equilibrio entre la capacidad exigida al profesional y el nivel de supervisión a ser aplicado.
Un elemento directamente relacionado con la competencia profesional para realizar las funciones y tareas de una posición en la organización es la evaluación del desempeño en esas funciones y el nivel de producción logrado. La evaluación del desempeño aplicado al menos una vez al año, garantiza que el personal este prestando los servicios bajo los términos de la contratación e identificar los aportes adicionales que haya generado y su potencialidad hacia el futuro.
La evaluación del desempeño individual utilizando la calificación de al menos tres participantes, permite obtener un resultado en promedio más cercano a la realidad de la manera en que colaboraron con la organización todos sus servidores. Participan el funcionario auto calificando su colaboración, el jefe inmediato evaluando la cooperación brindada y un tercero relacionado, pero independiente, que evalúa la participación del servidor evaluado. El promedio de las calificaciones es el resultado final para la posición, el mismo que es puesto en conocimiento del funcionario o empleado evaluado y puede exponer sus puntos de vista.
La competencia profesional y la evaluación del desempeño de los funcionarios y empleados de la organización contribuyen ampliamente para que el ambiente de control orientado hacia la obtención de los objetivos de la organización se constituyan en una garantía de mayor grado.
6. Filosofía y estilo de gestión de la dirección
La filosofía y el estilo de gestión de la dirección esta relacionada con la manera en que la organización es administrada, incluyendo el riesgo empresarial asumido. Una organización que ha logrado el éxito a partir de correr riesgos importantes puede tener una perspectiva diferente respecto al control interno, si la comparamos con la administración de una institución que haya pasado situaciones adversas. Un ejemplo, es el caso de las instituciones financieras de varios países que han pasado por situaciones críticas en comparación a instituciones que no han experimentado esta condición. Sin embargo, continúan aceptando riesgos elevados en el otorgamiento de créditos o registrando intereses ganados como ingresos efectivos a pesar de que no han sido recibidos para mantener condiciones aceptables de operación.
Las organizaciones manejadas formalmente dependen en gran medida de las políticas escritas, los indicadores de rendimiento propuestos a base de experiencias y estudios técnicos, los informes periódicos relacionados con las operaciones realizadas y los reportes sobre las condiciones de excepción en el cumplimiento de sus actividades.
La actitud adoptada por la dirección respecto a la presentación amplia de la información financiera y de gestión (informes comparativos y oportunos), la selección de alternativas positivas y participativas en cuanto a la aplicación de los principios de contabilidad generalmente aceptados o las Normas Internacionales de Contabilidad (activar gastos para diferirlos hacia los años futuros), la prudencia utilizada en la determinación de las estimaciones sobre operaciones que generan pérdidas en el ejercicio (provisión para cartera incobrable) y el apoyo y actitud hacia las funciones informáticas (controles internos), la evaluación de resultados obtenidos (auditoría interna y externa), los reportes contables y financieros (dotación de recursos) y comunicándose ampliamente con el personal de la organización (informando los resultados obtenidos).
En estos tiempos de problemas causados por la crisis económica y la limitada ética empresarial en los niveles superiores, hace que la información financiera sea de importancia mayor, la cual tendrá un grado de confiabilidad aceptable considerando el ambiente de control de la organización, bajo la filosofía de la dirección y el estilo de gestión empleado por la misma.
- Consejo de administración y comités.
El Consejo de Administración (junta directiva, directorio, comisión, comité y otras denominaciones) representan a los propietarios más importantes de la organización en la gestión continua de las operaciones. El entorno de control está influido en gran medida por el consejo de administración y los comités de gestión creados para operar las principales actividades de la organización, como en el caso del control (comité de auditoria) y en la administración de los recursos relevantes (humanos, adquisiciones, desarrollo de tecnología y otros).
El grado de independencia del consejo de administración, la conformación colegiada en los comités de gestión, la experiencia y la calidad profesional de sus miembros, entre otras, son cualidades que garantizan las acciones tomadas por estos cuerpos colegiados.
Tanto las políticas emitidas para promover el logro de los objetivos de la organización dirigidas a la dirección ejecutiva, como garantizar la eficacia en el funcionamiento del marco integrado de control interno a partir de las funciones que cumple la auditoría interna, con el apoyo del consejo y la colaboración de la dirección ejecutiva de la organización. El funcionamiento de los comités de adquisiciones, administración de personal y desarrollo de tecnología aportan estructura y criterios para fortalecer el funcionamiento eficiente de las áreas específicas y de la institución.
La colaboración de los auditores externos mediante los exámenes independientes y los informes relacionados con la presentación de los estados financieros contribuyen a garantizar el funcionamiento del marco integrado de control interno en general y el ambiente de control de la organización en particular. Una situación similar o mayor sucederá con la auditoría de gestión en el caso de ser autorizada y aplicada a la organización.
Otras evaluaciones a considerar son las dirigidas a evaluar la calidad total y la aplicación de las normas ISO, en el caso de actividades u organizaciones que hayan obtenido la calificación bajo las normas ISO 9000.
8. Rendición de cuentas y transparencia
La relación fundamental entre la base de la pirámide del entorno o ambiente de control de la organización está constituida por el factor Integridad y Valores Éticos y la cúspide de la misma, el Consejo de Administración, permitirá catalizar la voluntad y el cumplimiento de la administración relacionada con la rendición de cuentas respecto a los resultados financieros y de gestión de las operaciones que permitan promover la transparencia en el manejo de las organizaciones.
La responsabilidad por la rendición de cuentas y la transparencia en lo general es competencia de la dirección ejecutiva de la organización en todo el proceso, no obstante, el consejo de administración se constituye en el organismo responsable solidario y directo cuando aprueba los resultados financieros y de la gestión reportados por la dirección ejecutiva, los cuales son validados mediante las evaluaciones realizadas por la auditoría interna al funcionamiento del marco integrado de control interno y a la razonabilidad de los resultados informados.
La auditoría externa aplicada a los estados financieros de la organización constituye un atributo adicional a la rendición de cuentas de la organización. El proceso de contratación de la auditoria externa es conducido y resuelto por el consejo de administración o un nivel superior, como base para garantizar el ambiente de control de la organización.
Los informes de auditoría externa, incluyendo los estados financieros y las notas aclaratorias a los mismos, son públicos y deben estar a disposición de los funcionarios y empleados de la organización, de los usuarios, proveedores, instituciones financieras, propietarios y la ciudadanía. Esta es una característica básica de la rendición de cuentas que esta siendo recogida por disposiciones legales relacionadas con el tema del acceso a la información pública en el caso de las instituciones del Estado. Algo similar ocurre con las empresas privadas, principalmente las que manejan recursos del público como son los bancos, instituciones financieras, cooperativas, mutualistas, las empresas que ofertan sus acciones en la bolsa de valores, entre otras.
Es procedente determinar algunas cualidades de la información generada por las organizaciones para garantizar la transparencia de sus resultados mediante la información:
- Los estados financieros publicados deben ser comparativos de los últimos ejercicios contables.
- Las notas aclaratorias a los estados financieros antes señalados son obligatorias y deben incluir la información mínima establecida en las Normas Internacionales de Contabilidad, (NIC).
- El dictamen de los auditores externos respecto a la presentación de los estados financieros debe estar disponible en su formato completo.
- El dictamen o informe de los auditores externos sobre el funcionamiento del control interno institucional es importante.
- El informe compilado del auditor interno sobre las evaluaciones realizadas durante el ejercicio relativo a los estados financieros, es necesario.
- El informe de gestión sobre los resultados operativos generado por la dirección ejecutiva de la organización, dirigido al consejo de administración, revisado por los auditores y los datos generados por las unidades operativas.
(PIRÁMIDE DE EVALUACIÓN DE RIESGOS)
- Evaluación de los riesgos para obtener los objetivos.
“Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno como externo que deben evaluarse. Una condición previa a la evaluación de los riesgos es el establecimiento de objetivos en cada nivel de la organización y que sean coherentes entre sí. La evaluación del riesgo consiste en la identificación y análisis de los factores que podrían afectar la consecución de los objetivos y, en base a dicho análisis, determinar la forma en que los riesgos deben ser gestionados.”
Toda actividad, en la medida de su complejidad, se encuentra sujeta a riesgos en los diferentes niveles del proceso de las operaciones y según la estructura organizativa utilizada.
Los riesgos afectan directamente las habilidades de las instituciones para su operación, para competir con éxito, para mantener una posición financiera sólida, para disponer de una imagen pública positiva, para la producción de bienes o servicios de calidad y para contar con el personal apropiado. Se puede asegurar que no existe una forma práctica y real de reducir el riesgo a cero.
La dirección superior de la organización debe determinar el nivel de riesgo que considera aceptable y esforzarse por mantenerlo en los límites marcados y bajo control. A manera de ejemplo, una institución que produce servicios hoteleros debería establecer el riesgo asumido para establecer el nivel de ocupación de las habitaciones instaladas y disponibles en el año.
Desde luego, que el establecimiento de objetivos es un requerimiento previo a la evaluación de los riesgos. Fijar los objetivos es una fase clave de los procesos de gestión y estos permitirán identificar los riesgos que tendrían impacto en su consecución. Siguiendo con el ejemplo hotelero, el objetivo es lograr una ocupación mínima del 60% de la capacidad instalada, utilizando como criterio este indicador. Para llegar a este objetivo existen varios riesgos que deben analizarse, tanto al interior de la entidad, como los generados por las actividades externas, como la seguridad ciudadana, los eventos programados, la economía internacional en crecimiento y fortalecida, entre otros. La pregunta, el objetivo planteado es factible de conseguirlo con un riesgo razonable para la actividad en el año 2002? La respuesta, se obtendrá después de analizar una variedad de riesgos que están asociados a la obtención del objetivo planteado, a partir de la ubicación y dirección de la oferta que tenga la organización, mismo que requiere un conocimiento amplio del mercado y las actividades relacionadas.
Los factores fundamentales que son parte del componente evaluación del riesgo dirigido al logro de los objetivos y se consideran en el diseño del marco integrado de control interno Latinoamericano (MICIL) son los siguientes:
1. Objetivos de las organizaciones
La definición del control interno integrado establece las categorías generales de los objetivos del control interno y podrían tomarse como referencia básica para que la administración los defina de manera puntual para la organización. En resumen los objetivos generales del control interno presentados en su definición son:
- Eficiencia y efectividad de las operaciones de la organización.
- Confiabilidad de la información financiera y de gestión producida.
- Salvaguarda de los recursos de la organización, y,
- Cumplimiento de las disposiciones legales, reglamentarias y normativas aplicables.
Los objetivos relacionados con las principales operaciones de organización deben coincidir con su objeto social o su razón de existir. En otro nivel se incluirán los objetivos específicos encaminados a la consecución de la finalidad de la entidad, bajo un entorno en el que se desarrollan las actividades.
La administración de la organización establecerán claramente los objetivos y las estrategias a utilizar para conseguirlos. Los objetivos constituyen el punto clave al cual se dirigirán la mayor parte de los esfuerzos y recursos y permitirá identificar los riesgos que puedan presentarse en la obtención de los mismos.
Los objetivos generales y específicos, así como los riesgos que deberá superar para conseguirlos, son puntuales para cada organización y, por tanto, son parte a considerar en la planificación estratégica formulada y que debe ser actualizada por la administración en forma periódica para constituirse en un factor clave del control interno institucional.
Los objetivos relacionados con la generación de información financiera y de gestión confiable, oportuna y sincera de las operaciones ejecutadas por la organización están claramente identificados por los requerimientos normativos profesionales, de los organismos reguladores y de control, así como por las exigencias de las instituciones financieras y de inversión. La administración superior tiene la responsabilidad total por la confiabilidad de la información financiera y su presentación oportuna, completa y legalizada, disponible para los usuarios internos de la organización y para las necesidades externas por las relaciones de la organización.
Los criterios de importancia relativa (significatividad o representatividad) son inherentes o están relacionados de manera directa al objetivo de preparación y presentación de la información financiera y los resultados de la gestión preparada por la dirección.
Las aseveraciones necesarias y obligatorias para la preparación y presentación de la información por parte de la organización son:
- Existencia o efectividad. Que los informes representen las transacciones y las operaciones reales y que efectivamente ocurrieron en el período al cual corresponden los informes.
- Totalidad o integridad. Que los reportes incluyan todas las operaciones y transacciones que debieron ser reconocidas y hayan sido registradas en los sistemas e incluidas en los informes de resultados.
- Derechos y obligaciones. Que los derechos y las obligaciones conocidos a la fecha de corte y presentación de los informes han sido incluidos íntegramente.
- Valoración o asignación. Que los importes generados por las operaciones y transacciones de la organización hayan sido registrados e informados conforme los métodos adoptados y las disposiciones legales y reglamentarias aplicables. Además, que las valoraciones son matemáticamente exactas en su importe y están adecuadamente soportadas, registradas y resumidas en los registros y archivos de la organización.
- Presentación y desglose. Que la información incluida en los informes financieros y de gestión está adecuadamente agrupada, clasificada y descrita. La descripción en el caso de los estados financieros se refiere a las notas aclaratorias que son parte obligatoria y complementaria a los mismos.
Los objetivos de salvaguarda de los recursos de la organización están relacionados con los adecuados procesos dirigidos a la adquisición, contratación, integración, registro, custodia, utilización, manejo, evaluación y control de los recursos humanos, materiales, financieros y tecnológicos de la organización.
Los mecanismos para salvaguardar los recursos de la organización serán definidos por la dirección ejecutiva y puestos en conocimiento de todos los niveles de funcionarios y empleados.
Los objetivos de cumplimiento legal están referidos a la ejecución de las funciones y obtener los resultados con base a los criterios establecidos en las disposiciones legales y reglamentarias referidas a las operaciones (seguridad, higiene y otros) financieros (fecha presentación de los informes y contenido del informe) y salvaguarda de recursos (identificación de vehículos, codificación de bienes).
El cumplimiento de las disposiciones legales y reglamentarias incide positivamente sobre la reputación de la organización en la comunidad.
Los cuatro tipos de objetivos definidos en determinadas circunstancias se sobreponen o traslapan unos a otros. Generalmente al definir un objetivo relacionado con la eficiencia y eficacia de las operaciones “obtener la ocupación del 60% de las instalaciones de un hotel en el ejercicio” involucra asuntos técnicos de la operación, información financiera oportuna y completa, salvaguarda de los bienes y eficiente utilización y, quizá indirectamente, el cumplimiento de los dispositivos legales en cuanto a las contribuciones que se generen.
En la práctica, los objetivos siempre están interrelacionados, es más, en el caso de las instituciones públicas los objetivos generales y muchos de los específicos son parte de esas disposiciones.
Otra cualidad fundamental se refiere a que los objetivos deben ser complementarios y están relacionados entre los generales y los específicos determinados para las actividades importantes y las unidades organizativas que asuman la responsabilidad.
Los objetivos relativos a las actividades deben ser claros y fácilmente comprensibles para el personal responsable de su obtención. Las partes relacionadas con el objetivo deben llegar a un consenso de lo que se ha de conseguir y la forma en que se medirán los resultados.
Es importante equilibrar los objetivos en relación a los recursos disponibles y, en este caso, identificar los objetivos fundamentales por las actividad que permitan la consecución de los objetivos globales de la organización. La supervisión continua de los objetivos fundamentales por la dirección es necesaria para mantener el enfoque y tomar las acciones necesarias para dirigirlos.
La identificación de objetivos fundamentales tiene relación con el concepto de los “factores críticos del éxito” es decir los acontecimientos que deben producirse o las condiciones que deben existir para que la organización pueda alcanzar los objetivos programados.
La consecución de los objetivos operativos se basan en pautas internas y la organización puede desarrollar las actividades como lo tenia planeado, pero puede ser superada por la competencia o puede verse afectada por acontecimientos externos.
El marco integrado de control interno en este aspecto se propone el desarrollo de objetivos y metas coherentes para la organización, la identificación de los factores críticos del éxito y la presentación de información sobre el rendimiento y las expectativas de las operaciones.
2. Riesgos potenciales para la organización
La dirección debe examinar en detalle los riesgos existentes en todos los niveles de la organización y tomar las medidas oportunas y gestionarlos. La identificación y el análisis de los riesgos es un proceso interactivo, continuo y componente fundamental del control interno eficaz gestionado por la dirección. La función de auditoría interna es un apoyo continuo para la identificación y análisis de los riesgos relevantes ubicados en las entidades.
El rendimiento de una organización puede verse afectado tanto por factores internos como externos. El proceso de evaluación debe identificar todos los riesgos importantes que puedan surgir y considerar todas las interacciones significativas (bienes, servicios e información) que se produce entre la organización y terceros actuales o potenciales (suministradores, inversores, acreedores, empleados, usuarios, intermediarios, competidores).
La identificación de riesgos es un proceso integrado en el proceso de planificación y deben ser considerados desde una base cero para proyectarlos.
A manera de ejemplo para la organización los factores externos que generan riesgos potenciales son:
- Los avances tecnológicos que pueden influir en la evolución de los trabajos de investigación y desarrollo o provocar cambios en cuanto a los suministros.
- Las necesidades o expectativas cambiantes de los usuarios que influyen en los servicios o bienes producidos y varias actividades relacionadas.
- Las nuevas normas y reglamentos que obligan a modificar las políticas y estrategias de la organización.
- Los desastres naturales que pueden alterar los sistemas de operación e información y la necesidad de planes de emergencia.
- Los cambios en la economía que pueden incidir en decisiones de desarrollo, financiamiento y reducción de recursos.
Como ejemplos para la organización los factores internos que pueden originar riesgos son los siguientes:
- Las averías en los sistemas informáticos que pueden perjudicar a las operaciones.
- La calidad del personal y los métodos de formación y motivación que pueden influir en el nivel se sensibilización sobre el marco integrado de control interno.
- Los cambios en la autoridad y responsabilidad de los funcionarios que afecta la aplicación de determinados controles.
- La naturaleza y complejidad de las operaciones de la organización y el nivel de acceso del personal a los recursos, puede originar su uso indebido.
- Un consejo de administración o un comité de auditoría débil o ineficaz pueden dar lugar a que se produzcan operaciones discrecionales que afecten en forma negativa los resultados de operación para la organización.
Los riesgos pueden identificarse en relación con las previsiones a corto plazo y con la planificación estratégica a largo plazo. La dirección debe analizar los factores que pueden contribuir a aumentar los riesgos, como: Incumplimiento de los objetivos en períodos pasados; la calidad del personal; los cambios que afecten a la organización como nuevos competidores, normas adicionales y nuevo personal; la dispersión geográfica de las operaciones; la importancia de una actividad específica en relación al conjunto; y, la complejidad de la actividad específica.
La identificación del riesgo a nivel de actividades importantes de la organización como la producción de bienes y de servicios, la distribución de la producción, el mercadeo, el desarrollo de tecnología y el servicio al usuario.
El análisis de los riesgos incluye un proceso relacionado con las definiciones que se tomen en las siguientes fases:
- Estimar la importancia del riesgo. Alto, medio o bajo.
- Evaluar la probabilidad (frecuencia) de que el riesgo se materialice, se produzca o se presente.
- Análisis la situación y establecer la manera como a de gestionarse el riesgo y determinar las medidas que conviene adoptar.
3. Gestiones dirigidas al cambio
Los cambios generados en el contexto en que la organización desarrolla sus actividades hace que el marco integrado de control interno definido al iniciar las operaciones se considere desactualizado. Por tanto, habrá que analizar los cambios operados y tomar las acciones para mejorarlo.
Los procesos de información constituyen la base para identificar los cambios operados en los usuarios, las actividades y las condiciones de operación. El cambio de tecnologías en los procesos de producción, en las normas y reglamentaciones o en instituciones que prestan servicios similares es un punto de referencia.
El impacto potencial de algunos elementos requiere de una atención especial y los principales son:
Cambios en el entorno operacional. Los cambios en el contexto económico, legal y social puede generar riesgos nuevos para la organización.
Nuevo personal. Principalmente en los niveles directivos que no se integren en la filosofía y enfoque de la organización.
Sistemas de información nuevos o modernizados. Los nuevos sistemas deterioran los controles claves que estaban funcionando.
Rápido crecimiento de la organización. El personal y los sistemas se ven sometidos a requerimientos adicionales y los procedimientos de control son menos exigentes.
Tecnologías modernas. Requieren modificaciones en los controles internos, muchos de los cuales se integran en los programas de computación.
Nuevos servicios y actividades. Es necesario adecuar los controles internos a las actividades nuevas y que por lo regular incluirán tecnología moderna para su operación.
Reestructuraciones internas. Ajustes para equilibrar los resultados de operaciones debido a requerimientos de los propietarios. Esto puede degenerar el marco de control interno por las limitaciones de recursos humanos y financieros.
Actividades en el extranjero. Estas operaciones llevan un grado de riesgo mayor, debido a la cultura del país donde se opera, las disposiciones legales y la filosofía de gestión local.
La identificación de los cambios ocurridos o que podrían darse en el corto plazo, discutidos a través de las reuniones formales o informales de los niveles de dirección de la organización, donde se intercambia ideas y se definen los planes para el futuro.
La ubicación de “criterios de alarma” para identificar indicios de nuevos riesgos por una parte y de mecanismos que identifiquen las oportunidades generadas por el entorno en constante evolución. La rapidez en cuanto a la identificación de los cambios es una característica necesaria.
(PIRÁMIDE DE ACTIVIDADES DE CONTROL)
E. Actividades de control para minimizar los riesgos
“Las actividades de control consisten en las políticas y los procedimientos que tienden a asegurar que se cumplen las directrices de la dirección. También tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecución de los objetivos de la entidad. Las actividades de control se llevan a cabo en cualquier parte de la organización, en todos los niveles y en todas sus funciones y ….”
Las actividades de control están constituidas por los procedimientos y normativas que se emiten para implantar las políticas que pretenden asegurar el cumplimiento de los objetivos principales de la organización y las instrucciones emanadas de la dirección con el propósito de controlar los riesgos identificados y que podrían afectar el cumplimiento de dichos objetivos.
Las actividades de control las podríamos dividir en cuatro categorías, si las definimos a base de los objetivos de la organización en relación con los objetivos del control interno y son:
- Eficiencia y eficacia de las operaciones de la organización;
- Confiabilidad de la información financiera y de gestión producida;
- Salvaguarda de los recursos de la organización; y, Cumplimiento de la legislación y reglamentos aplicables.
Algunos tipos de control están relacionados con áreas específicas, principalmente cuando el diseño esta dirigido a las principales actividades de la organización, por ejemplo la preparación de información de gestión sobre la prestación de servicios. En otras ocasiones afectan a diversas actividades en general, por ejemplo la aplicación de indicadores de rendimiento tomando como base los recursos utilizados. Una actividad de control puede afectar a las cuatro categorías señaladas. Los controles operacionales pueden contribuir a la confiabilidad de la información financiera, a la salvaguarda de los recursos institucionales y al cumplimiento de la disposiciones aplicables.
En el ejemplo del hotel, el objetivo de ocupación representado por el 60%, puede ser supervisado a través de los reportes diarios y los acumulados semanales, mensuales o por temporadas, para que la dirección superior pueda tomar acciones oportunas a base de los resultados reales de la operación, verificar el registro de las transacciones en términos monetarios, confirmar que los recursos sean eficientemente utilizados y ratificar la aplicación de las disposiciones sobre las tarifas del hotel y de los impuestos que generan. En resumen, se verifican las cuatro categorías de objetivos señalados.
En todo caso, la categoría de objetivo a que pertenece un tipo determinado de control, carece de importancia en comparación a la función que desempeña en la consecución de los objetivos de una actividad determinada.
Cabe destacar, la existencia de los siguientes tipos de actividades de control que son aplicadas por el personal de la organización en todos los niveles. Se pretende mostrar una gama y variedad de actividades de control, sin llegar a una clasificación específica:
A nivel de diseño para la institución se proponen las siguientes:
1. Análisis de la dirección
Los resultados generados por el componente “información y comunicación” que lo analizaremos a continuación, permite dar seguimiento al comportamiento, cumplimiento y avances logrados, considerando los presupuestos programados, las previsiones de comportamiento financiero, económico y tecnológico; los resultados proyectados a base de las operaciones de años anteriores y la información disponible de los competidores.
Los objetivos primarios de las organizaciones son los que se deben analizar en forma continua y periódica. En el caso del nivel de ocupación de una empresa hotelera puede ser analizada en períodos diferentes a partir de cada día de operación y considerando el comportamiento de las operaciones en relación al objetivo por cada día de la semana. Es conocido que los días viernes, sábados y domingos en los hoteles que están instalados en las ciudades el nivel de ocupación son los más bajos. Si es así la situación, la dirección superior del hotel deberá tomar acciones dirigidas a promover una campaña de mercadeo que atraiga a los potenciales usuarios de las ciudad vecinas mediante programas o paquetes a precios especiales y que incluyan servicios adicionales. Promover hacia el cumplimiento del objetivo del 60% de ocupación en las habitaciones requiere el análisis y seguimiento de la información producida por el área de producción de la organización.
Así mismo, la mejora en los servicios o en los procesos de producción siempre será una iniciativa para que los resultados obtenidos se acerquen a los niveles establecidos en el plan anual de operaciones y de ser posible superar la valoración establecida como objetivo de la entidad.
Los programas de reducción de costos directos o indirectos de producción de bienes o servicios a base del análisis de la información realizada por la dirección superior. Esta información es en términos financieros y se puede compararlas con el presupuesto para el ejercicio fiscal. Los datos financieros más los datos de producción en unidades, juntos permiten un análisis completo de los resultados en diferentes períodos utilizados para hacerlo.
Otras acciones de seguimiento y análisis de la información por parte de la dirección superior se relacionan con el desarrollo y producción de nuevos productos, las operaciones relacionadas con la contratación de actividades de riesgo compartido, la contratación de actividades de ampliación o el desarrollo por administración directa de la propia empresa.
- Proceso de la información.
La disponibilidad de información en el proceso de ejecución de las operaciones de un negocio es fundamental y la participación de niveles de operación es la base para garantizar los datos, obtenerlos en forma oportuna, distribuirlos a todas las unidades relacionadas y de manera fundamental a los niveles directivos, donde se toman las decisiones importantes.
Describir y aplicar el proceso sistematizado para la generación de información relevante sobre el comportamiento de los factores relacionados con los principales objetivos de la organización puede calificarse como la actividad permanente de monitoreo de los objetivos de la empresa, y dará la señal precisa para continuar con las operaciones o cambiar el rumbo de la misma con los ajustes oportunos y sugerencias precisas.
Sobre el proceso de la información para dar seguimiento a los objetivos de la organización varia de acuerdo con el tipo de actividad que desarrolla. A manera de ejemplo, una institución financiera o un banco, el proceso de la información es tan relevante que puede generar complicaciones no controlables debido a un proceso deficiente de información. La razón, es evidente, las instituciones manejan dinero ya sea depositado o retirado por medio de créditos. El proceso de información debe ser por períodos sistematizados, por tiempos menores al día de trabajo y funcionan en cuanto se concreten determinadas condiciones en las operaciones, sea para la entrega o solicitud de dinero para atender las operaciones. Es posible informes de entrega de fondos cada 4 horas.
Para los períodos mayores, uno, dos, tres, seis y doce meses el proceso para la producción de la información será sistematizada, oportuna, preparada a base de las operaciones informadas por las unidades operativas y deben programarse con la debida antelación para garantizar la disponibilidad de la información y la toma de decisiones.
Los funcionarios y empleados que conozcan de situaciones especiales en las operaciones de la organización deberán informar de manera informal, sin esperar la preparación de los informes formales de fines de períodos.
La dirección superior establecerá políticas dirigidas a determinar el proceso de preparación de la información para uso interno y preliminar y para uso externo y definitiva, misma que deberá formalizarse con las firmas de las principales autoridades y servirá para comparar los resultados reales con las previsiones realizadas para el presupuesto en el más alto nivel de la empresa.
3. Indicadores de rendimiento
Los indicadores de rendimiento son establecidos en varios instrumentos formales y de referencia, sin embargo la planificación de las operaciones basada en las experiencias y el estudio de procesos específicos, así como los resultados obtenidos de los informes de operaciones y financieros reales, son la base para la aplicación de acciones correctivas para la obtención de los objetivos de la organización.
Indicadores globales o generales para las empresas y organizaciones que deben darse seguimiento continuo en el proceso a los resultados de las operaciones que generan valor agregado (sustantivas) y los resultados financieros previstos por períodos, áreas de operación, productos y otros aspectos. En el caso de la hotelería, la principal actividad que genera valor agregado es el número de habitaciones vendidas, considerando el nivel programado de ventas, la temporada, el servicio ofrecido y otros, dijimos el 70% de la capacidad instalada. Los indicadores financieros incluyen algunos aspectos adicionales como el precio de venta de las habitaciones de acuerdo a sus características o cualidades, el costo de mantenerlas disponibles al usuario y su acumulación en períodos definidos de tiempo partiendo de un día, que puede ser superior al indicador en operacional de ocupación, pero inferior al beneficio esperado de su utilización por el precio de venta ofrecido. La gerencia requiere por tanto de indicadores más detallados que solamente el volumen de ventas mensuales y el nivel de ocupación logrado, el detalle de la información por períodos cortos permiten identificar las causas del cumplimiento o no de los indicadores propuestos en la planificación.
Para definir las actividades de control importantes que se relacionan con el diseño de los procesos para una actividad específica se consideran los siguientes elementos, a base de la importancia en la calificación del marco integrado de control interno:
4. Disposiciones legales puntuales
El instrumento formal que crea una organización o empresa es la ley o el estatuto de conformación, donde se define en términos globales sus principales objetivos y deben ser la base para las actividades de control programadas y ejecutadas por la alta dirección dirigidas a mitigar los riesgos que podrían presentarse. Este elemento esta relacionado con el objetivo del control interno denominado cumplimiento de las disposiciones legales y reglamentarias, además de la eficacia en las operaciones, la confiabilidad en la información producida y el eficiente uso y salvaguarda de los recursos de la empresa. Vale decir que en términos generales los cuatro objetivos del control interno que se sobreponen entre sí para llegar al objetivo de una organización en su conjunto.
En un nivel menor se establecen los objetivos subyacentes a los primarios o generales que requieren ser identificados y verificados en cuando al cumplimiento esperado en otros niveles de la organización y se pueden tomar acciones correctivas para reorientarlos, así como promover recomendaciones para mejoras.
5. Criterios técnicos de control interno
A nivel de los componentes, factores y actividades relevantes también están definidos varios criterios técnicos para el funcionamiento eficaz del marco integrado de control interno, es decir que cumpla su principal objetivo, el control de las operaciones y los resultados esperados . Este nivel de objetivos debe ser revisados y evaluado su cumplimiento por el nivel encargado de la función de auditoría interna y además mediante la auto evaluación ejecutada por la propia administración.
Criterios técnicos como las soluciones tomadas en las reuniones periódicas del personal para analizar el avance de los objetivos, la conciliación bancaria para determinar las disponibilidades efectivas, la confirmación de saldos de las cuentas por cobrar y las cuentas por pagar para validar los derechos y obligaciones de la empresa, la documentación formal de las operaciones mediante informes escritos periódicos, entre otros, estarán integrados en el marco integrado del control interno.
6. Estándares específicos
Los informes de gestión o de rendimiento establecen los principales contenidos porque son de interés de los usuarios de la información y deben estar incluidos en forma clara y lo suficientemente desglosada. Así mismo, los relacionado con la información financiera proyectada y la efectivamente realizada que requiere cifras comparativas al menos de los dos últimos ejercicios y la presentación de las notas complementarias o explicativas a la información global que incluye.
Existen más estándares específicos propios de las actividades que generan valor agregado a la empresa u organización y estarán incluidos en el diseño de los procedimientos a ser aplicados en la ejecución de las operaciones.
7. Información generada
Las bases históricas de la información producida por la empresa u organización constituye parte relevante de los indicadores incluidos en los presupuestos de las operaciones y en la proyección de los resultados esperados, datos que son fundamentales para la valoración de la empresa y de las acciones que se cotizan en forma abierta en los mercados de valores.
De igual manera sobre las operaciones sustantivas, como en el caso del hotel que un usuario podría comparar la producción obtenida por su empresa en relación al promedio de la ciudad donde opera o al promedio internacional y así, en este segmento, determinar lo acertado de la gestión de la gerencia. Más aplicaciones son factibles en el diseño del marco de control interno, inicialmente para la propia administración y luego para los accionistas, inversionistas, instituciones financieras y proveedores.
8. Rendimientos esperados
La proyección de los rendimientos esperados a base de los resultados estadísticos de los últimos ejercicios y del entorno político, social y económico en que se desempeña la empresa es un indicador importante que se utiliza en varios aspectos. Uno de ellos, dar confianza a los accionistas en el funcionamiento de la organización y obtener una mejor cotización de las acciones a base de los resultados conservadores.
9. Otros criterios de control
En forma paralela a la evaluación de los riesgos, la dirección debe establecer, definir y aplicar un plan de acción para afrontarlos, garantizando así el cumplimiento de los objetivos de la empresa en el tiempo programado o la introducción de los correctivos necesarios.
En el ejemplo del hotel se estableció alcanzar y superar el nivel de ocupación del 60%. El riesgo considerado fue el entorno existente para estas operaciones y la elevada competencia interna. Las acciones previstas estuvieron dirigidas a ejecutar programas especiales para fin de semana y la revisión de las tarifas utilizadas.
Las actividades de control constituyen un mecanismo para asegurar en buena medida el cumplimiento de los objetivos y debería incluir el seguimiento para verificar los niveles de ocupación logrados en forma periódica y compararlos con la programación de la administración. El marco integrado de control interno es un elemento coordinador del proceso de gestión institucional.
F. Información y comunicación para fomentar la transparencia
El componente dinámico del marco integrado de control interno es el denominado información y comunicación, lo que es evidente por su presentación en la pirámide del control interno como las columnas que comunican el ambiente de control en la base y la supervisión en la parte superior, pero comunicándose con la evaluación del riesgo y las actividades de control, tanto al subir la información como al bajar en calidad de comunicación por la supervisión ejercida.
Hemos incorporado una pirámide específica para el componente información y comunicación, donde la información en todos los niveles es su base y llegando a la supervisión en la parte superior. La pirámide es similar a la del MICIL y las dos columnas que integran la base y la cúspide es el principio de la rendición de cuentas como una aplicación efectiva en el funcionamiento de este componente.
Es necesario identificar, recoger y comunicar la información relevante en forma y en plazo que permita a cada funcionario y empleado asumir sus responsabilidades. Los sistemas de información generan informes, recogen información operacional (actividades que generan valor agregado), financiera (estados financieros periódicos) y de cumplimiento (pago de impuestos y otras obligaciones), que posibilitan a la dirección el control de las operaciones y de la organización. Dichos informes contemplan, no solo, los datos generados en forma interna, sino también la información sobre las incidencias, actividades y condiciones externas, necesarias para la toma de decisiones y para formular los informes financieros.
El establecer una comunicación eficaz en el sentido más amplio, que signifique una circulación de la información (formal e informal) en varias direcciones, es decir ascendente, transversal y descendente. La dirección debe transmitir un mensaje claro a todo el personal sobre la importancia de las responsabilidades de cada uno en materia de control. Los empleados deben comprender su papel o rol a desempeñar dentro del marco integrado de control interno, así como la relación existente entre sus actividades propias y de los demás empelados. El personal debe disponer de un sistema para comunicar información importante a los niveles superiores de la empresa. Así mismo, es necesaria la comunicación eficaz con terceros, tales como los usuarios (clientes), los proveedores, los organismos de control y los propietarios (accionistas).”
El diseño del marco integrado de control interno requiere que las organizaciones produzcan información relevante, operacional, administrativa, financiera y estadística sobre las actividades internas y relacionadas con los acontecimientos externos.
La comunicación de la información producida debe ser relevante para la organización y llegar oportunamente a los funcionarios y empleados que la necesiten y utilicen, para permitir el cumplimiento de sus responsabilidades u otras funciones de validación.
La revisión, documentación, registro, información y validación de las operaciones son tareas ejecutadas por el personal al interior de la organización y se refieren a las transacciones (compra y venta de bienes y servicios) y las operaciones (producción o prestación de bienes y servicios).
El marco integrado de control interno incluye las actividades relacionadas con la gestión administrativa (gerencial) y financiera (procesos de registro y control financiero) que procesan las operaciones en lo relacionado a la validación, documentación, registro, información y validación sea en medios informáticos, en forma manual o una combinación de los dos).
La información considerada en el marco integrado incluye un campo más amplio de lo que sucede al interior de la organización, incorporando datos y registros sobre los hechos externos a la empresa, como las condiciones económicas en que se desarrolla, los cambios en la demanda de los bienes o servicios que produce, la información sobre los bienes y servicios necesarios para el proceso de producción, la investigación del mercado en que se desarrolla, las exigencias de los clientes o usuarios, el desarrollo de productos o servicios por la competencia y las iniciativas de leyes y normativas propuestas en relación a las actividades de la empresa.
La calidad de la información generada por la empresa afecta la capacidad de la gerencia y de los mandos medios para tomar decisiones adecuadas al administrar la organización. Lo óptimo es disponer de tecnología de la información que permita la consulta en línea y por tanto actualizada en todo momento.
Los informes deben contener datos relevantes para posibilitar la gestión eficaz de la gerencia y su calidad cumplir los siguientes atributos:
- Cantidad suficiente para la toma de decisiones.
- Información disponible en tiempo oportuno.
- Datos actualizados y corresponden a fechas recientes.
- Datos incluidos son correctos.
- La información es obtenible fácilmente por las personas autorizadas.
Los principales factores que conforman el componente información y comunicación son:
1. Información en todos los niveles
La información relevante como resultado de las operaciones que generan valor agregado, de la gestión y de las finanzas que se produce periódicamente es necesario que sea difundida en forma estructurada a los niveles responsables de las unidades de producción y administración y luego sea diseminada al resto del personal bajo su dirección.
El conocimiento de los resultados de la gestión formalizados en la información generada en las diferentes unidades y consolidada para uso de la dirección superior en todos los niveles de la empresa sensibiliza al personal en la necesidad de contribuir para el mejor cumplimiento de los objetivos de sus unidades de operación y en forma acumulada los objetivos de la organización.
La información sobre los resultados periódicos obtenidos por las unidades de operación de una empresa es importante comunicar al personal para lograr su apoyo, ya que es el recurso más importante para el funcionamiento del marco integrado de control interno y la consecución de los objetivos de la unidad y de la institución.
La información periódica al máximo nivel de supervisión institucional requiere varias características y cualidades que permitan evaluar en forma detallada los puntos de control para identificar los riesgos relevantes y promover las acciones de control efectivas a ser aplicadas por la administración o la gerencia de la empresa. En muchos casos la información generada para este nivel jerárquico requiere su aprobación formal y por tanto un conocimiento y análisis profundo de los resultados obtenidos.
Documentar las acciones generadas a partir de la información recibida, analizada y aprobada en los diferentes niveles de la organización es un requerimiento importante del marco integrado, ya que posibilita la reorientación y mejor utilización de los recursos de la empresa.
2. Datos fundamentales en los estados financieros
Elemento principal del componente información y comunicación y el medio más conocido y divulgado para la presentación de los resultados de operación de una organización son los estados financieros. No obstante, la información integrada en dichos documentos puede tener diferentes estructuras y contenidos que la hacen incompleta, a pesar de ser extensos y adjuntar información de detalle.
Los estados financieros básicos de una empresa se preparan por períodos mensuales, trimestrales, semestrales y anuales. Estos presentan información diferente, pues los mensuales no incluyen los registros de operaciones relacionadas con valuaciones que se realizan en periodos mayores.
Los informes financieros trimestrales y semestrales acumulan la información del período, pero al igual que los mensuales las valuaciones no incluyen a todas las operaciones y por tanto no contiene toda la información que permita un análisis de los resultados sobre bases concretas.
La información financiera por el ejercicio anual de operaciones requiere una serie de características técnica que lo hacen completo y se basa en las afirmaciones que la administración conoce y asume la responsabilidad sobre su contenido e incluye las firmas de los principales funcionarios, el Gerente o Presidente Ejecutivo, el Director o Gerente Financiero y el Contador General de la organización, así como el lugar y la fecha en que fue preparado.
Entre los requerimientos técnicos se requiere de los cuatro estados financieros preparados en forma comparativa con los del año anterior, incluyen todos los ajustes conocidos y los resultados presentados son reales. La inclusión de las notas explicativas a los estados financieros que incluyan las políticas y métodos de registro utilizados, así como el desglose de la información relevante de interés a los usuarios internos y externos.
La difusión pública de los estados financieros anuales es una condición para fomentar la transparencia en la presentación de la información y los resultados obtenidos por las empresa y los organismos.
3. Herramienta para la supervisión
Principal objetivo de la información y la comunicación de los resultados obtenidos por la organización es constituirse en una herramienta práctica, detallada, confiable y oportuna para aplicar la función de supervisión en los diferentes niveles de un organismo.
Existen varios niveles en los que se aplica la información como la principal herramienta de supervisión, ya que es la pauta para conocer en forma acumulada los niveles de producción logrados y la utilización de los recursos de la organización.
Hace unos días se verificaban las operaciones de una municipalidad pequeña donde se emiten boletos para controlar el uso de los servicios públicos de parqueo y uso de los sanitarios públicos, actividades para las cuales están designados a tiempo completo dos empleados de planta. Revisando los informes de ingreso por estas actividades no cubren las erogaciones que por salarios y compensaciones reciben los empleados. Utilizando la información como herramienta de supervisión es evidente la necesidad de incrementar los ingresos por los servicios prestados o la necesidad de proponer y aplicar una concesión del servicio para que se convierta en una actividad que produce mayores recursos comparativamente con la inversión realizada en infraestructura, el pago de las remuneraciones al personal de la municipalidad y el manejo de los boletos emitidos para el cobro por la prestación del servicio.
Actualmente la compilación de información que recoge datos sobre el nivel de satisfacción de los usuarios o clientes permitirá identificar la venta de productos por zonas, la incorporación y pérdida de clientes o usuarios, la aplicación de garantías solicitadas, las quejas y comentarios, entre otras. Estos datos luego de su análisis permitirán tomar algunas orientaciones para el mejor funcionamiento del organismo.
La información es por tanto una herramienta fundamental para la supervisón aplicada por los niveles directivos superiores e intermedios para apoyar en el cumplimiento de los objetivos programados y en la generación de acciones que permitan controlar los riesgos que se presentan en el cumplimiento de los objetivos de la organización.
4. Información adicional y detallada
Información sobre el comportamiento de las operaciones realizadas para su integración en bases de datos estadísticos que permitan analizar las relaciones con el ámbito de cobertura de las operaciones, las variaciones en el número de clientes o usuarios, variaciones en el número de personal de la empresa, la distribución del personal en unidades de operación y de apoyo, entre otra, son elementos adicionales a la información considerada en los puntos anteriores.
El informe anual de la gestión preparado por la Gerencia o Dirección Ejecutiva de la empresa incorpora la información detallada sobre las actividades programadas y ejecutadas por todas las unidades operativas importantes y por lo general en períodos anuales.
La información detallada que sirve de base para la preparación de los informes compilados o consolidados se maneja en los niveles de operación y es importante que sean compartidas con las unidades relacionadas.
5. Comunicando por los objetivos de la organización
La comunicación es una actividad totalmente relacionada con la entrega de información importante para la ejecución de las operaciones en una organización. La información generada en diferentes niveles de operación debe dirigirse a los funcionarios con responsabilidades operacionales relacionadas, que requieren de información financiera y no financiera.
De manera similar, debe existir comunicación amplia que incluya las expectativas y responsabilidades de las personas y de los grupos relacionados con los objetivos de la empresa.
- La comunicación interna:
El mensaje de la gerencia sobre el conocimiento del marco integrado de control interno es importante para que los funcionarios y empleados tomen con la seriedad del caso los criterios de control interno, sobre todo a partir de una posible participación en el proceso de auto evaluación del marco a nivel de la organización y potencialmente de la actividad en que esté vinculado en forma directa.
La información y datos necesarios para ejecutar las actividades de todo el personal, especialmente el relacionado con las actividades que generan valor añadido o la gestión de explotación y de los procesos de control financiero, deben recibir el mensaje claro de la gerencia para aplicar los criterios de control interno.
El personal de la empresa debe conocer que cuando se presente una condición o incidencia es conveniente prestar atención a la causa que lo ocasiona. De esta manera se identifica la deficiencia potencial tomando las medidas para evitar que se repita. A manera de ejemplo, la identificación de mercaderías no comerciables por su estado, deberá orientarse a identificar la causa de esta situación, en lugar de solo promover el registro de una provisión para justificar la situación.
La disponibilidad de un mecanismo para comunicar información relevante a los niveles directivos debe establecerse. El personal encargado de manejar las operaciones sustantivos o que generan valor están capacitados para reconocer los problemas cuando estos se producen y por tanto pueden informar de manera oportuna y a base de datos precisos y exactos. Para que la información llegue a los niveles superiores deben establecerse líneas de comunicación abiertas y la disponibilidad de escuchar por parte de los directivos.
Debe existir un mensaje claro para animar al personal a informar sobre los incumplimientos del código de conducta de la organización a manera de un control preventivo.
La comunicación entre la dirección ejecutiva y el consejo de administración y otros comités constituidos es importante. La dirección informará de manera continua sobre la rentabilidad, desarrollos en proceso, riesgos identificados, iniciativas importantes y otros aspectos relevantes. Con la información disponible el Consejo actuará de manera más eficaz en su función de supervisión y constituyéndose en un foro para el debate de asuntos importantes y entregando asesoría para resolver temas relevantes.
El Consejo de Administración debe establecer los requerimientos mínimos de información en tiempo y forma que deben ser cubiertos por la dirección ejecutiva de la empresa.
- La comunicación externa:
La comunicación abierta a los clientes de los bienes y servicios y a los proveedores de bienes y servicios pueden aportar información de valor sobre el diseño y la calidad de los productos y servicios que produce la empresa, posibilitando la respuesta oportuna a los cambios en las exigencias y preferencias de los clientes. La comunicación de las reglas para el comportamiento que se espera de los proveedores y el intercambio de información sobre el comportamiento esperado en las relaciones de negocios.
Los organismos de supervisión, como las instituciones financieras o de seguros producen información sobre las inspecciones realizadas y son fuentes de información independiente que permiten fortalecer en algunos casos los criterios de control establecidos en la empresa.
Las quejas o consultas que se reciben sobre los servicios o los productos negociados en muchos casos revelan la existencia de problemas en las operaciones, que deben ser revisadas por los empleados independientes de las operaciones iniciales.
La comunicación con accionistas, organismos de control, analista financieros y otras personas incluirá información de acuerdo con sus requerimientos de manera que puedan comprender el entorno de las actividades y los riesgos que asume la empresa. La información debe ser relevante, pertinente y oportunas con referencia a los requerimientos legales aplicables.
La comunicación abierta entre la dirección ejecutiva y los usuarios o interlocutores externos, realizada en forma abierta y sincera permite transmitir el mensaje en todos los ámbitos de la organización.
(PIRÁMIDE DE LA SUPERVISIÓN)
G. Supervisión interna continua y externa periódica
“Resulta necesario realizar una supervisión de los sistemas de control interno, evaluando la calidad de su rendimiento. Dicho seguimiento tomará la forma de actividades de supervisión continuada, de evaluaciones periódicas o una combinación de las anteriores. La supervisión continuada se inscribe en el marco de las actividades corrientes y comprende unos controles regulares efectuados por la dirección, así como determinadas tareas que realiza el personal en el cumplimiento de sus funciones. El alcance y la frecuencia de las evaluaciones puntuales se determinarán principalmente en función de una evaluación de riesgos y de la eficacia de los procedimientos de supervisión continuada.
Las deficiencias en el sistema de control interno, en su caso, deberán ser puestas en conocimiento de la gerencia y los asuntos de importancia serán comunicados al primer nivel directivo y al consejo de administración.”
El marco integrado de control interno diseñado y aplicado en la ejecución de las operaciones de una organización evolucionan con el paso del tiempo y de igual manera los cambios en los métodos para ejecutar las operaciones. Procedimientos que fueron eficaces en un determinado momento, pueden perder su eficacia o simplemente dejan de aplicarse por ser innecesarios, sin que se introduzcan los mecanismos de reemplazo requeridos.
Varias causas se pueden señalar para que el marco integrado de control interno pierda vigencia al apoyar el cumplimiento de los cuatro objetivos incluidos en su definición. Por esto la dirección de la entidad deberá determinar si el control interno es adecuado en todo momento y es capaz de asimilar los nuevos riesgos que se presentan para el cumplimiento de los objetivos de la organización.
El componente de control interno denominado supervisión permite evaluar si este continua funcionando de manera adecuada o es necesario introducir cambios. El proceso de supervisión comprende la evaluación, por los niveles adecuados, sobre el diseño, funcionamiento y manera como se adoptan las medidas para actualizarlo o corregirlo.
La supervisión se aplica a todas las actividades importantes de la entidad (clasificadas en las que generan valor agregado, de infraestructura, de gestión y de procesos financieros) incluso en el caso de servicios externos contratados.
Las operaciones de supervisión como componente del marco integrado de control interno se concreta en los siguientes factores:
1. Monitoreo continuo por la administración
El proceso de ejecución de las operaciones incluye una serie de actividades que permiten validar las operaciones, tales como las comparaciones, las autorizaciones, las conciliaciones y otras tareas de rutina que dan seguimiento a los controles internos diseñados y aplicados.
Varios ejemplos de la supervisión aplicada en el proceso de ejecución de las operaciones se pueden señalar a continuación:
La conciliación de la información generada en las unidades de producción y los datos financieros producidos en el área financiera, con el fin de comprobar que los cargos a los diferentes procesos o lotes de producción son correctos. La disponibilidad de información financiera completa y oportuna es el requerimiento que permite este procedimiento y ajustar las diferencias identificadas, de ser el caso.
La información recibida de terceros que confirman la información generada en la organización y que señalen diferencias en las operaciones aplicadas y por tanto en los saldos pendientes de liquidación y pago. Los reclamos en la facturación por venta de servicios o productos identifican la existencia de deficiencias en el proceso de facturación o incluso en la entrega de las facturas. De igual manera, las entidades públicas pueden intercambiar información y puntos de vista respecto al cumplimiento de las disposiciones legales y otros temas relacionados con el control interno.
Una estructura organizativa racional que incluya las actividades de supervisión apropiadas permiten comprobar que las funciones de control se ejecutan y en caso de deficiencias importantes sean identificadas. La segregación de funciones es una forma de disuadir el interés por el fraude, ya que hace evidente las actividades sospechosas.
Los eventos de capacitación, las sesiones de planificación y otras reuniones permiten a la dirección obtener información importante sobre la eficacia de los controles internos.
Una declaración periódica del personal sobre en conocimiento y cumplimiento del código de conducta es una práctica recomendada y parte del componente supervisión en el marco del control interno.
2. Seguimiento interno
Las evaluaciones del control interno ejecutadas por la Dirección Ejecutiva de Auditoría Interna (DEAI) varían según la magnitud del riesgo a ser controlado y la importancia de los controles requeridos para reducir los riesgos. Los requerimientos de evaluación son fundamentados en el análisis de los riesgos de la empresa para el cumplimiento de sus objetivos primarios, considerando los elementos de alarma temprana incorporados en la información producida y los indicadores de referencia establecidos.
Generalmente la evaluación del control interno estará dirigida a las actividades importantes que presenten riesgos en cuanto a la obtención de los objetivos primarios de la organización y que pueden ser evaluados en el marco integrado del control interno a partir de la evaluación de sus componentes e identificar los factores susceptibles de mejora con efecto directo en la administración de los riesgos relacionados. El proceso de auto evaluación del control interno es una herramienta que se sugiere aplicar para el seguimiento interno en la organización, que se describe en detalle en el capítulo XX.
La evaluación de todo el marco integrado de control interno podría estar motivada por cambios importantes en la estrategia o la gerencia, adquisiciones o enajenaciones importantes, modificaciones relevantes en la producción o en los métodos para el registro y la información financiera. En este caso, la evaluación deberá centrarse en cada componente del control interno relacionados con todas las actividades importantes. Finalmente, dependerá de cuales de las cuatro categorías de objetivos del control interno que se enfocarán.
3. Evaluaciones externas
El diseño del control interno incorpora las evaluaciones externas realizadas en forma periódica como parte de la auditoría a los estados financieros anuales u otro tipo de evaluación que se programe o se contrate para la empresa.
La evaluación del control interno como parte de una auditoría externa toma como base los procedimientos aplicados por la administración de la empresa, por lo tanto, en casos puede estar dirigida básicamente a la validación de los procesos aplicados en el seguimiento interno. Lo anterior, hace evidente la necesidad de mantener la documentación que evidencia el proceso, los criterios utilizados, la integración de la muestra del personal que participó en la auto evaluación y los informes resultantes del trabajo desarrollado.
La evaluación del marco integrado del control interno como parte de la auditoría financiera es nuevo y está en proceso de implantación, mucho más debido a que el procedimiento también es reciente para las direcciones de auditoría interna de las organizaciones.
- LIMITACIONES, RESPONSABILIDAD Y LOS CONTROLES SUAVES
A. Limitaciones para el diseño y aplicación del MICIL
El sistema de control interno integrado, por muy bueno que sea su diseño y funcionamiento, solo es capaz de proporcionar una seguridad razonable a la dirección y al consejo de administración respecto a la obtención de los objetivos de la organización.
Las posibilidades de lograr los cuatro objetivos definidos para el control interno y que podríamos asignarlos a la organización, están disminuidas por las limitaciones inherentes al propio control interno como juicios errados en la toma de decisiones, disfunciones por fallas humanas o errores o desconocimiento de las disposiciones legales relacionadas. De otra parte, dos o más personas pueden ponerse de acuerdo para burlar los controles, la dirección siempre tiene la posibilidad de eludir los controles y debe considerarse los costos del control en relación a los beneficios esperados.
El diseño y la aplicación del control interno siempre tendrá limitaciones para proporcionar una seguridad absoluta en relación a los objetivos incluidos en la definición del control interno, considerando las siguientes condiciones.
1. Juicio individual del personal
Los errores humanos en la toma de decisiones en los diferentes niveles de la organización es posible que se presenten, por tanto la eficacia de los controles es limitada. Las decisiones se basan en el buen juicio de las personas, dentro de límites establecidos en forma temporal, a base de la información disponible en ese momento y bajo las condiciones de presión que presente la actividad.
Observadas posteriormente se puede concluir en que los resultados obtenidos sean menores a los deseados o programados y por tal motivo es necesario introducir actualizaciones o modificaciones al diseño anterior.
- Funcionamiento errado de los controles.
Los controles internos pueden fallar a pesar de estar adecuadamente diseñados e implantados. Es posible que el personal comprenda en forma errada las instrucciones. Otra manera de cometer errores es debido a la dejadez, la fatiga o la falta de concentración en las actividades ejecutadas.
El funcionario encargado de supervisar las actividades e investigar las excepciones a las operaciones del área, puede olvidarse y dejar de investigar para adoptar las medidas correctivas necesarias.
Los cambios en los procedimientos antes de entrenar al personal encargado de la actividad para que reaccione en forma oportuna ante los indicios de un funcionamiento incorrecto del sistema. Un ejemplo: el formato para la presentación de los reportes de producción cambiaron los códigos de identificación de los productos y existe personal que lo está preparando con el formato anterior, lo que dificultará las posibilidades de compilación de los datos y la preparación de los informes relacionados.
3. Omisión de los controles por la dirección
Las personas hacen funcionar el marco integrado de control interno y sin duda no puede ser más eficaz que ellas. Incluyendo a las entidades que tienen un ambiente de control y de trabajo sobresaliente, con elevados niveles de integridad y de sensibilidad y apoyo a los controles, siempre existe la posibilidad que el directivo eluda o trate de pasar por alto los criterios de control interno instalados. Muchos ejemplos, son conocidos en estos tiempos con los problemas que tienen las empresas más importantes, que disponen de controles internos sólidos y muy bien diseñados, pero la presencia de intereses individuales han ocasionado problemas muy serios en los mercados de valores calificados, generando pérdidas incalculables a muchos ciudadanos que invirtieron confiando en la solidez del control interno que presentaban las empresas que estaban registradas en la Bolsa de Valores. Worldcom, Enron, Tyco, entre otras, han presentado problemas de control interno relacionados con la integridad, los valores y la ética de los directores, funcionarios y empleados que conociendo los problemas guardaron silencio y permitieron que el daño llegue a muchas personas que creyeron en el sistema.
La elusión de los controles por la dirección se emplea en el sentido de que se omiten las políticas y procedimientos establecidos con finalidades ilegítimas, con el fin de obtener lucro personal, mejorar la presentación de la información financiera, o disimular el incumplimiento de disposiciones legales. La elusión incluye prácticas como la falsificación deliberada de información ante bancos, abogados, financieros y proveedores, así como la emisión intencionada de documentos falsos como órdenes de compra y facturas de venta.
Las intervenciones (actividad diferente) de la dirección se efectúan en forma directa y tienen su correspondiente soporte documental o se comunica al personal adecuado de la organización, mientras que la elusión normalmente no se documenta ni se comunica, en un claro intento de encubrir los hechos.
4. Colusión del personal
La colusión de dos o más personas provoca fallos en el marco integrado de control interno. El caso se refiere a las personas que actúan en forma colectiva para cometer y encubrir un acto, distorsionar los datos financieros y otra información de gestión y pueden alterarse de modo que no sea identificable por el control interno. Por ejemplo, un funcionario que aplica un control importante puede confabularse con el cliente, proveedor u otro empleado para obtener beneficios personales. Otro caso, varios estratos de la gerencia comercial pueden confabularse para presentar resultados que cumplan con las perspectivas del presupuesto y los objetivos como base para obtener incentivos importantes y adicionales para la dirección.
- Relación del costo del control comparada con los beneficios.
En general los recursos disponibles son escasos y por este motivo las empresas y organismos deben analizar los costos que se insumen en el establecimiento del control en relación a los beneficios esperados de su implantación. Se debe considerar tanto el riesgo de fracaso como el posible efecto en la empresa junto a los costos de implantación de los nuevos procedimientos de control.
Por ejemplo, resultaría poco rentable implantar un sistema sofisticado de control de inventario de materia prima, si el costo de la materia prima no es significativo, la materia prima no es perecedera, existen posibilidades de un suministro continuo y oportuno, además se dispone de suficiente espacio para almacenarla.
La relación costo beneficio se vuelve mas compleja cuando existen relaciones entre los controles y las actividades. En el caso de los controles integrados o incorporados en los procesos de gestión y del negocio, por lo tanto es difícil aislar los costes y los beneficios correspondientes.
Un control excesivo resulta costoso, contraproducente y poco aplicable. Un cliente acostumbrado a realizar sus pedidos por teléfono pondrá resistencia a procedimientos de aceptación de pedidos que sean largos. De manera similar, un banco que obliga a los potenciales prestatarios con un buen historial de crédito a presentar información financiera y de gestión compleja, tendrá dificultades para obtener nuevos clientes. Por otra parte la ausencia de control supone el riesgo de morosidad elevada y dificultades de recuperación de la cartera. Por lo tanto, es necesario encontrar un equilibrio adecuado en un ambiente sujeto a mucha competencia.
A pesar de las dificultades se podrán tomar decisiones basadas en la relación costo beneficio, como es el caso de disponer o no la función de auditoría interna en las empresas que cumplen determinados indicadores básicos para llegar a una relación costo beneficio adecuada.
B. Responsabilidad por el diseño y aplicación del MICIL
Todo el personal de las organizaciones tienen responsabilidades que cumplir en relación al diseño y aplicación de los controles internos.
La dirección superior y, en primer lugar, el titular, presidente o director general tiene la responsabilidad principal sobre el diseño, la implantación y mantenimiento del control interno de la institución y por tanto, deberá preocuparse de que funcione e forma adecuada.
Los directores intermedios relacionados con las operaciones, la administración y las finanzas son la clave respecto a la manera como la dirección superior ejerce el control, principalmente al considerar que cada uno tiene autoridad y responsabilidad para ejercer el control interno en el ámbito de sus unidades operativas.
El consejo de administración tiene la responsabilidad de definir las políticas relacionadas con las operaciones de la entidad y que afectan al diseño y funcionamiento del control interno. Por otra parte, el consejo tiene autoridad para supervisar el funcionamiento del control interno y en general el cumplimiento de los objetivos de la organización, para esto dispone de un Comité de Auditoría y una Dirección Ejecutiva de Auditoría Interna (DEAI), que evalúa en forma continua el funcionamiento del control interno e informa los resultados importantes a dicho Comité para la toma de decisiones.
La auditoría externa también evalúa el control interno y contribuye a validar su efectividad basado en los resultados obtenidos de las evaluaciones aplicadas por la auditoria interna y las auto evaluaciones aplicadas por la administración. Cabe destacar que los auditores externos no tienen responsabilidad sobre el control interno de la organización.
Todo el personal de la organización tiene autoridad y es responsable de aplicar los controles internos diseñados e implantados, debiendo informar de manera formal al funcionario superior respecto a las limitaciones que se presente en la aplicación de las actividades de control establecidas.
- Qué son los controles suaves?
Los controles suaves de control interno están relacionados con las actividades y tareas ejecutadas en el trámite de una o varias operaciones y que no están formalizados por escrito. Generalmente son prácticas que permiten el conocimiento, difusión, aplicación y participación en las actividades de la empresa. A manera de ejemplos: Las reuniones mensuales que organiza y ejecuta la gerencia para conocer el avance de los principales objetivos de la unidad y la determinación de las acciones requeridas para mejorar el alcance de los objetivos principales. Otro control suave es la difusión progresiva de los criterios relacionados con los controles formales, así como la aplicación permanente de las reglas y procedimientos.
Un control suave a incluir en el diseño e implantación del marco integrado de control interno, a más de su definición formal de los documentos promulgados, constituye la difusión entre los usuarios directos para que impulsen su aplicación al momento de ser participar en la ejecución de las operaciones.
Cada unidad administrativa de una empresa puede definir varios criterios dirigidos a que los controles suaves se vayan incorporando al documento que incluye los documentos formales de control interno. Un control suave también pueden considerarse a los criterios técnicos utilizados como referencia para la ejecución efectiva de las operaciones, a manera de un benchmarking.
- Cómo aplicar y evaluar los controles suaves?
El diseño del control interno integrado debe considerar la implantación de los criterios relacionados con la difusión, entrenamiento, actualización y discusión constante entre el personal encargado de los procesos de producción, apoyo, gestión y control de gestión.
La preparación de manuales de procedimientos y formularios a ser utilizados en el procesamiento de las operaciones y transacciones es un paso importante. Sin embargo, como señalamos en la introducción el control interno integrado es mucho más que los manuales. Un elemento fundamental es el personal de la organización. El personal debe participar ampliamente en el diseño de los controles internos utilizando su experiencia para definir los aspectos más relevantes.
Para la aplicación, implantación o funcionamiento del control interno integrado el personal debe estar convencido de las ventajas de los procedimientos a ser implantados y para esto es necesario entrenarlos, demostrar las ventajas para la organización y para el empleado, la revisión periódica para mejorarlo, el evaluar los conocimientos del personal que participan las actividades y otras adicionales, para que los aspectos no establecidos formalmente, se desarrollen a manera de controles suaves para actualizarlos en el funcionamiento de la organización.
Los controles suaves están constituidos por las acciones relacionadas con el apoyo del personal para la difusión, actualización, aplicación, generación de sugerencias para mejoras y otras formas de colaboración dirigidas al logro de los objetivos institucionales.
Desde el punto de vista de la evaluación del control interno, los controles suaves estarián dirigidos a que los procedimientos definidos por la organización vayan un poco más halla de la existencia de los controles fuertes como son la existencia de manuales de procedimientos, llegando a comprobar su aplicación real, el conocimiento por parte de los usuarios directos, la difusión hacia terceras personas relacionadas y el conocimiento de la dirección superior de la organización.
- Qué normar y que evaluar?
Es evidente que el Marco Integrado de Control Interno Latinoamericano (MICIL) establece los criterios fundamentales para estructurar el control interno de una empresa, organismo o entidad, considerando el contexto en que desarrolla sus actividades y la manera como se estructura la organización a base de los criterios de la calidad total.
En el ambiente de control establece los criterios fundamentales referidos a los siguientes factores:
Valores, Código de Conducta y Transparencia en las operaciones y en la actuación del personal de la organización, dentro de este factor todas los dispositivos relacionados a partir de su estatuto de creación y las leyes y reglamentos relacionados con el tema.
Estructura organizativa a base de las establecido en el estatuto o ley de creación y definida en un manual de organización y funciones o el reglamento interno del organismo. El establecimiento de los niveles jerárquicos y las principales funciones, autoridad, relaciones, responsabilidades, dependencia y productos o servicios generados. La autoridad asignada en las disposiciones de creación de la entidad y las responsabilidades asumidas se incluirán en este documento.
Administración del principal recurso de las organizaciones, su personal. De manera similar atendiendo los dispositivos legales la organización debe preparar un documento formal que establezca los criterios fundamentales para la administración del recurso humano incluyendo todo el proceso a partir del reclutamiento y llegando hasta la evaluación del desempeño individual y la productividad alcanzada.
El estilo de gestión de la dirección tomará como base la autoridad asignada y las responsabilidades asumidas para definir la política relacionada con la estrategia para administrar los recursos de la organización. El estilo de dirección estará relacionado con la dinámica en el ejercicio de la autoridad y el cumplimiento de las responsabilidades a base de los criterios técnicos y administrativos definidos de manera formal. El apoyo a las actividades de gestión y control de los recursos en todos los niveles es importante para orientar los esfuerzos de los recursos humanos, materiales, financieros y tecnológicos.
La competencia profesional del personal de la organización, ahora conocido como el capital del conocimiento, es importante y nace de la administración efectiva del recurso humano más la eficacia, especialización y superación del personal que periódicamente evaluado en cuanto a la producción efectiva y al hacer propios los objetivos de la entidad, genera valores positivos y mejores niveles de producción. La normativa es parte de la administración del personal o del recurso humano.
La rendición de cuentas o la responsabilidad de los funcionarios y empleados de una organización de informar sobre la utilización efectiva y eficiente de los recursos disponibles para el ejercicio de sus funciones y los resultados obtenidos a base de la planificación previamente elaborada. La producción de informes periódicos y la comunicación efectiva de los resultados alcanzados es la manera como se promueve la rendición de cuentas y se fomenta la transparencia en el manejo de las operaciones autorizadas y la responsabilidad por la utilización de los recursos.
El funcionamiento eficiente y efectivo de la Junta o Consejo Directivo de la empresa al orientar a la gerencia a través de las políticas que encausen su funcionamiento a base de los informes que se generan con la rendición de cuentas que enlaza la base del componente ambiente de control valores, integridad y ética. Además se constituya en un nivel proactivo para supervisar en forma oportuna los resultados de las operaciones con el apoyo de los Comités que considere necesarios de acuerdo al tamaño de la organización y al apoyo de la función de auditoría interna para evaluar de manera continua el funcionamiento del marco integrado de control interno de la empresa. La Junta Directiva de las organizaciones o corporaciones es el nivel máximo de autoridad de la empresa como una representación de los accionistas que son los propietarios de la empresa y que se reúnen cada año en forma ordinaria para conocer los principales resultados obtenidos por la empresa presentados por la gerencia y tomar las decisiones respecto a su aprobación y otras sobre la distribución de utilidades, el incrementar el capital, el contratar la firma de auditoría externa y otros temas de importancia para la operación del organismo.
Respecto a los otros componentes del control interno, la necesidad de normas estarían relacionadas con la planificación de operaciones anual y la determinación de los riesgos potenciales y las actividades de control necesarias para evitarlos. Los informes periódicos y oportunos de todas las áreas de operación que permitirán mantener controlados los indicadores mínimos de rendimiento y generar acciones que eliminen o minimicen los riesgos de incumplimiento de los objetivos de la organización.
Los reportes e informes llegan directamente a la Junta Directiva o a través de los comités conformados para que los resultados sean analizados y en casos aprobados. El producto de los análisis es importante ya que generarán políticas e instrucciones para la operación eficiente y efectiva de la organización.
VI. EL MODELO GENERICO EMPRESA Y CLASIFICACION DE LAS ACTIVIDADES DE UNA ORGANIZACIÓN
El desarrollo de modelos ha constituido el elemento fundamental para la definición y aplicación de criterios o estándares técnicos a través de los cuales se sistematizarían las actividades, procesos y productos relacionados. Ejemplos de este tipo de modelos constituyen los Principios de Contabilidad Generalmente Aceptados (PCGA) y las Normas de Auditoría Generalmente Aceptadas (NAGA), entre otros, tema que se ha tratado de aplicar en otras profesiones o disciplinas, sin llegar al nivel de aceptación que han logrado estos criterios técnicos.
En algunas áreas se han desarrollado criterios referidos a la economía de los países, tomando como base información referida al producto interno bruto (PIB), la balanza de pagos y otros aplicables a los países, los gobiernos estatales o las municipalidades y aplicar el análisis financiero y económico respectivo. En dicho entorno económico operan las empresas privadas y las instituciones públicas y, por tanto, puede señalarse que son criterios aceptados en forma general. Se ha llegado a definir un porcentaje del PIB como el déficit presupuestario manejable para el Gobierno o aceptable para el país. Similar situación se maneja con la balanza de pagos, cuando se dice que debe ser positiva, cuando las exportaciones son mayores que las importaciones.
En el área administrativa también se ha intentado definir principios generales que son enunciados conceptuales, sin haber llegado a la característica de aceptación general.
En esta misma área, los requerimientos para la contratación y adquisición de bienes y servicios ha venido aplicándose una serie de pasos que en la práctica han sido aceptados para cumplir y completar el proceso, como son los términos de referencia, el número mínimo de participantes para un concurso, la evaluación de las ofertas, la conformación del comité de adquisiciones y muchos más, los que se aplican en forma continua basados en el monto de la adquisición.
En resumen, el modelo genérico de organización o de negocio que se propone esta referido a las empresas comerciales e industriales, no obstante es aplicable a todo tipo de organización que produce servicios y los comercializan, igual a las entidades públicas y organismos de la sociedad civil que prestan servicios a la comunidad.
Definir un modelo genérico de organización, como el incluido en el informe COSO sobre los nuevos conceptos de control interno y que es aceptado ampliamente, constituye uno de nuestros principales objetivos para proyectar la importancia de los controles en cada entidad o empresa, tomando como referencia las actividades del entorno en que se desenvuelve la organización y las actividades que generan valor añadido a la empresa.
- Clasificación de las actividades que realizan las organizaciones.
En el funcionamiento de un país existe una diversidad amplia de empresas, entidades y organismos que realizan sus actividades a base de una estructura legal, reglamentaria y normativa que identifica diferentes clases de empresas por la conformación de su capital y de los accionistas, por las actividades que desarrollan, por el sector en el cual de desenvuelven, por la orientación social que poseen y otras de menor importancia.
En todos los casos las organizaciones realizan actividades que se clasifican por el propósito u objetivo básico de las mismas y que se establece en el estatuto o en la ley de creación. Una lista resumida de las empresas es la siguiente:
- Dedicadas al comercio mediante la compra y venta de bienes,
- Fabricación de los productos que se expende mediante los canales de distribución establecidos,
- Producen servicios y los comercializan en forma directa a los usuarios finales,
- Ofrecen servicios profesionales especializados en varias disciplinas,
- Entidades u organismos públicos creados para la prestación de servicios producidos de manera exclusiva por el Estado.
- Organismos de la sociedad civil relacionados con los gremios profesionales, asociaciones civiles, organizaciones de productores y comercializadores, entre otros.
En los casos señalados y otros, las organizaciones mantienen una estructura y funcionan de manera sistematizada a base de una serie de actividades primordiales o fundamentales que ha continuación se detallan:
- Actividades de contexto referidas al ambiente en que desarrollan sus operaciones y las relaciones importantes que mantienen con el exterior de la organización
- Actividades que generan valor agregado o valor añadido, conocidas también como actividades sustantivas, y son las que generan u originan ingresos netos superiores a los costos de los bienes o de los servicios producidos y ofrecidos a los clientes o usuarios.
- Actividades de infraestructura o de base para que las actividades que generan valor agregado sean más eficaces en cuanto a la consecución de los objetivos de la organización.
- Actividades de gestión relacionadas con la gerencia o administración de los recursos y de los servicios de apoyo para la operación eficiente de las actividades de infraestructura y las que generan valor agregado.
- Actividades sobre los procesos financieros como apoyo a la validación, registro, análisis, información y control de las transacciones financieras generadas por las operaciones de producción, compra, venta, mercadotecnia, servicio al cliente o usuario, administración del recurso humano, adquisición de materia prima, desarrollo de tecnología, gestión de los recursos administrativos y de los financieros.
En síntesis, todas las organizaciones desarrollan las actividades señaladas con algunas variaciones en la forma de ejercerlas. Están presentes en la organizaciones grandes, medianas y pequeñas, la diferencia está en la intensidad de las mismas o en la asignación de recursos para un mejor desempeño. A manera de ejemplo, una empresa con unidades de operación en varios países y que funciona con el sistema de franquicias será mucho más amplia las actividades de mercadotecnia en comparación a una empresa nacional que no ha llegado a un desarrollo similar. Una situación similar se observaría en el desarrollo de la tecnología de la producción y el desarrollo y registro de marcas y patentes.
Sin embargo, todas las empresas realizan los cinco tipos de actividades que determinan el marco genérico de negocio requerido para diseñar e implantar el marco integrado de control interno y constituirse en la base para una eficiente y efectiva administración y la eficiente evaluación posterior de su funcionamiento.
- Las actividades de contexto.
Las actividades de contexto de una empresa u organismo están referidas a las relaciones externas que tiene en diferentes niveles de las operaciones, considerando factores como si las operaciones son de comercio interior o incluyen el comercio exterior, de producción o de intercambio de bienes y servicios, de operaciones dirigidas a un servicio puntual que le compete a las entidades públicas, por ejemplo el registro y documentación de los ciudadanos.
En los casos de todas las empresas y organizaciones las actividades de contexto tendrán relación con los siguientes elementos, partiendo de la premisa relacionaa con la iniciación de operaciones:
- Propietarios (accionistas) inversionistas e instituciones financieras. Partiendo de la idea para la actividad, la promoción del negocio y los aportes financieros para que el proyecto sea viable. En el caso de una empresa operando existe una situación similar.
- Organismos públicos relacionados y terceros. El registro de la empresa y la obtención de las autorizaciones requeridas para el funcionamiento a partir de la su calificación oficial.
- Los directamente relacionado con el personal que apoyará el funcionamiento de la empresa y que deberá ser seleccionado y contratado con referencia al tipo de actividades a desarrollar.
- Fuentes de consumo relevantes. La relación directa con los potenciales clientes mayoristas permite identificar las oportunidades para generar ingresos importantes y sustentar la operación de la empresa. De igual manera se puede identificar las amenazas en el caso de las limitaciones que se prevean respecto a dicho acceso.
- En todas las actividades empresariales existe competencia. Es decir existen organizaciones que ofrecen similares bienes y los servicios que se ofrecen al mercado. Las amenazas y las oportunidades del mercado deberán ser consideradas en el plan de negocio y las estrategias de mercadeo de la empresa. La excepción, en la mayoría de los casos, son las entidades del sector público que en general carecen del elemento competencia en los servicios y productos que ofrece.
Las relaciones directas de las actividades de contexto estarán relacionadas con la gestión de la empresa, dirigida por el Gerente General o Presidente Ejecutivo a través del reclutamiento y selección del personal necesario, los suministradores de bienes y servicios y los clientes o usuarios de los bienes y servicios que ofrece la empresa. Este sería en resumen el triángulo principal de las operaciones.
Este marco de referencia aplica a todas las organizaciones con pequeñas variaciones relacionadas a la intensidad de las actividades de contexto. Esto dependerá del tipo de empresa u organismo que se este formando. Por ejemplo, si se trata de un banco los requerimientos son mucho más exigentes en varios aspectos, pero si se trata de un negocio de compra venta de mercadería los requerimientos financieros y legales son menores.
- Actividades que generan valor añadido o agregado.
Las actividades que generan valor agregado para una organización se relacionan con sus operaciones sustantivas y se presentan desglosadas a partir de una empresa comercial que compra y vende mercancías. Este esquema puede ser adaptado a otro tipo de organizaciones variando las tres primeras actividades:
- Recepción de mercaderías.
El modelo genérico de organización inicia las operaciones con la recepción y manejo de las mercaderías adquiridas y que luego serán ofrecidas a los clientes que están ubicados en el mercado de las operaciones del negocio.
Los criterios de control interno estarán relacionados con los requerimientos de bienes y los procedimientos relacionadas con la recepción, custodia y manejo de los bienes adquiridos para trasladarlos a las unidades internas de operación cuando existe la transformación o de expedición de las mercancías para la venta.
Los criterios de control interno definidos y aplicados en los procesos de transformación de las mercancías o la exhibición de las mercaderías para la venta. Las transferencias y traslados de las mercancías requieren de procedimientos de documentación y registro detallado, así como la conciliación periódica de la información.
- Expedición de mercaderías.
Una vez concretada la venta de las mercaderías se inician las actividades relacionadas con la expedición y entrega de la mercancía a los compradores o distribuidores calificados de la organización, documentando la operación a base de las facturas y las notas de entrega de los productos.
4. Mercadeo y ventas
El mercadeo de los productos que comercializa la empresa es una actividad sustantiva que requiere cumplir con los criterios de control interno relacionados con el proceso de investigación de la demanda, la promoción y publicidad de los productos y las ventas a los compradores finales y a los distribuidores calificados a base de los estándares definidos por la empresa.
- Servicio al cliente o usuario.
Las acciones relacionadas con el servicio al cliente requiere una definición clara y lo suficientemente divulgada y atendida cuando se presenten reclamos. El servicio al cliente se relaciona en forma directa con la actividades de expedición de mercaderías en lo relacionado a la entrega de los productos a base de las especificaciones definidas y los servicios relacionados. El registro formal de las solicitudes de servicio de los clientes es un punto clave de control a mantenerse obligatoriamente y revisarlo en forma periódica por una unidad independiente.
D. Actividades de infraestructura
Las actividades de infraestructura son las que sirven de soporte fundamental para el eficiente funcionamiento de las actividades que generan valor añadido. El soporte esta definido en la productividad del personal, la generación de tecnología de punta para su operación y el manejo eficaz de los aprovisionamientos de mercancías.
1. Recursos Humanos
La administración de los recursos humanos es un punto clave para el marco integrado de control interno de una organización. Se considera que la base del control interno es la capacidad e idoneidad del recurso humano dedicado a todas las actividades que realiza la organización y por tanto los criterios de control interno deben incluir todos los aspectos relevantes para su manejo.
2. Desarrollo de tecnología
La actividad comercial que realice la empresa tomada como un modelo debe permitir el desarrollo tecnológico de sus actividades sustantivas, principalmente las relacionadas con el mercadeo, el servicio al cliente y el manejo de las mercaderías en sus instalaciones.
3. Aprovisionamientos
La capacidad y la calidad de los aprovisionamientos de la empresa es punto relevante para generar valor agregado mediante la programación y el manejo de las mercancías adquiridas en las mejores condiciones de calidad, precio y financiamiento para la empresa.
E. Actividades de gestión
Las actividades de gestión están relacionadas con la administración de los recursos de apoyo de la empresa, realizada en forma oportuna para el funcionamiento de las actividades de infraestructura y las que generan valor agregado.
- Gestión de la empresa y administración de riesgos.
La dirección superior, maneja o administra la empresa definida en el estatuto de creación de la organización y define el estilo utilizado su gerencia. En gran medida la administración del riesgo relacionado con la obtención de los objetivos de la empresa es responsabilidad de la gerencia, así como el control y el seguimiento permanente a base de los criterios de alertas tempranas ya definidos. El establecimiento de estrategias que promuevan el logro de los objetivos de la empresa en su conjunto es parte fundamental de la gestión.
Las actividades de control definidas para la administración o manejo de los riesgos potenciales para cumplir los objetivos principales de la organización deben ser evaluados en los puntos clave de las operaciones, considerando el giro del negocio
2. Relaciones Externas
Las relaciones externas con las entidades gubernamentales que establecen las políticas y normas relacionadas con los objetivos de la empresa para orientar en los aspectos técnicos y dentro de los dispositivos legales.
3. Suministro de servicios administrativos
El apoyo mediante la disponibilidad de servicios oportunos para la ejecución de las actividades sustantivas y de infraestructura de la empresa en forma oportuna y al menor costo. Tales como servicios de transporte , seguridad, mantenimiento y otros relacionados deben ser considerados.
4. Gestión de asuntos legales
Las acciones relacionadas con el apoyo de la gestión de asuntos legales relacionados con la aplicación de las leyes y normas aplicables por la empresa, así como garantizar que los contratos y acuerdos sean equitativos y no perjudiquen los intereses de la organización.
5. Tecnología de la información
La utilización de tecnología de la información (TI) para el diseño y ejecución de los planes estratégicos, así como procesar la información en forma oportuna y entregarla a los funcionarios autorizados para la toma de decisiones. En esta actividad hay que considerar el tamaño y las necesidades reales de la entidades..
6. Planificación
La necesidad de planes realistas a corto y a largo plazo relacionados con los objetivos de la empresa que permita gestionar las operaciones de la dirección, así como medir y evaluar el plan en forma oportuna y tomar acciones para introducir mejoras.
F. Actividades sobre los procesos financieros
Se relacionan con las actividades de apoyo para la validación, registro, información, análisis y evaluación de las operaciones desarrolladas por la empresa y que se clasifican en las siguientes:
1. Cuentas por pagar
Los criterios de control interno que permitan validar la documentación relacionada con las adquisiciones, el registro oportuno y exacto de las facturas autorizadas por los niveles correspondientes. Las acciones dirigidas a la salvaguarda de los registros, así como la integridad y exactitud de las cuentas pendientes de pago.
2. Cuentas por cobrar
La facturación exacta y en el período al que correspondan las operaciones de venta de artículos o servicios, así como el registro de las facturas cuyo despacho de mercancías haya sido autorizado y garantizar la exactitud de los saldos pendientes de cobro.
3. Tesorería
La programación del flujo del efectivo, así como maximizar el rendimiento de las inversiones, controlar las posibilidades de los excesos en gastos y el surgimiento del déficit de Tesorería y el correspondiente financiamiento.
El ágil cobro de las cuentas pendientes y su ingreso exacto a los fondos de la empresa.
Organizar mediante calendarios de pago a los proveedores y otros acreedores a base de los documentos autorizados. Reducir al mínimo posible los desembolsos en efectivo y salvaguardar el dinero manejado en efectivo y los registros de las operaciones.
4. Activos fijos y materiales
Mantener el registro de las transferencias, adquisiciones, utilizaciones y la depreciación correspondiente de los activos, así como salvaguardar los bienes de capital frente a posibles perdidas por hurto.
5. Análisis y conciliaciones
La revisión analítica de los resultados de operación en comparación con los resultados de iguales períodos en años anteriores, identificando variaciones, tendencias y cambios significativos, así como sus causas. La conciliación de los registros para verificar la coherencia interna o externa en el caso de los saldos en bancos, inversiones, cuentas por cobrar y la cuentas por pagar.
6. Nóminas
Preparar, calcular y registrar la nómina conforme a los servicios efectivamente prestados, al presupuesto disponible y a la aprobación de un funcionario autorizado.
El acceso a la información de datos específicos de la nómina solo estará autorizada al personal relacionado con esta información y, por tanto, restringida al resto.
Pagar a los funcionarios y empleados de acuerdo con el detalle de la nómina, conforme a las disposiciones legales aplicables, en cuanto al tiempo y a los conceptos, así como los contratos suscritos con el personal.
7. Obligaciones fiscales
Preparar y presentar con exactitud las declaraciones de impuestos generados y retenidos en los plazos legalmente establecidos previa autorización del funcionario competente. Además, registrar todas las transacciones fiscales o de hechos económicos
8. Valoración de costos de los productos
La disposición de costos estándar para los principales procesos productivos de la empresa y que incluya todas las fases del proceso para garantizar la información y determinar los casos de desviaciones en dichos costos y el efecto en los inventarios acumulados y en el costo de ventas relacionado.
El registro completo y exacto de todos los costos directos e indirectos aplicables a los procesos y productos terminados.
- Informes financieros y de gestión.
La información financiera y de gestión oportuna que requiere la dirección y otros funcionarios de la empresa para disponer de facilidades en el desempeño eficiente y efectivo de sus funciones como parte del control interno a nivel institucional y a nivel de las actividades puntuales.
La información generada para los miembros de la Junta Directiva de la empresa requiere de elementos de detalle que facilite el conocimiento, análisis y aprobación correspondiente.
La información financiera producida en forma oportuna conforme los requerimientos de las disposiciones legales y para conocimiento externo debe estar disponible en las fechas establecidas de manera formal.
La confidencialidad sobre la información financiera y de gestión procesada para los funcionarios de la empresa será actualizada periódicamente para evitar errores y la entrega de datos a personas extrañas.
- El marco genérico de organización herramienta para el diseño del MICIL.
El evidente que el marco genérico de organización detallado en este capítulo es la base para el diseño e implantación del control interno en una empresa, al desglosar las 23 actividades relacionadas con las funciones y responsabilidades en cualquier tipo de entidad.
El diseño completo del marco integrado de control interno Latinoamericano incluye los cinco componentes relacionados con el control interno de la institución y se complementa con los criterios definidos para las 23 actividades, y que serán aplicables de acuerdo con el tipo de operaciones que ejecute la empresa.
Cabe resaltar la importancia que hasta este capítulo hemos dado al diseño e implantación del MICIL como un apoyo directo a la administración o la gerencia de las entidades u organizaciones que operan en un país o en un estado. El marco integrado de control interno definido a nivel de institución, área geográfica, sector de la economía o de la sociedad o de las instituciones del Estado, es flexible y puede ser aplicado por todas las organizaciones que inicien operaciones o se adecuarán a estos criterios las que están operando.
Mantener en la mente el esquema del marco genérico de organización es importante para orientar las acciones de control hacia las actividades que generan valor agregado, que son calificadas como las más relevantes en todas las organizaciones y bajando en el esquema pasar por las actividades de infraestructura, las de gestión y llegar a los procesos financieros. La importancia de las actividades ejecutadas por la entidad bajo el concepto de control interno integrado moderno siempre se inician en las que generan valor agregado y seguidas por las actividades de infraestructura.
Ahora entraremos en el tema de la evaluación del marco integrado de control interno Latinoamericano (MICIL) utilizando algunos métodos y herramientas que han sido desarrolladas en los siguientes capítulos.
VII. LA EVALUACIÓN DEL MICIL
Uno de los aspectos de fondo relacionado con el marco integrado de control interno Latinoamericano y otros marcos definidos y promovidos en los países industrializados es su contenido sencillo y la evaluación del marco integrado de control interno en los niveles donde se recomienda aplicarlo. Un mecanismo práctico para la evaluación del marco integrado de control interno a nivel institucional y de sus actividades importantes ejecutada por diferentes usuarios. Los usuarios principales son los internos, funcionarios y empleados, de la organización que les permite participar activamente en la consecución de los cuatro objetivos del control interno, ampliamente discutidos en los capítulos anteriores relacionados con su diseño e implantación.
Los usuarios externos son importantes. Generalmente son los clientes de los bienes y los servicios que ofrece la empresa a la comunidad. Actividades importantes a considerar en este sentido será el servicio al cliente, la promoción de los bienes y servicios y la calidad y precios, la comunicación de los valores y la conducta que rige en sus operaciones, la información sobre su gestión y resultados, entre los más importantes.
Uno de los asuntos más importantes es el relacionado con la auto evaluación del MICIL a ser aplicada por la propia administración. Los propios ejecutores de las operaciones, transacciones y tareas en la empresa, organización o entidad evalúan el funcionamiento del control interno diseñado y aplicado. La propuesta es aplicar la auto evaluación a nivel de la institución considerando los cinco componentes, los veinte y dos factores si son aplicables y alrededor de las ciento diez afirmaciones o preguntas propuestas por el MICIL para el diseño e implantación del control interno e identificar las fortalezas y las debilidades en el manejo de las operaciones de una organización o empresa o el funcionamiento de la actividad a ser evaluada, en comparación con el marco conceptual definido en los capítulos anteriores.
En este capítulo analizaremos y desarrollaremos los criterios y métodos propuestos para realizar la auto evaluación interna del marco integrado de control interno para fines de validación y mejora interna de los procesos y el logro de los objetivos de control interno y de la organización. De igual manera, revisaremos los criterios y métodos propuestos para aplicar la evaluación del marco integrado de control interno con propósitos de validación, mejora e información externa para el uso de las personas e instituciones relacionadas con el entorno externo de la empresa u organización.
Este capítulo por tanto, se dividirá en dos segmentos. El primero dirigido a la auto evaluación del marco integrado de control interno para uso de la dirección y que produce información para uso interno fundamentalmente. El segundo segmento está dirigido a la evaluación externa del control interno con la finalidad de validarlo, proponer mejoras e informar a usuarios relacionados con las actividades de la organización o empresa.
- AUTO EVALUACIÓN DEL MARCO INTEGRADO DE CONTROL INTENO (MICIL)
Es evidente que el enfoque seguido en este documento propone el marco conceptual del MICIL como una guía, orientación y elementos necesarios para definir o actualizar el control interno aplicado en una organización, continua con el enfoque dirigido a la fase de auto evaluación bajo la orientación de la administración con la finalidad de validarlo, actualizarlo, mejorarlo o mantenerlo en funcionamiento si garantiza en forma razonable la consecución de los cuatro objetivos del control interno, que deberán ser conciliados con los objetivos de la entidad, empresa u organización.
En este momento es propicio recordar los objetivos del marco integrado de control interno Latinoamericano, que debemos tener presente:
- Eficiencia y efectividad en las operaciones de la organización.
- Confiabilidad de la información financiera y de gestión.
- Salvaguarda de los recursos de la organización.
- Cumplimiento de las disposiciones legales y normativas.
La colaboración de la Dirección Ejecutiva de Auditoría Interna (DEAI) de la empresa como facilitador del taller sobre el proceso de auto evaluación es una garantía de independencia, objetividad, equidad y transparencia al procedimiento aplicado. El apoyo de la alta dirección para aplicar la auto evaluación es otro elemento importante que permitirá llegar a los objetivos fundamentales del procedimiento, vale decir disponer de un diagnóstico real sobre el funcionamiento de la organización e identificar las áreas u operaciones que podrían mejorarse mediante la aplicación de las acciones sugeridas por los principales ejecutores de las operaciones, esto es el personal de la entidad.
1. Orientación y métodos para la auto evaluación
La auto evaluación del control interno institucional a base de un marco integrado es una manera de promover el mejoramiento continuo de las actividades de las organizaciones y empresas en la última década.
La auto evaluación del marco integrado de control interno a base del MICIL está orientada hacia la mejora continua y la participación directa del personal que participa en el manejo de las operaciones, funciones y las actividades de una entidad. En América Latina el procedimiento de auto evaluación y el conocimiento del marco integrado de control interno se está iniciando, por lo tanto, este enfoque es la base para la investigación y desarrollo de criterios específicos y especializados que fomenten su utilización amplia y llegar a una aplicación generalizada.
La auto evaluación del marco integrado de control interno ha sido diseñada para realizarlo por diferentes métodos, que se diferencian por los marcos integrados definidos, las herramientas desarrolladas, los equipos utilizados y los programas de computación empleados.
Los métodos desarrollados para la aplicación de la auto evaluación del marco integrado de control interno se basan en las experiencias desarrolladas por la auditoría financiera, considerando de manera principal el cuestionario o la encuesta referido a los principales componentes, factores y preguntas referidas al MICIL u otro marco de referencia utilizado. Es evidente que la estructura de MICIL es similar a COSO, pues consideramos que es el marco más apropiado para guiar el diseño e implantación del control interno. Además, es mucho más estructurado como para garantizar el proceso de enseñanza aprendizaje que es fundamental para el personal de todos los niveles en las empresas y organizaciones.
El método definido y utilizado para la auto evaluación del MICIL es una combinación de varias herramientas, y lo denominamos el Taller de Auto Evaluación del Marco Integrado de Control Interno (TAE-MICI) que incluye las siguientes fases en su proceso de ejecución:
- Conocimiento de la organización, actividades y principales funcionarios, diagnóstico preliminar.
- Definir la muestra representativa del personal para el TAE-MICI y preparar la invitación para su participación.
- Organizar el TAE-MICI dirigido a grupos de 20 participantes y los siguientes contenidos:
- Preparación del informe del TAE-MICIL compilando la información y preparando una síntesis de una página donde el facilitador del Taller resume los aspectos relevantes para conocimiento de la administración superior de la organización.
- Entrega del informe de auto evaluación en forma oportuna (siguiente día de ser posible) y directa al titular de la organización explicando rápidamente los resultados y la necesidad de comunicar al personal de la institución para que su efecto sea de mayor cobertura.
2. Proceso para la auto evaluación del MICIL
Varias experiencias hemos acumulado en relación a la auto evaluación del marco integrado de control interno, principalmente apoyadas por instituciones de asistencia y financiamiento internacional como el Banco Mundial, el Banco Interamericano de Desarrollo, la Agencia para el Desarrollo Internacional de los Estados Unidos de América, entre otras, al requerir estas evaluaciones para las instituciones prestatarias, como un requisito previo a la asignación de recursos en unos casos y en otros al programar el desarrollo de los proyectos que presentan solicitudes de financiamiento. Estos casos fueron desarrollados a base del Informe COSO (Committe of Sponsoring Organization).
La difusión de los Nuevos Conceptos de Control Interno, título del texto que contiene el Informe COSO, en varios eventos regionales y nacionales, así como la capacitación continua ofrecida por los organismos profesionales, han demostrado el interés en el tema y en forma paulatina se ha ido familiarizando y conociendo el enfoque, contenido, orientación, beneficios, apoyos y aplicaciones de estos conceptos, que ha sido introducido en lo pertinente en la Declaración sobre Normas de Auditoría No. 78 (SAS 78) del Instituto Americano de Contadores Públicos Certificados (AICPA) que son tomadas como referencia técnica para el ejercicio de la auditoría financiera por los profesionales y las grandes firmas de Contadores Públicos.
El desarrollo de la encuesta modelo o básica para la evaluación del marco integrado de control interno Latinoamericano a base de los cinco componentes y los veinte y dos factores del informe COSO ha sido el primer paso para realizar la evaluación a nivel de la institución, considerando su ambiente de control como base y el resto de componentes que lo integran. También está disponible la versión del Informe COCO (Criterium of Control) del Instituto de Contadores Públicos de Canadá y que trabaja a base de cuatro procesos y 11 factores para la evaluación del marco integrado de control interno.
Los casos de aplicación de la evaluación del marco integrado de control interno para una organización han sido facilitados o dirigidos por consultores independientes contratados con ese fin principal en varios países de América Latina.
Las experiencias acumuladas en América Latina son limitadas y se espera que a partir del Marco Integrado de Control Interno Latinoamericano (MICIL) como un documento de referencia técnica apoyado por varios organismos profesionales sea el punto de partida para una aplicación general de la auto evaluación que genera valor agregado en términos significativos e involucra al personal (principal recurso de todo tipo de organización) en la identificación de las fortalezas y debilidades de la empresa y le permite identificar las causas y proponer soluciones con base en su conocimiento de la realidad.
El TAE MICI es el método definido para aplicar la auto evaluación y promueve que las personas participantes en el taller propongan soluciones viables y finalmente se comprometan en la aplicación de las mismas.
El Taller incluye los siguientes elementos:
- Inducción al funcionamiento y aplicación del MICIL
- Explicación detallada del formato, contenido y resultados proyectados con la respuesta a la encuesta. Ejemplo de aplicación.
- Calificación de las afirmaciones o preguntas incluidas por cada uno de los factores del MICIL.
- Presentar los resultados por cada afirmación y en forma acumulada por cada factor y obtener las opiniones de los participantes sobre el resultado, así como la presentación de sugerencias para corregir los aspectos deficientes o que requieren mejoras.
- Evaluación del TAE-MICIL completado al finalizar el día de actividades.
El TAE MICIL se propone ejecutar durante 7 a 8 horas efectivas. Cuando se utiliza las herramientas informáticas disponibles para realizar la calificación del control interno de una organización, se recomienda realizarlo en un día completo de actividades, ya que los resultados generados por la calificación se obtienen en forma automática y está proyectada en la pantalla, que de inmediato sirve de base para el análisis, comentarios y sugerencias de los participantes en el taller, que también son compilados y expuestos en la pantalla de la manera como son propuestos. El programa para el manejo de los talleres de auto evaluación del control interno utilizando el marco integrado de Canadá COCO (Criterium of Control) esta disponible y ha sido desarrollado y aplicado por la firma PDK International Consulting.
El TAE MICI en una programación de 7 a 8 horas efectivas puede ser ejecutado en forma manual, utilizando la encuesta modelo del MICIL y programando dos reuniones en días diferentes para disponer obtener los resultados procesados individuales de los cinco componentes y los veinte y dos factores del marco integrado de control interno Latinoamericano.
La primera parte del TAE MICI está dirigido a:
- Inducción al funcionamiento y aplicación del MICIL
- Explicación detallada del formato, contenido y resultados proyectados con la respuesta a la encuesta. Aplicar un ejemplo de aplicación.
- Calificación de las afirmaciones o preguntas incluidas por cada uno de los factores del MICIL.
La segunda parte del TAE MICI ejecuta las siguientes actividades:
- Presentar los resultados por cada afirmación y en forma acumulada por cada factor y obtener las opiniones de los participantes sobre el resultado, así como la presentación de sugerencias para corregir los aspectos deficientes o que requieren mejoras.
- Evaluación del TAE-MICIL completado al finalizar el día de actividades.
3. Auto evaluación Institucional y el TAE MICIL
La auto evaluación institucional esta dirigida a obtener la calificación por una muestra representativa del personal de la organización respecto al marco integrado de control interno utilizando para el efecto una encuesta básica, donde se incluyen los cinco componentes del control interno y el desglose de los factores que los conforman, desarrollados en varias preguntas o afirmaciones relacionadas que permiten identificar el conocimiento, la difusión, la aplicación y la evaluación periódica de los factores identificados en la encuesta.
La encuesta en su detalle completo se incluye como el anexo No. 1 del MICIL y sobre esa base se puede mantener, ampliar o reducir los criterios de evaluación, considerando el tamaño, los recursos humanos disponibles, el ámbito de acción de la organización, el presupuesto financiero, entre otros, para que el personal seleccionado en la muestra califique la calidad del control interno, mediante la asignación de puntajes de 1 a 10, señalando que 6.5/10 equivale a una situación aceptable y hacia arriba mejora la calificación. En cambio, todo lo que este por debajo de 6.4/10 es inaceptable y por tanto una observación en la calificación y mientras menor sea la calificación más negativa será.
Existe la posibilidad de afirmaciones o preguntas sobre las cuales los funcionarios y empleados que participan en el TAE MICIL no dispongan de información suficiente para calificar una o varias preguntas, en ese caso se incluirá las iniciales S/R, que significa sin respuesta y al compilar las calificaciones no serán tomadas en cuenta. Existen casos en los cuales se presentan varias calificaciones S/R y si estas son mayores que la mitad de las afirmaciones calificadas, el factor será eliminado en la calificación.
El Anexo No. 1 incluye la Encuesta para la Auto Evaluación del Control Interno Institucional y en la primera página se incluye el concepto de control interno y sus objetivos, así como el método de calificación a ser utilizado y un resumen de los componentes y factores utilizados por el MICIL. Al finalizar el cuestionario para cada componente se incluye un resumen de las calificaciones promedio por cada factor sobre 10 puntos y luego se las pondera a base de la importancia que el componente tiene en el MICIL, si tomamos el ambiente de control y de trabajo sería de 40 puntos en relación a los 100 para el marco en su conjunto.
La página final de la encuesta incluye un resumen de las calificaciones por cada uno de los factores y acumuladas por cada componente para cada encuesta respondida.
Las encuestas calificadas son trasladadas a una matriz donde se incluye las calificaciones individuales por cada participante y se obtiene un cuadro completo donde se puede ubicar en general la participación del personal, los promedios mayores, medianos y menores como base para la discusión y sugerencias con el personal que participó en el TAE MICIL.
Un resumen de la matriz se obtiene a nivel de global para conocimiento y discusión con el personal en la segunda etapa del taller de auto evaluación, haciéndolo a partir del componente ambiente de control y trabajo y el primer factor valores, código de conducta e integridad. Las opiniones y recomendaciones de los participantes se compilan e incluyen en el informe de la auto evaluación del control interno procesado para conocimiento de la dirección superior de la organización y por su intermedio de todos los niveles de la estructura y las personas que participaron en el TAE MICIL. En el anexo No. 3 se incluye un informe con los resultados de la auto evaluación del control interno y los principales resultados obtenidos en la matriz de la auto evaluación y los resultados condensados para la segunda fase del TAE MICIL.
En detalle la auto evaluación institucional genera un reporte que incluye la siguiente información a nivel global para conocimiento de los principales niveles de la administración y que será la base para futuras auto evaluaciones aplicadas, pues permitirán determinar las mejoras o las debilidades en el marco integrado de control interno, como se aprecia de los ejemplos tomados de dos instituciones que fueron auto evaluadas en noviembre del 2002:
COMPONENTES | VALORACIÓN | CALIFICACION | PORCENTAJE
|
Ambiente de Control y Trabajo
|
29.07/40 | Aceptable | 72.6 |
Evaluación del Riesgo
|
10.86/15 | Aceptable | 72.4 |
Actividades de Control
|
6.93/10 | Aceptable | 69.3 |
Información y Comunicación
|
18.28/25 | Aceptable | 73.1 |
Supervisión
|
7.64/10 | Aceptable | 76.4 |
TOTAL |
72.78/100 |
Aceptable |
72.7 |
El resultado demuestra un marco integrado de control interno aceptable y con posibilidades importantes de mejoras principalmente en las actividades de control que están relacionadas con el cumplimiento de los objetivos de la organización. La supervisión es el componente más fuerte y el mejor calificado por el personal de la organización.
COMPONENTES
|
VALORACIÓN | CALIFICACIÓN | PORCENTAJE |
Ambiente de control y trabajo | 23.00/40 | No aceptable | 58.00 |
Evaluación del riesgo
|
8.54/15 | No aceptable | 57.00 |
Actividades de control
|
5.23/10 | No aceptable | 52.00 |
Información y
comunicación |
15.62/25 | No aceptable | 62.00 |
Supervisión
|
6.43/10 | No aceptable | 64.00 |
Total |
58.82/100 |
No aceptable |
58.82 |
La calificación del marco integrado de control interno no es aceptable en la percepción del personal de la organización que la evaluó. El factor más negativo son las actividades de control dirigidas a minimizar los riesgos en la obtención de los objetivos de la organización. El más positivo es la supervisión, sin llegar al nivel de aceptable.
Las posibilidades de mejoras son más amplias que en el primer caso y las acciones a iniciarlas deben despertar el interés de la administración superior para corregirlas.
Más ejemplos están disponibles, la tendencia es similar seguramente por que entidades realizan las mismas actividades y tienen similares objetivos. No obstante, la muestra del personal que participa en el TAE MICIL y su conformación son específicas para cada organización y por tanto los resultados son diferentes.
4. Auto evaluación de actividades importantes y el TAE MICIL
La estructura de los componentes del marco integrado de control interno para la auto evaluación del control interno de las actividades importantes tiene variaciones importantes en cuanto a los factores que conforman cada componente y así mismo los puntos que se acreditan para cada componente.
En la práctica pocas son las oportunidades reales de para auto evaluación de las actividades importantes de una organización. Una experiencia fue la auto evaluación utilizando el marco definido por el Informe COSO a la Gerencia de Distribución de una empresa, con resultados importantes por las variaciones obtenidas al calificar las diferentes unidades de distribución, que fue evidente en la discusión realizada durante el taller, habiéndose solicitado ajustar la calificación que inicialmente aplicada por los empleados del área.
La evaluación de las actividades importantes se basan en el cuestionario propuesto incluido en el Anexo No. 2, que define los componentes y factores a manera de un modelo, que puede mantenerse, ampliarse o reducirse, considerando la estructura, actividades y tamaño de la empresa.
Ambiente de Control.
Considera cuatro factores específicos y la asignación de 15 puntos, lo que significa que el componente es menos importante que en el caso de la evaluación de la organización.
Evaluación del riesgo
Se mantienen los tres factores para calificar el marco integrado de control interno, además una propuesta de valoración sobre 15 puntos.
Actividades de control
El detalle de los seis o más factores considerados están por definirse para cada caso específico, es el punto más relevante en la evaluación de las actividades, cuando se le asigna 30 puntos para la calificación.
Información y Comunicación
Componente importante que mantiene cinco factores para la calificación, asignándole 25 puntos y mantiene la importancia asignada a nivel de la organización.
Supervisión
Este componente incluye tres factores para la calificación de la actividad y una ponderación de 15 puntos, con los que se completa los 100 puntos posibles en la calificación del marco integrado de control interno, aplicables a una actividad específica de la empresa u organización evaluada..
5. Informe de resultados
Los resultados de la auto evaluación de una actividad específica son compilados con el apoyo de los facilitadores del Taller de Auto Evaluación del Marco Integrado del Control Interno Latinoamericano (TAE-MICIL) y formalmente entregado a la dirección superior de la entidad en la fecha más cercana posible a la del taller ejecutado.
El proceso de comunicación, que incluye la preparación y presentación del informe formal, se presenta en varios de los momentos de ejecución del procedimiento. Al iniciar el TAEMICIL se desarrolla la introducción mediante el proceso de aprendizaje para familiarizar al personal en los temas del control interno e informar sobre el funcionamiento de la encuesta y el método para la calificación correspondiente.
Al calificar las preguntas referidas a los factores se presenta un resumen de la distribución lograda con la evaluación, el promedio alcanzado y se solicita debatir sobre los asuntos menos favorables y se acumula esa información para incluirla en el informe de auto evaluación completado, por consiguiente existe comunicación.
El informe de auto evaluación del marco integrado de control interno preparado para el siguiente día de labores, preferentemente, debe ser entregado a la administración superior y se sugiere los siguientes contenidos:
- Síntesis del informe de auto evaluación suscrito por el supervisor o el titular de la unidad que facilitó el taller (TAE MICIL).
- Índice del contenido
- Contenido del informe:
- Naturaleza y alcance de la auto evaluación.
- Concepto de control interno integrado.
- Resultados de la auto evaluación.
- Marco integrado de control interno.
- Componentes del control interno
B. EVALUACIÓN EXTERNA DEL MICIL
La propuesta conceptual para realizar la evaluación del marco integrado de control interno latinoamericano (MICIL) y de los países que lo han definido proponen que la administración de la empresa u organización lo aplique, de ser factible por las propias unidades operativas (actividades que generan valor agregado) y las de apoyo (actividades de infraestructura, gestión y procesos financieros) mediante el procedimiento de auto evaluación. Para lograr este objetivo es necesario divulgar el contenido marco y demostrar las ventajas y los beneficios de su utilización en las organizaciones.
El segundo paso propuesto para la evaluación también esta referido a las propias organizaciones o empresas, necesariamente medianas o grandes, que dispongan de la función de auditoría interna en su estructura organizativa la que se encargaría de promover la auto evaluación del marco integrado con la participación del personal vinculado con las operaciones y la facilitación por la Dirección Ejecutiva de Auditoría Interna. En este caso, también es necesario la divulgación del marco y demostrar las ventajas y beneficios de su aplicación.
La evaluación promovida por la auditoría financiera, recuerde la incorporación del concepto y componentes del control interno en el SAS 78, está dirigida básicamente hacia las actividades relacionadas con los procesos financieros, aún cuando se podría ampliar la orientación dando mayor énfasis a las actividades que generan valor agregado y al marco integrado relacionado con los cinco componentes del control interno, validando el procedimiento de auto evaluación aplicado por la empresa o promoviendo y facilitando la aplicación.
La evaluación del marco integrado también podría ser aplicada por consultores externos independientes que podrían utilizar la auto evaluación como la herramienta para concretar los resultados promoviendo el apoyo de la organizaciones en esta actividad. Igual que en los casos anteriores es necesario divulgar el marco integrado de control interno y demostrar las ventajas y los beneficios de su aplicación en la organización.
Por otra parte, es factible que los profesionales que colaboren en la “evaluación” no en la “auto evaluación” la podrían enfocar a base de la encuesta preparada como parte del marco integrado de control interno Latinoamericano (MICIL) de la información que obtengan de las entrevistas con funcionarios y empleados, de la observación de las actividades realizadas, de la inspección de los registros, documentos e informes preparados por la administración y proceder a calificar el marco integrado en general (los cinco componentes), así como cada componente con sus principales factores. Es evidente que los resultados de esta evaluación seguirán siendo la opinión del consultor, auditor o encargado de la evaluación sin la participación directa del personal de la organización, considerado el elemento más importante para el funcionamiento del control interno y de la empresa. Esto confirmaría la utilización del modelo de evaluación tradicional de la auditoría financiera y otras evaluaciones similares.
Es importante ratificar, que la disponibilidad de un Marco Integrado de Control Interno moderno y actualizado es una necesidad insatisfecha para las empresas y organismos, para sectores especializados y para el país, de manera similar a lo que realizado con los marcos de control establecidos como COSO Estados Unidos de América, COCO la República de Canadá, Cadbury el Reino Unido y otros, con la participación de los organismos de la sociedad civil (universidades, organismos profesionales, cámaras de la producción y otros) para que la sociedad y la ciudadanía tenga conocimiento de los criterios de control interno en términos sencillos, de fácil aplicación y de seguimiento continuo.
1. Ejecutores, método y apoyo
La evaluación externa del marco integrado de control interno en la práctica ha sido promovida por los organismos internacionales que apoyan y financian proyectos de desarrollo en los países de América Latina y otros continentes. En general han sido ejecutados por consultores independientes y con el apoyo de las unidades de auditoría interna de las organizaciones, habiendo diseñado y aplicado el procedimiento utilizando la auto evaluación del control interno a base de los cinco componentes y los veinte y dos factores sugeridos en el Informe COSO. En los últimos meses hemos realizado varias auto evaluaciones utilizando el enfoque del MICIL y el método detallado en el capítulo anterior, con resultados satisfactorios.
Los ejecutores directos y los más cercanos a la evaluación externa del marco integrado de control interno son los ejecutores de la auditoría financiera de las empresas y organizaciones. Otros ejecutores de la evaluación externa son los consultores independientes contratados con la finalidad de evaluar el marco integrado y para lo cual se sugiere utilicen el método de la auto evaluación para obtener resultados objetivos y compartidos con los funcionarios y empleados que realizan las operaciones de la organización.
El propósito de la evaluación, tratándose de la auditoría financiera es determinar el grado de confianza del marco integrado de control interno a fin de establecer el alcance de los procedimientos de verificación de la información contenida en los estados financieros. Esta situación es limitada considerando el enfoque de la evaluación del marco integrado de control interno realizado para identificar las fortalezas y las deficiencias o debilidades mediante la auto evaluación y la participación directa del personal de la organización.
El método de auto evaluación con la participación del personal y la facilitación del auditor o consultor externo es recomendable para evaluar el marco integrado de control interno, conforme los pasos descritos en el capítulo anterior, donde se desarrolla la auto evaluación del control interno.
El o los Talleres de Auto Evaluación del Marco Integrado de Control Interno (TAE MICIL) es el método recomendado evaluar el MICIL y obtener los objetivos propuestos.
La preparación y definición del marco integrado de control interno es un requerimiento inmediato para promover su evaluación. Actualmente es apoyada por un organismo internacional que apoya el desarrollo en los países de América Latina y varios organizaciones regionales que agrupan a los profesionales en diversas disciplinas, quienes promoverán la divulgación y aplicación del marco integrado para el manejo de las operaciones en las empresas y las organizaciones, los principales serían los siguientes:
- Colegios de profesionales en distintas disciplinas.
- Universidades y centros de investigación.
- Cámaras de la producción por actividades.
- Organismos del Estado con facultades normativas y de control.
- Organizaciones de la sociedad civil cuyo objetivo es la transparencia en la información pública.
2. Evaluación Institucional
La auto evaluación del marco integrado es el método sugerido para evaluar el control interno a nivel de la institución tomando en considerando los cinco componentes y los factores detallados en la encuesta propuesta en el Anexo No. 1 de este documento.
La evaluación a nivel institucional por profesionales independientes garantiza varios aspectos en el método recomendado, principalmente la reserva en cuanto a la calificación de los aspectos considerados en la encuesta y sobre las exposiciones realizadas en la reunión con los comentarios, observaciones y sugerencias basadas en la calificación promedio obtenida en los factores. Otra razón importante es la definición de la muestra del personal que participaría en el o los talleres programados, de tal manera que sea representativa del universo de funcionarios y empleados.
Una limitación es el reducido conocimiento de las actividades sustantivas y de apoyo que desarrolla la organización y quizá la poca confianza que en principio puede tener el personal de la empresa que participa en el taller.
3. Evaluación de actividades relevantes
Sobre la evaluación de las actividades importantes de la organización se dispone de pocas experiencias. Esto se debe principalmente a que el Informe COSO solamente define los factores del control interno en detalle para los cinco componentes: ambiente de control, evaluación del riesgo, actividades de control, información y comunicación, y supervisión, sin desarrollar los factores o criterios para las actividades que realiza una organización y que se relacionan con las que generan valor agregado, las de infraestructura, las de gestión y de los procesos financieros.
Para la auto evaluación de las actividades importantes de las entidades se puede utilizar como guía la encuesta preparada e incluida como Anexo No. 2 de este documento, donde se incluyen varios factores de los cinco componentes del control interno de mayor aplicación para una actividad. El componente “actividades de control” es el más relevante en este caso, sin embargo, la información de detalle es general sin especificaciones puntuales, debido a la necesidad de desarrollar los aspectos específicos de su ejecución eficiente y eficaz. A manera de ejemplo las actividades que generan valor agregado o de manera específica la actividad de producción o de servicio al cliente o usuario u otras identificadas.
La necesidad de experiencias sobre la evaluación de actividades específicas es una demostración del requerimiento de divulgación de los criterios del marco integrado de control interno y que los despachos de auditores profesionales y los consultores independientes divulguen y comuniquen las experiencias obtenidas para fortalecer esta área del conocimiento.
4. Informe y resultados
Los resultados obtenidos de las evaluaciones externas al marco integrado de las organizaciones y empresas se mantienen en los mismos contenidos del capítulo anterior, con excepción de la relación del auditor o consultor independiente al facilitar o dirigir el o los talleres (TAE MICIL) programados y ejecutados con la participación de una muestra representativa del personal, sea para evaluar la institución (cinco componentes) o para evaluar las principales actividades (que generan valor agregado, de infraestructura, de gestión y de los procesos financieros).
Los criterios de oportunidad para la preparación del informe de auto evaluación se mantienen bajo los mismos estándares, es decir que el documento con los resultados, de preferencia estará disponible el día siguiente a la terminación del taller de auto evaluación de cada grupo de 20 personas o menos.
El conocimiento de los resultados finales por todos los que participaron en el TAE MICIL es importante para obtener su colaboración y observar el apoyo de la dirección, considerando que este es un proceso de largo alcance y que requiere de varias evaluaciones para establecer en perspectiva la curva de su comportamiento en el mediano plazo.
En el caso que hayan varios grupos de auto evaluación debe considerarse la tabulación de resultados y presentarlos compilados para toda la organización.
El Anexo No. 3 incluye un ejemplo del Informe de Auto Evaluación del MICIL como un criterio desarrollado a base de las experiencias. Así mismo se incluye la matriz para compilar los resultados de la auto evaluación y cuadro resumido por componentes y factores que son conocidos por los participantes para promover la discusión y sus comentarios, observaciones y recomendaciones. Una vez formalizado el informe enviarlas al titular de la organización con el fin de ratificar o documentar la corrección de errores y mejorar los procedimientos que sea posible.
Los resultados obtenidos deben ser manejados con reserva de tal manera que sean conocidos por los participantes del grupo y comprometer a los miembros en cuanto a la confidencialidad de la información presentada hasta que sea formalizada con el informe del facilitador o evaluador, al ser entregado al titular de la organización.
VIII. RECOMENDACIONES
Documentos de la naturaleza del Marco Integrado de Control Interno Latinoamericano requieren del apoyo de muchos sectores de la sociedad para la cual se pretenda diseñar e implantar dicho marco. Hemos empezado por definir el marco integrado de control interno para Latinoamérica y que este sea el criterio a seguir para el desarrollo de marcos a nivel de los países, estados, sectores de la sociedad, municipalidades, empresas y organizaciones.
Las recomendaciones están dirigidas a las siguientes organizaciones que de diferente manera se relacionan con el marco integrado de control interno y deberían apoyar en los pasos siguientes para garantizar el conocimiento y aplicación del MICIL y su posterior evaluación con la participación del personal de las empresas u organizaciones.
1. Organismos profesionales
Son la base para definir el MICIL y con base en el mismo promover un marco para el país, los estados y la empresas u organismo o cualquier otra forma que sea factible desarrollar.
La difusión del MICIL entre: los estudiantes universitarios, gremios profesionales de diversas disciplinas, cámaras de la producción, organismos públicos encargados de emitir normativa técnica y las instituciones públicas y privadas.
2. Organismos reguladores
La investigación y el desarrollo de criterios específicos sobre las actividades de control interno para organizaciones y empresas por sectores de actividades específicas o especializadas.
Promover los criterios y métodos de auto evaluación del MICIL y el marco establecidos para el país y otros niveles.
3. Universidades
Introducir el estudio del MICIL o el desarrollado para el país como parte del Plan de Estudios de todas las carreras de nivel universitario y así proyectar la mejor administración de los negocios nuevos y de los ya existentes.
Apoyar las labores de investigación y desarrollo para generar marcos de control interno para actividades especializadas y la preparación de profesionales preparados para varias carreras.
4. Organismos internacionales
Establecer como requisito para los organismos prestatarias la utilización del MICIL en el diseño y implantación del control interno institucional y el funcionamiento de las principales actividades.
Requerir la aplicación del método de auto evaluación del MICIL para identificar las fortalezas y debilidades de la organización, previo al financiamiento de proyectos y así asegurar las condiciones mínimas para la administración de los recursos financieros y técnicos solicitados.
5. Profesionales individuales
El ejercicio profesional independiente, asociados o no, es el quien tiene mayores opciones para conocer y desarrollar el MICIL y participar en los procesos de la auto evaluación que son requeridos por los organismos internacionales, entidades reguladoras de cada país y las empresas y organismos que conocen de las ventajas y beneficios..
- Contadores Públicos Independientes.
Conocer y aplicar los criterios para la auto evaluación del marco integrado de control interno en las organizaciones sujetas a la revisión y auditoría de los resultados de las operaciones presentados en los estados financieros.
Conciliar los resultados obtenidos mediante la auto evaluación del MICIL y los determinados por la empresa u organismo antes de informar al titular del organismo.
El MICIL permite disponer de una estructura global dentro de la cual puede estructurarse el diseño e implantación del control interno del país y debería tenerse en consideración para el estudio y promulgación de las disposiciones legales. A partir de la Constitución Política del país las disposiciones legales se constituyen en gran medida el MICI de cada país.