C I Guia Eval. Gerencia.pdf

!@#

AS S U R A N C E A N D ADV I S O RY

BU S I N E S S SE RV I C E S

Preparación de Reportessobre Control InternoUna Guía para la Evaluación de la GerenciaConforme a la Sección 404 de Sarbanes-Oxley Act

Sarbanes-Oxley Act of 2002 (el Acta),

recientemente promulgada, ha convertido

finalmente en realidad el reporte sobre

control interno para las empresas registradas ante

la SEC y sus auditores independientes. Si bien

este tema ha sido objeto de mucha discusión y

debate durante cerca de 30 años, hasta ahora

solamente la Federal Deposit Insurance

Corporation Improvement Act of 1991 (FDICIA)

ha requerido que muchas instituciones aseguradas

de depósito provean reportes de la gerencia sobre

la eficacia de los controles internos sobre la

información financiera, así como también reportes

emitidos por los auditores independientes sobre su

examen de las aseveraciones de la gerencia.

Esta Guía trata los requerimientos pendientes de la Sección404 del Acta. La Sección 404(a) del Acta dirige a la SEC aque adopte reglas requiriendo que los reportes anuales (i.e.,Formularios 10-K, 10-KSB, 20-F, y 40-F) contengan unaevaluación, al final del año fiscal de la entidad emisora, dela eficacia del control interno sobre la informaciónfinanciera que se reporta. La Sección 404(b) del Actarequiere que el nuevo Public Company AccountingOversight Board (el Board) adopte normas para que losauditores independientes atestigüen (attest) el reporte de lagerencia sobre el control interno. Los reportes sobre controlinterno requeridos por la nueva Sección 404 no entrarán envigor en 2002 debido a que la SEC y el nuevo Board aúndeben completar el establecimiento de la norma requerida.Según la reciente propuesta de la SEC, las reglas bajo laSección 404, de ser adoptadas, serían aplicables acompañías cuyo período fiscal termina el 15 de septiembrede 2003 o después. Sin embargo, la gerencia no debe esperara la emisión final de tales reglas para comenzar el procesode desarrollo de la documentación apropiada y establecerprocedimientos para evaluar los controles internos.

En forma separada, según lo requiere la Sección 302(a) delActa, la SEC adoptó recientemente reglas finales querequieren que el CEO y el CFO de una compañíacertifiquen todos los reportes trimestrales y anuales. Paralos reportes de períodos que terminan después del 29 deagosto de 2002, el CEO y el CFO deben evaluar la eficaciade los controles y procedimientos de revelación (disclosure)de la entidad emisora, de los cuales son parte los controlesinternos sobre información financiera. Sin embargo, estasreglas no requieren atestiguar (attestation) ni informar porparte del auditor independiente con respecto a tal

A nuestros clientes y amigos

PR E PA R AC I Ó N D E RE P O RT E S S O B R E CO N T RO L IN T E R N O

A N U E S T RO S C L I E N T E S Y A M I G O S

evaluación o a las revelaciones correspondientes sobre los controles y procedimientos en reportes anuales ytrimestrales. Debido a que las nuevas reglas de la SEC no establecen normas para hacer tales evaluaciones,suponemos que la mayoría de las compañías necesitarándesarrollar documentación y procedimientos de evaluaciónmucho más extensos en relación con sus reportes futurosbajo la Sección 404 de lo que parece necesario para lascertificaciones actuales bajo la Sección 302. Nuestraspublicaciones separadas, Summary of SEC Final Rule:Certification of Disclosure in Companies’ Quarterly andAnnual Reports, e Implementation Considerations for theEvaluation and Certification of Disclosure Controls andProcedures, proporcionan información sobre la certificaciónde la Sección 302 bajo las nuevas reglas de la SEC.

Las compañías han reconocido por mucho tiempo laimportancia de controles internos fuertes. Un control internoeficaz puede ayudar a las compañías a lograr metasfinancieras establecidas, prevenir pérdida de recursos ypreparar estados financieros confiables. Y, según laenmienda de 1977 de la Securities Exchange Act, serequiere que las compañías mantengan un control internoadecuado. Como resultado, muchas compañías ya cuentancon cierto nivel de documentación de sus controles internos.Sin embargo, la mayoría de las compañías no hancompletado los procedimientos integrales de documentacióny evaluación que requerirán los reportes públicosobligatorios sobre control interno por parte de la gerencia yde los auditores independientes. Comenzar ahora, en lugarde esperar, le ayudará no sólo a prepararse para losrequerimientos futuros de información, sino también aidentificar áreas donde los controles deben ser fortalecidos orediseñados para su mayor eficacia y eficiencia.

La estructura más usada y entendida para evaluar controlesinternos sobre información financiera es la que contiene elinforme del Committee of Sponsoring Organizations of theTreadway Commission (COSO). El informe de COSO,Internal Control—Integrated Framework, estableció unadefinición amplia del control interno que abarca todos losobjetivos de una organización. El informe de COSO

estableció las siguientes tres categorías de los controles:eficacia y eficiencia de las operaciones, confiabilidad de lainformación financiera, y cumplimiento con las leyes yregulaciones. También identificó cinco componentesinterrelacionados que deben estar presentes y enfuncionamiento para tener un sistema eficaz de controlinterno, y describió los criterios para un control internoeficaz. Aunque las reglas para reportes bajo la Sección 404del Acta aún no están terminadas, la reciente propuesta dereglas de la SEC indica que la evaluación que hace lagerencia de los controles internos y los procedimientospara reportes de información financiera (financialreporting) debe basarse en las normas actuales de auditoríarelativas al control interno, las cuales son consistentes conla definición que contiene el informe de COSO.

Esta Guía está diseñada para ayudar a la gerenciaproporcionándole una metodología para transformar laestructura conceptual de COSO en una evaluacióndetallada y significativa de los controles internos sobreinformación financiera. Además de esta Guía, ofrecemos anuestros clientes nuestra amplia experiencia de muchosaños en la evaluación de controles internos, y orientación yherramientas adicionales que iremos desarrollando amedida que la SEC y el nuevo Board propongan y adoptenrequerimientos específicos.

Con mucho gusto discutiremos estos materiales con usted.Nuestros conocimientos y experiencia pueden ayudarle enla documentación y desarrollo de un proceso para evaluarlos controles internos en su organización.

El punto de partida para una evaluación de control interno es definir loscriterios a seguir sobre los cuales se hará la evaluación. En la Sección 1se discute la definición de control interno según lo establece el informede COSO.

La selección de un equipo apropiado y el establecimiento de reglas deprocedimiento tales como responsabilidades, enfoque de documentacióny oportunidad son importantes para un proyecto exitoso. En la Sección 2se discuten estos asuntos.

Comenzar la evaluación considerando el control interno a nivel de empresa.Un estricto control interno a nivel de empresa es una parte importante deun sistema de control interno eficaz. La Sección 3 explica los elementosde los cinco componentes del control interno que pueden tener un efectoextensivo en la organización.

Para tener un sistema de control eficaz también son importantes los controles a nivel de proceso, transacción o aplicación. Completar esta fase posiblemente requerirá la mayor parte del tiempo. Como se discuteen la Sección 4, la elaboración de esta fase involucra lo siguiente:1 Determinar las cuentas significativas1 Identificar los procesos significativos que afectan tales cuentas1 Identificar las clases mayores de transacciones comprendidas en esos

procesos significativos1 Determinar dónde podrían ocurrir errores en los procesos1 Identificar los controles diseñados para prevenir o detectar tales errores

La evaluación de la eficacia general del control interno es al mismo tiempoel principio y el final del proceso. En un entorno dinámico de negocios, los controles requerirán algunas modificaciones de vez en cuando. Ciertossistemas pueden requerir aumentar los controles para responder a nuevosproductos o a riesgos emergentes. En otras áreas, la evaluación puedeseñalar controles redundantes u otros procedimientos que no son necesarios. De todos modos, la discusión del proceso de evaluación, elmonitoreo constante y las consideraciones de costo-beneficio que incluyeesta Sección 5 serán de mucha utilidad para tomar tales determinaciones.

Comprender la Definición de Control Interno

Organizar un Equipo para Llevar a Cabo la Evaluación

Evaluar el Control Interno a Nivel de Empresa

Comprender y Evaluar el Control Interno a Nivel de Proceso, Transacción y Aplicación

Evaluar la Eficacia General, Identificar Asuntos que Requieren Mejoras y

Establecer un Sistema de Monitoreo

Metodología para Evaluar Controles Internos

Fase Comentarios

Understand the Definition of Internal Control

Organize a Project Team to Conduct the Evaluation

Evaluate Internal Control at the Entity Level

Understand and Evaluate Internal Control at theProcess, Transaction, or Application Level

Evaluate Overall Effectiveness,Identify Matters for Improvement, and

Establish Monitoring System


1 Comprender el Control Interno . . . . . . . . . . . . . . . . . . . . 1

La Importancia de los Controles Internos . . . . . . . . . . . . . . . 2

Definir el Control Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Evaluar la Eficacia de los Controles Internos . . . . . . . . . . . . 3

Controles sobre Cumplimiento con Leyes y

Regulaciones y Operaciones. . . . . . . . . . . . . . . . . . . . . . . 4

Un Estudio Detallado del Control . . . . . . . . . . . . . . . . . . . . . 4

Otros Beneficios de Este Proceso . . . . . . . . . . . . . . . . . . . . . 5

2 Organizar la Evaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Patrocinador del Proyecto . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Equipo a Cargo del Proyecto . . . . . . . . . . . . . . . . . . . . . . . . . 7

Plan de Acción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Comenzar la Evaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Evaluar el Control Interno a Nivel de Empresa. . . . . . 11

Entorno de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Evaluación de Riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Información y Comunicación . . . . . . . . . . . . . . . . . . . . . . . 14

Actividades de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Monitoreo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Asuntos Específicos para Empresas Pequeñas . . . . . . . . . . 16

Evaluación General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4 Comprender y Evaluar el Control Interno a Nivel de Proceso, Transacción y Aplicación. . . . . . . 19

Determinar las Cuentas Significativas . . . . . . . . . . . . . . . . 19

Identificar y Evaluar (por clases) las Clases

Mayores de Transacciones . . . . . . . . . . . . . . . . . . . . . . . 19

Otras Consideraciones de Control . . . . . . . . . . . . . . . . . . . 21

Efectos de la Tecnología de Información . . . . . . . . . . . . . . 22

5 Evaluar la Eficacia General de los Controles, Identificar Asuntos que Requieren Mejoras y Establecer un Sistema de Observación Continua (Monitoreo) . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Evaluar la Eficacia General. . . . . . . . . . . . . . . . . . . . . . . . . 25

Identificar Asuntos que Requieren Mejoras . . . . . . . . . . . . 26

Monitoreo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Contenido


1 CO M P R E N D E R E L CO N T RO L IN T E R N O

1 Definición según COSO








Fase Comentarios

1

El entorno en el cual las compañías

conducen sus negocios está cambiando

dramáticamente. Los factores

económicos, los avances en la tecnología y la

creciente competencia global son sólo unos pocos

ejemplos de estos cambios. Con cada nuevo

acontecimiento, la gerencia se enfrenta con retos

mayores para controlar costos, administrar la

liquidez y lograr una ventaja competitiva.

Estos retos han intensificado la preocupación de la gerenciay de los directores respecto a su capacidad para evaluar eldesempeño operativo. Además, el reciente aumento en lasquiebras de negocios de alto perfil, alegatos de fraudecorporativo, y re-emisión de estados financieros ha dirigidola atención pública y del congreso, entre otras cosas, hacia laidoneidad del control interno sobre información financiera.Para proteger a los inversionistas mejorando la exactitud yconfiabilidad de las revelaciones corporativas, el Congresopasó Sarbanes-Oxley Act of 2002 (el Acta), la cual fuefirmada por el Presidente para convertirla en ley. Algunasdisposiciones del Acta requieren una certificación del CEO yel CFO para todos los reportes trimestrales y anuales de unacompañía presentados ante la Securities and ExchangeCommission (SEC), incluyendo representaciones sobreciertos asuntos relativos al control interno. Otrasdisposiciones, que aún no han entrado en vigor, requeriránun reporte anual de la gerencia sobre el control interno,expresando la responsabilidad de la gerencia de establecer ymantener controles internos adecuados para reportarinformación financiera (financial reporting), yproporcionando, al final del último año fiscal, unaevaluación de la eficacia de la estructura de control interno ylos procedimientos de reporte de información financiera dela empresa emisora. El auditor independiente de la empresaemisora deberá atestiguar (attest) e informar sobre laevaluación de la gerencia de acuerdo con las normas quedesarrollará el nuevo Public Company Accounting OversightBoard (el Board).

La SEC ha creado un nuevo término—“disclosure controlsand procedures” (controles y procedimientos derevelación)—en su regla final para implantar los requisitos

1 Comprender el Control Interno

2 PR E PA R AC I Ó N D E RE P O RT E S S O B R E CO N T RO L IN T E R N O


de la Sección 302 del Acta para el CEO y el CFO. Algunoselementos de esta regla final tienen vigencia para losreportes presentados después del 29 de agosto de 2002,mientras que otros tienen vigencia para los reportespresentados para períodos que terminan después del 29 deagosto de 2002. Creemos que la intención de la SEC eradesarrollar un concepto más amplio que incluya nosolamente los controles internos tradicionales sobreinformación financiera sino también los controles sobre larevelación de toda la información material financiera y nofinanciera en reportes de la Exchange Act. Esta Guía nopretende dar orientación sobre las certificacionesperiódicas de la Sección 302. Hemos resumido en otraspublicaciones de Ernst & Young la regla final de la SEC ylas consideraciones de su implantación.

En cambio, esta Guía está diseñada para proporcionar a lagerencia un enfoque para desarrollar, durante un tiempo,una evaluación y documentación integral de la eficacia delos controles internos sobre la información financiera. Talevaluación y su documentación de respaldo se requeriráneventualmente para las evaluaciones de la gerencia y paraque el auditor independiente pueda atestiguar sobre talesevaluaciones de acuerdo con la Sección 404 del Acta. Losreportes sobre control interno no entrarán en vigenciahasta cuando las reglas finales sean adoptadas por la SECy por el Board. Sin embargo, según la reciente propuestade reglas de la SEC, las reglas bajo la Sección 404, sifueren adoptadas, serían aplicables a compañías cuyo añofiscal termina el 15 de septiembre de 2003 o después. Porconsiguiente, comenzar ahora y no después le ayudará austed no sólo a prepararse para los requerimientos futurosde información de la Sección 404, sino también paraidentificar áreas donde los controles deben ser fortalecidoso rediseñados para que sean eficaces y eficientes.

La Importancia de los Controles InternosLos controles internos son fundamentales para lograr unregistro exacto de las transacciones y la preparación dereportes financieros confiables. Muchas actividades denegocios involucran diariamente un alto volumen detransacciones y numerosos juicios. Sin controles

adecuados que aseguren el registro apropiado de lastransacciones, la información financiera resultante puedeno ser confiable y debilitar la habilidad de la gerencia paratomar decisiones, así como su credibilidad ante losaccionistas, las autoridades reguladoras y el público.

Una estructura de control interno eficaz (conocida tambiéncomo sistema de control interno o, simplemente, comocontrol interno) es integral y completa e involucra apersonal de toda la organización, incluyendo muchaspersonas que no se consideran con responsabilidadescontables o de control (e.g., empleados que reportantiempo empleado en proyectos o trabajos específicos).También involucra a aquellos que mantienen los registroscontables, preparan y distribuyen políticas, o monitoreansistemas. Finalmente, involucra a los miembros de la juntadirectiva y de los comités de auditoría, cuya principalresponsabilidad es supervisar el proceso de reporte deinformación financiera.

La promulgación del Foreign Corrupt Practices Act(FCPA) en 1977 enfatizó la importancia de los controlesinternos. La FCPA, la cual enmendó la SecuritiesExchange Act, requiere que todas las compañíasregistradas públicamente (bien sea que participen o no enoperaciones extranjeras): (1) desarrollen y mantengan unsistema de control interno suficiente para proporcionarseguridad razonable de que sus activos estánsalvaguardados y las transacciones son debidamenteautorizadas y registradas, y (2) mantengan registrosrazonablemente detallados que reflejen exacta yrazonablemente las actividades financieras.

Posteriormente, la importancia de los controles internos se haenfatizado en diferentes formas. Las normas de auditoríarelativas al control interno han sido actualizadas eintensificadas. La Federal Deposit Insurance CorporationImprovement Act of 1991 (FDICIA) introdujo requisitos paraque la gerencia de ciertas instituciones financierasaseguradas federalmente presenten reportes del controlinterno sobre la información financiera y el cumplimientocon ciertas leyes y regulaciones. Estos reportes deben iracompañados por reportes del auditor independiente para

atestiguar (attest) el examen de las evaluaciones de lagerencia del control interno sobre la información financieray los procedimientos pre-convenidos relativos alcumplimiento con ciertas leyes y regulaciones. El Committeeof Sponsoring Organizations of the Treadway Commission(COSO) emitió su informe final sobre control interno en1992 basado en un estudio de tres años. Y, recientemente, elActa ha añadido requisitos para la certificación de lagerencia sobre asuntos de control y para los reportes acercadel control interno sobre información financiera.

Como resultado de la promulgación del Acta, los ejecutivossenior de todas las compañías públicas están enfocando suatención al diseño, operación y eficacia del sistema decontrol interno de sus organizaciones. También estándesarrollando procesos y documentación para respaldar losnuevos requisitos de certificación de la Sección 302 del Acta,así como los futuros requisitos de información de la Sección404 que serán adoptados por la SEC. Tales hechos ayudarán aidentificar aquellas áreas donde una acción correctiva puedeser necesaria, y darán tiempo para diseñar e implantar talacción correctiva antes del reporte inicial bajo la Sección 404.

Esta Guía está diseñada con el fin de proveer a la gerenciacon un enfoque para evaluar y documentar la eficacia delos controles internos sobre la información financiera.Esperamos desarrollar guías adicionales cuando la SEC yel nuevo Board propongan y adopten las reglas y normaspara implantar los reportes de control interno y para elauditor atestiguar (attest) según los requerimientos de laSección 404 del Acta.

Definir el Control InternoA fin de evaluar el control interno de una organización, unodebe identificar primero los criterios sobre los cuales se harála evaluación. Por lo tanto, es importante definirapropiadamente el control interno al comienzo del procesode evaluación. En septiembre de 1992, COSO emitió uninforme que proporciona una definición de control interno yestablece criterios que pueden ser usados para evaluar loscontroles internos de una organización. El informe deCOSO, Internal Control—Integrated Framework, contienenla definición de control interno aceptada más ampliamente.

El informe de COSO define el control interno como unproceso—efectuado por la junta directiva, la gerencia y otropersonal de una entidad—diseñado para proporcionarseguridad razonable respecto al logro de objetivos en las trescategorías siguientes: eficacia y eficiencia de las operaciones,confiabilidad de la información financiera, y cumplimientocon leyes y regulaciones. También identifica cincocomponentes interrelacionados de un control interno eficaz.

1 Entorno del control

1 Evaluación de riesgos

1 Actividades de control

1 Información y comunicación

1 Monitoreo

Esta definición también sirve de base para las guías para losauditores independientes incluidas en la Statement onAuditing Standards (SAS) No. 55, Consideration of InternalControl in a Financial Statement Audit, modificada por laSAS 78 y la SAS 94. Si bien las reglas para reportes bajo laSección 404 del Act aún no están terminadas, la recientepropuesta de reglas de la SEC indica que la evaluación de lagerencia de los controles internos y los procedimientos parareporte de información financiera deben basarse en lasnormas actuales de auditoría relativas al control interno, lascuales son consistentes con la definición contenida en elinforme de COSO. Adicionalmente, existe incertidumbreacerca de si el nuevo Board se extenderá sobre las normasactuales de atestiguar (attestation standards) de la AICPApara reportes de control interno. Sugerimos comenzar ahorabasados en la suposición de que estarán en vigor las normasactuales, o unas sustancialmente similares.

Evaluar la Eficacia de los Controles InternosEsta Guía ayudará a la gerencia a desarrollar un procesopara evaluar y documentar la eficacia de los controlesinternos sobre la información financiera con base en lasdefiniciones que contiene la SAS 55, modificada, y elinforme de COSO. Si bien existen algunas diferencias determinología, esta Guía contempla todos los conceptos ocomponentes contenidos en la SAS 55, modificada, y en elinforme de COSO con relación a controles internos sobre

3



información financiera. Esta Guía puede ser usadaindependientemente, o para complementar los materialesde COSO.

El cuarto volumen del informe de COSO, EvaluationTools, provee orientación ilustrativa y ayuda en laevaluación de sistemas de control interno en relación conlos criterios para controles internos eficaces establecidosen el primer volumen del informe de COSO, Framework.El volumen titulado Evaluation Tools incluye una serie deformularios de evaluación en blanco, un manual dereferencias y un juego ilustrativo de formulariospreparados para una compañía hipotética. Si bien losmateriales de COSO pueden ser útiles en la evaluación deun sistema de control interno, no proporcionan un mediopara evaluar los controles a un nivel detallado. Comoindica el informe de COSO, la orientación en el volumende Evaluation Tools es “para fines puramente ilustrativos”y no pretende presentar “…un método preferido paraconducir y documentar una evaluación.”

Controles sobre Cumplimiento con Leyes yRegulaciones y OperacionesSi bien la definición de control interno de COSO abarcacontroles sobre reportes de información financiera(financial reporting), cumplimiento con leyes yregulaciones, y eficacia y eficiencia de las operaciones, elinforme COSO recomienda que los reportes externos de lagerencia deben estar enfocados a aquellos controlesinternos que se refieren a los objetivos de reporte deinformación financiera (financial reporting). En espera dela emisión de las mencionadas reglas y normas de la SECy el nuevo Board, creemos que la recomendación de COSOes razonable con respecto a la preparación de reportes bajola Sección 404.

Actualmente no existen criterios establecidos para medir laeficacia de los controles internos sobre cumplimiento conleyes y regulaciones o la eficacia y eficiencia de lasoperaciones. Esta Guía se enfoca en los controles sobreinformación financiera. Sin embargo, existen muchas

similitudes y consideraciones comunes entre los controlesen relación con todos los tres objetivos del control interno,y gran parte de esta Guía será útil para hacer unaevaluación de los controles sobre cumplimiento con leyesy regulaciones u operaciones.

Un Estudio Detallado del Control Algunas compañías ya tienen amplia documentación de susprocedimientos y mecanismos de control, incluyendomanuales de políticas y procedimientos contables, manualesde sistemas de información y descripciones de funciones.Además, los departamentos de auditoría interna confrecuencia tienen documentación de controles internos yprocedimientos y han probado si los controles seleccionadosfuncionan de acuerdo a su diseño. Finalmente, los auditoresindependientes probablemente habrán evaluado los controlesen algunas áreas. Sin embargo, el enfoque de una auditoríade estados financieros es expresar una opinión sobre losestados financieros anuales, no de reportar sobre el sistemade control interno. Los procedimientos de auditoría deestados financieros están diseñados para ser ejecutados máseficaz y eficientemente con el fin de llegar a una conclusiónrespecto a la razonabilidad de las cifras y las revelacionespresentadas en los estados financieros. Tales procedimientosde auditoría pueden incluir procedimientos sustantivosextensos y no necesariamente pueden incluir pruebas de loscontroles que afectan a todas las cuentas significativas. Porlo tanto, es posible que los papeles de trabajo de losauditores independientes no contengan la documentación decontroles adecuada para satisfacer las necesidades de lagerencia para fines de la Sección 404 del Acta.

En consecuencia, aunque podría estar disponible una grancantidad de la documentación que se refiere a sistemas ycontroles, las compañías pueden no haber completado unadocumentación integral y completa y una evaluación de laeficacia de sus controles internos de acuerdo con locontemplado por COSO y que sea suficiente para respaldarlos reportes separados de control interno y de atestiguación(attestation).

5

La Treadway Commission tenía la visión de un estudiointegral y completo y una evaluación de controles cuandorecomendó que las compañías públicas ejecutaran lossiguientes pasos en sus esfuerzos por prevenir y detectarinformación financiera fraudulenta:

1 Identificar y comprender los factores que puedanconducir a reportar información financiera fraudulenta,incluyendo factores que son únicos para la compañía.

1 Evaluar el riesgo de reportar información financierafraudulenta creada por estos factores dentro de lacompañía.

1 Diseñar e implantar controles internos que proporcionenseguridad razonable de que el reportar informaciónfinanciera fraudulenta será prevenido y detectado.

Esta Guía sugiere un enfoque práctico para ejecutar ydocumentar esta evaluación integral y completa del controlinterno de una compañía. Puede usarse para revisarcontroles y documentación existentes en cuanto aintegridad, y para determinar si los controles de algún áreadeben ser mejorados.

Otros Beneficios de Este ProcesoAdemás de proporcionar una base para los reportes futurosde la gerencia bajo la Sección 404 del Acta, una evaluaciónintegral y completa del control interno también puede darlos siguientes resultados:

1 Reducción del costo de los procesos contables

1 Identificación de procedimientos de controlestablecidos, que resultan redundantes, ineficientes eineficaces

1 Simplificación de los sistemas

1 Incremento en la productividad

1 Mejoras en la eficacia del diseño o la operación de loscontroles

Por ejemplo, algunas compañías encuentran que laautomatización de ciertos controles manuales puedemejorar tanto la eficiencia como el cumplimiento con laspolíticas de la gerencia. Otras pueden descubrir que algunosprocedimientos están duplicados o que ya no son eficaces onecesarios (e.g., debido a cambios en el entorno).


2 OR G A N I Z A R L A EVA L UAC I Ó N

Tener en cuenta que es conveniente incluir personal de:1 Operaciones1 Finanzas y Contabilidad1 Tecnología de Información1 Auditoría Interna








Fase Comentarios

2 Organizar la Evaluación

7

Cada empresa difiere considerablemente

de las demás y las características que

las distinguen, tales como tamaño,

complejidad, y lugar del negocio, tendrán

influencia en la manera de organizar la evaluación

de sus controles internos. Entre más grande sea la

empresa, más posibilidades hay de que la alta

gerencia esté lejos de las operaciones cotidianas y

más formal deberá ser el enfoque a la evaluación.

Además, el nivel de la documentación que existe

para los diversos componentes del control interno

también afectará la manera de organizar y llevar a

cabo la evaluación.

Cada compañía debe decidir cual es la manera que más seadapta a sus características para organizar la evaluación desus controles. Muchas compañías pueden haber seguido larecomendación de SEC de establecer un “comité derevelación (disclosure committee)” para estar en mejorposición de preparar la certificación requerida en laSección 302 de la Ley. La SEC señaló que dicho comité derevelación funcionaría bajo la supervisión de losfuncionarios principales ejecutivos (CEO) y de finanzas(CFO), y normalmente se espera la participación de lassiguientes personas: el contralor, el principal funcionariodel área de contabilidad, el asesor legal; el principalfuncionario del área de riesgos, el funcionario a cargo derelaciones con inversionistas y los gerentes de lossegmentos de negocios.

Puesto que el control interno sobre reportes de informaciónfinanciera es una parte del concepto más amplio de “controlesy procedimientos de revelación” (disclosure controls andprocedures), un término creado por la SEC en sus recientesreglas sobre certificaciones bajo la Sección 302, podría haberuna superposición parcial de miembros de un comité derevelación y miembros de un equipo responsable de evaluar ydocumentar controles internos sobre reportes de informaciónfinanciera para efectos de la Sección 404. En esos casos lasempresas podrán llevar a cabo sustituciones. La consideraciónrealmente importante es que la responsabilidad para laevaluación se asigne a personas calificadas y que esaspersonas tengan la autoridad necesaria para llevar a cabo laevaluación de una manera apropiada para el tamaño, lacomplejidad y la estructura de la organización. El enfoquedescrito a continuación sugiere la formación de un comité o unequipo a cargo del proyecto para llevar a cabo la evaluación.

Patrocinador del ProyectoEl patrocinador del proyecto debe ser uno de los ejecutivosprincipales de la empresa (tal como el Director General—CEO o el Director de Finanzas - CFO, considerando que a partir de ahora ambos tendrán que hacer “certificaciones”periódicas). Con estos nombramientos (1) se enfatizaría laimportancia que tiene una buena evaluación y (2) seaumentaría la probabilidad de que a través de toda la empresase le dará una alta prioridad a las comunicaciones quevengan de este equipo.

Equipo a Cargo del ProyectoLa función del equipo a cargo del proyecto es la planeacióny supervisión del desarrollo, nombramiento de integrantes yejecución de la evaluación del control interno de la compañía.Por consiguiente, el equipo diseñará la evaluación yrecomendará qué personas deben intervenir, cómo se usaránlos fondos asignados al proyecto y la manera en que seconcluya la evaluación. El equipo a cargo del proyecto deberáestar encabezado por un funcionario con la suficiente


2 OR G A N I Z A R L A EVA L UAC I Ó N

autoridad de recibir atención inmediata a sus preguntas y alas dudas que tenga el equipo. Los miembros del equipodeben tener la característica de gerentes con amplia experienciaquienes, como grupo, están familiarizados con las operacionesde la empresa, los riesgos del negocio en sus variasactividades, sus controles y leyes y reglas que le son aplicables.

El equipo a cargo del proyecto podrá incluir el siguientepersonal:Operaciones—1 Representante(s) de la gerencia de los segmentos

principales de la empresa1 Representante(s) de la gerencia de las operaciones

extranjeras de la empresaFinanzas y Contabilidad—1 Contralor Corporativo y/o principal funcionario de

finanzas (CFO)1 Contralores de los segmentos principales de la empresa

y/o de operaciones internacionalesTecnología de Información—1 Jefe de información (chief information officer)1 Jefe de seguridadAuditoría Interna—1 Auditor general o vicepresidente de auditoría interna1 Directores en auditoría interna

Las empresas en ciertas industrias especializadas tambiéndeben pensar en la posibilidad de incluir personal de áreasde control de calidad o funciones similares a auditoría. Porejemplo, a las instituciones financieras les convendría unrepresentante de revisión de crédito así como a lasaseguradoras les convendrían actuarios o representantesdel comité de las reservas para pérdidas.

Un equipo a cargo de proyecto debe tener la capacidad yautoridad para juzgar si se requieren cambios y, en su casorecomendar cambios en asuntos tan subjetivos y tandelicados como “conciencia de control”, análisis de costo vsbeneficio, y la eficacia del control interno de la empresa.Dado que la evaluación de la “conciencia de control” puedereferirse a actitudes de funcionarios de la alta gerencia,conviene que el equipo también incluya a alguien que puedamanejar el asunto objetivamente, tal como un miembro delcomité de auditoría, el asesor legal o un especialista externo.

El equipo a cargo del proyecto tiene la responsabilidad de quese complete satisfactoriamente la evaluación. Sin embargo, elgrado de participación de este equipo en llevar a cabo laevaluación misma difiere de empresa a empresa y de

actividad a actividad. Por ejemplo, el equipo a cargo delproyecto como una unidad debe ocuparse de establecerpolíticas y tomar decisiones (incluyendo asuntos tales como laselección de los sistemas de contabilidad de diferenteslocalidades que se revisarán en detalle). Sin embargo, elequipo puede delegar a otras personas la recopilación deinformación y de supervisión de actividades de quienes díapor día ejecutan labores de estudios y evaluación. Como unailustración, es normal que el auditor interno o el contralor y supersonal analicen los sistemas de contabilidad y presenten alequipo del proyecto, como grupo, las recomendaciones parasu aprobación. O bien, en la evaluación de los controles deinventarios puede ser apropiada la participación del personalde operaciones. Sin embargo, los participantes tienen quehaber recibido un buen entrenamiento en evaluaciones y en eluso de la herramienta para su documentación, para asegurar laconsistencia y calidad en situaciones de participación devarios equipos evaluando y completando documentación.

Como ya se explicó, la junta directiva o consejo deadministración y la alta gerencia tienen que supervisar losesfuerzos de evaluación de la empresa. Esa labor devigilancia podrá incluir la revisión de reportes periódicos ydel reporte final del equipo a cargo del proyecto.

Plan de AcciónEl equipo a cargo del proyecto debe desarrollar un plan deacción señalando objetivos y detallando actividades. Elplan de acción debe incluir lo siguiente:Organización—1 A quién reportará el equipo a cargo del proyecto1 Quién encabezará el equipo y quienes serán los demás

miembros, con una explicación de sus principalesresponsabilidades

1 Expertos en áreas especializadas (por ejemplo ensistemas de información) que participarán

1 Consultores externos contratados y la manera en queparticiparán

Alcance y oportunidad de la revisión—1 Los factores existentes en el entorno que serán revisados1 Las cuentas significativas y los procesos relativos que se

cubrirán. (Con este paso se asegura que todas lascuentas importantes de los estados financieros y losdatos en las notas se cubrirán en la revisión de loscontroles internos sobre procesos significativos.)

1 Los controles internos sobre reporte de informaciónfinanciera a ser evaluados en cada localidad

9

1 Tomando en cuenta el alcance que la compañía quiera dara la evaluación de controles en áreas más allá del reportede información financiera (e.g cumplimiento con leyes yregulaciones específicas, manejo de riesgos y seguros,procesos de fusiones y adquisiciones, conversión desistemas), el equipo a cargo de la evaluación tendría queidentificar esas áreas en la etapa de planeación

1 El alcance planeado de las evaluaciones, que puedevariar de sistema a sistema dependiendo de lainformación ya disponible

1 La oportunidad planeada para concluir todas lasactividades incluidas en el proyecto

Areas con problemas, que requieren una atencióntemprana—1 Procesos que se sospecha contienen importantes

deficiencias o debilidades materiales1 Localidades o procesos sobre los que se tiene poca

información disponible (por ejemplo: los sistemas deuna nueva subsidiaria)

Documentación y reportes—1 La oportunidad planeada, el contenido de los reportes y

a quien serán dirigidos 1 Otros tipos de documentación que debe desarrollar el equipo

a cargo del proyecto, como lo serían un memorándum sobredecisiones, gráficas y actas de juntas y reuniones

Informe sobre antecedentes—1 Información resumida sobre la organización de la

empresa (subsidiarias y divisiones) y sus principalesactividades y giros de negocio

1 Información sobre el sistema de contabilidad y losregistros, incluyendo datos sobre el lugar en que seprocesa la información contable, procesos contables encada localidad, extensión de cada proceso, sistema decontrol presupuestal y requerimientos de informaciónfinanciera, tanto interna como externa

1 Listados de documentación sobre el control interno dela empresa (por ejemplo manuales de políticas yprocedimientos; informes y papeles de trabajo deauditoría interna)

1 Información sobre alguna auto evaluación, reportessobre mecanismos existentes en diferentes localidades ounidades dentro de la organización

1 El principal contacto que tenga el equipo a cargo delproyecto en cada localidad

Comenzar la EvaluaciónEl primer paso para evaluar el control interno es unaevaluación del control a nivel de empresa. Una vez completala evaluación, el equipo tiene una comprensión de losprocesos a través de los que se genera la información paraestados financieros, considera qué tipos de errores quepuedan ocurrir (es decir, qué puede fallar) y considera quépolíticas y procedimientos se han diseñado para prevenir odetectar los tipos de errores que podrían ocurrir. Alcompletar esta fase, el equipo a cargo del proyecto debe tenerla información necesaria para llegar a conclusiones sobre laeficacia del diseño de controles internos de la compañía. Elpaso final consiste en ejecutar pruebas para determinar si loscontroles funcionan en la práctica de la manera en que fuerondiseñados. En muchas empresas el departamento de auditoríainterna ya habrá llevado a cabo las pruebas sobre varioscontroles. Las otras secciones de esta Guía proporcionaránexplicaciones adicionales sobre estas fases del proceso decomprender y evaluar el control interno.

DocumentaciónEl equipo a cargo del proyecto debe emitir reportes sobre lamarcha acerca de los varios procedimientos llevados a cabo,así como de las conclusiones y recomendaciones. Además dela documentación preparada durante el proceso de evaluación,puede requerirse documentación mostrando el compromisode la empresa de organizar, ejecutar y completar la revisión desus controles internos, y demostrar que cuenta con un con unsistema para monitorear continuamente su eficacia.

Esta documentación podrá incluir:

1 El tiempo programado y las responsabilidades duranteel desarrollo del proyecto.

1 Actas de la junta directiva y/o del comité de auditoría

1 Correspondencia con el asesor legal de la corporación ycon el auditor interno.

1 Un resumen de las debilidades identificadas durante laevaluación y el seguimiento a ejecutar.

El equipo a cargo del proyecto también debe planear lamanera en que los resultados de la evaluación secomunicarán dentro de la organización. Los hallazgostienen que presentarse a las personas directamenteresponsables de los controles evaluados. Esas situacionesdeben resumirse y presentarse con una evaluación generala la alta gerencia y al comité de auditoría.


3 EVA L UA R E L CO N T RO L IN T E R N O A

NI V E L D E EM P R E S A

1 Entorno de Control1 Evaluación de Riesgo1 Información y Comunicación1 Actividades de Control1 Monitoreo








Fase Comentarios

11

Un lugar lógico para comenzar una

evaluación general del control interno

es la cúspide—el control interno a

nivel de empresa. Esta etapa incluye la revisión

de aquellos elementos de los cinco componentes

del control interno que tienen un efecto

dominante sobre la organización.

A continuación se listan los cinco componentes del controlinterno:

1 El entorno de control es lo que marca la pauta de unaorganización, o sea aquella base para influir en laconciencia de control de su personal Es el fundamentode los demás componentes del control interno, y proveedisciplina y estructura.

1 La evaluación del riesgo es la identificación y elanálisis de los riesgos relevantes que corre la empresapara el logro de sus objetivos, formando la base paradeterminar cómo se deben administrar los riesgos.

1 Los sistemas de información y comunicación soportanla base para identificar, capturar e intercambiarinformación en una forma y período de tiempo quepermita al personal cumplir con sus responsabilidades.

1 Las Actividades de Control son las políticas y losprocedimientos que deben seguirse para tener certezaque las instrucciones de la gerencia se llevan a cabo.

1 Monitoreo es un proceso para verificar la calidad dedesempeño del control interno a través del tiempo.

Entorno de ControlLa Comisión Treadway afirmó que la pauta que marca laalta gerencia—o sea el entorno o cultura corporativa dentrode la cual funciona la información financiera (financialreporting)—es el factor más importante que contribuye a laintegridad del proceso de información financiera. En otraspalabras, si la pauta marcada por la gerencia es relajada opoco estricta, un juego impresionante de reglas yprocedimientos escritos logrará poco.

El entorno del control refleja la actitud general, el grado deconciencia y las acciones de la junta directiva, la gerencia,los dueños y otros concernientes a la importancia del controly el énfasis en el control sobre las políticas, procedimientos,métodos y estructura organizacional de la compañía. Elentorno de control incluye la actitud de la gerencia hacia eldesarrollo de estimaciones contables y en la filosofía parareportar información financiera; es el contexto en queoperan el sistema contable y los controles internos.

En su informe, Internal Control—Integrated Framework,COSO afirma que “El entorno de control tiene unainfluencia dominante sobre la manera en que se estructuranlas actividades de negocio, como se establecen los objetivosy se evalúan los riesgos. También influye en las actividadesde control, los sistemas de información y comunicación, ylas actividades de monitoreo. Esto es cierto no solamentecon respecto a su diseño, sino también a la forma en quefunciona día a día”.

El entorno del control es la atmósfera dentro de la cualexisten los controles contables de una compañía y sepreparan los estados financieros. Por lo tanto es esencialtener una comprensión del entorno de control para poder

3 Evaluar el Control Interno a Nivel de Empresa




identificar los factores que tienen un efecto dominantesobre el riesgo de que existan errores en el procesamientode transacciones y en los juicios que la gerencia hacecuando prepara estados financieros. Un entorno de controlsatisfactorio no garantiza la eficacia de algún controlespecífico, pero puede ser un factor positivo al evaluar elriesgo de errores. Un entorno de control eficaz tambiénproporciona una base para esperar que los sistemascontables que están funcionando bien en un momento dadodel año continúan funcionando bien el resto del año. De talmanera, el entorno de control es un ingrediente básico paratener controles internos eficaces.

El equipo a cargo del proyecto debe tener en cuenta lossiguientes factores durante la revisión del entorno de control:

1 Integridad, valores éticos y el comportamiento de losejecutivos clave

1 Conciencia de control de la gerencia y estilo de operación

1 Compromiso de ser competente

1 Participación de la junta directiva y del comité de auditoríaen el gobierno (governance) y supervisión del negocio

1 Estructura adecuada de la organización y asignación deautoridad y responsabilidades

1 Políticas y prácticas de recursos humanos

Integridad, Valores Eticos y el Comportamiento de Ejecutivos ClaveLa integridad y los valores éticos son elementos esencialesdel entorno de control, afectando el diseño, la administracióny el monitoreo de los procesos clave. La integridad y elcomportamiento ético son producto de las normas de laempresa sobre ética y comportamiento y de la manera de sercomunicadas, supervisadas y puestas en funcionamiento enla práctica. Incluyen las acciones que toma la gerencia parareducir o eliminar oportunidades de que el personal lleve acabo acciones ilegales, deshonestas o contrarias a la ética.También incluyen las comunicaciones al personal de losvalores de la empresa y sus normas de comportamiento através de pronunciamientos de políticas y códigos deconducta, así como por ejemplos dados por sus ejecutivos.

Conciencia de Control y Estilo Operativo de la GerenciaLa gerencia tiene la responsabilidad de dirigir y controlarlas operaciones y establecer, comunicar y monitorearpolíticas y procedimientos. Cada aspecto del entorno delcontrol se ve profundamente influenciado por las accionesy las decisiones (o, en algunos casos, por inacción eindecisión) de la gerencia. En un ambiente de controleficaz, la conciencia de control de la gerencia y su estilode operar y coordinar, propicia una operación eficaz de losprocesos y controles y un entorno en que la probabilidadde error se minimice.

La conciencia de control se refiere a la importancia que lagerencia le da a los controles internos y, al entorno en queellos funcionan. En gran parte este es un conceptointangible; es una actitud de la gerencia que, una vezcomunicada, ayuda a lograr que un control adecuadopermanezca en su lugar y reduzca la posibilidad de quecontroles específicos sean ignorados.

Compromiso de Ser CompetentesEl compromiso de ser competentes incluye laconsideración de la gerencia de los niveles de competenciapara puestos específicos y cómo estos niveles se traducenen requisitos de aptitudes y conocimientos. Entre otrosfactores que la gerencia debe considerar, está la naturalezay el grado de juicio que se debe usar en una laborespecífica y el grado de supervisión que va a necesitar. Elequipo a cargo del proyecto tiene que considerar si elpersonal parece ser competente para cumplir susresponsabilidades (por ejemplo, sí el personal tiene elsuficiente conocimiento y experiencia en el área deprincipios de contabilidad generalmente aceptados sobrelos cuales la compañía va a reportar).

Participación de la Junta Directiva y del Comité de Auditoría en elGobierno (Governance) y Supervisión del NegocioLa junta directiva, a través de actividades propias y con elsoporte de un comité de auditoría, es responsable de lasupervisión de los procedimientos y políticas contables yde reporte de información financiera.

Mientras que las actividades y responsabilidadesespecíficas de los comités de auditoría varían y requierenmodificaciones o adaptaciones conforme las circunstanciasindividuales, la junta directiva tiene una responsabilidadfiduciaria ante los accionistas y terceros por lapresentación de reportes financieros confiables. Comoresultado la junta directiva y el comité de auditoría debenestar preocupados de reportar información financiera a losaccionistas y al público inversionista y deben monitorearlas políticas contables de la compañía y los procesos deauditoría interna y auditoría independiente.

Al determinar los efectos que tiene la junta directiva y/o elcomité de auditoría sobre el entorno del control, el equipo acargo del proyecto debe considerar la independencia de lajunta directiva y/o el comité de auditoría con respecto a lagerencia, la experiencia y los conocimientos de sus miembros,el grado de participación y su escrutinio de las operaciones dela compañía, el grado en que surgen preguntas difíciles y seles da seguimiento con la gerencia y su interacción con losauditores internos y los auditores independientes.

Estructura Organizacional y Asignación de Autoridad y ResponsabilidadesLa estructura de organización de una empresa señala elmarco general para la planeación, dirección y el control delas operaciones. Una estructura eficaz determina laasignación de responsabilidad, de tal manera que todo elpersonal tenga un claro concepto de quién es la persona aquien reportar y cuáles son sus responsabilidades.

En su revisión de la estructura de organización, el equipo acargo del proyecto debe considerar métodos para (1) asignarautoridad, (2) monitorear operaciones descentralizadas, (3) asignar y monitorear responsabilidades para sistemas de información (incluyendo el uso de organizaciones deservicio o “service organizations”), (4) establecer ymonitorear políticas y procedimientos (e.g., conflicto deintereses, seguridad corporativa y códigos de conducta) entoda la organización.

El equipo a cargo del proyecto debe concentrarse en lasubstancia de la estructura de organización y en los métodosseguidos para asignar autoridad y responsabilidad, en lugarde concentrarse en su forma. Por consiguiente, el nivel

general de conocimiento y cumplimiento con las políticas yprocedimientos, es tan importante como su monitoreo porparte de la gerencia. La revisión de la estructura deorganización también es útil para que el equipo a cargo delproyecto determine el grado de segregación de funcioneslogrado y para evaluar los efectos que tienen las deficienciassignificativas a este respecto.

Políticas y Procedimientos de Recursos HumanosEstas políticas y procedimientos se refieren a lacontratación, orientación, entrenamiento, evaluación,consejería, promoción y compensación del personal. Laeficacia de las políticas y procedimientos, incluyendo loscontroles, depende de las personas que los ejecutan. Por lotanto, la capacidad e integridad del personal de la compañíason elementos importantes de su entorno de control. Lahabilidad de una empresa para reclutar y contratar suficientepersonal competente y responsable, depende a su vez de laspolíticas y prácticas de recursos humanos. Además, el nivelde competencia y de integridad del personal dedicado aprocesos específicos es uno de los factores para evaluar laeficacia del control sobre los procesos.

Evaluación de RiesgoTodas las empresas, independientemente de su tamaño,estructura, naturaleza o tipo de industria, encuentranriesgos en todos los niveles de su organización. Los riesgosafectan la habilidad que tiene una empresa para sobreviviry para competir exitosamente dentro de su industria; paramantener su fortaleza financiera, su imagen públicapositiva y la calidad general de sus productos o servicios ysu personal. No hay manera práctica de reducir su riesgo a“cero”. De hecho, la decisión misma de establecer unnegocio, crea un riesgo. La gerencia debe decidir el nivelde riesgo que prudentemente puede aceptar y tratar depermanecer dentro de ese nivel.

El proceso de identificación, análisis y administración deriesgos es un componente crítico de cualquier sistema decontrol interno eficaz. También debe reconocerse quesiempre está presente el cambio y es fundamental para unproceso eficaz de evaluación de riesgo tomar las accionesnecesarias para responder a tales cambios.

13




Para comprender el proceso de evaluación de riesgo a nivelde empresa, el equipo a cargo del proyecto debe considerarfactores tales como:

1 Si se han establecido y comunicado los objetivos a nivelde empresa, incluyendo la manera como estánsoportados por planes estratégicos y complementados anivel de proceso o de aplicación

1 Si se ha establecido un proceso de evaluación de riesgosque incluya una estimación de la importancia de losriesgos, evaluación de las probabilidades de queocurran, y determinación de las acciones necesarias

1 Si se han establecido mecanismos para anticipar,identificar y reaccionar a situaciones que puedan tenerun efecto dramáticamente extenso en la empresa. (Porejemplo, un comité gerencial de administración deactivos/pasivos en una institución financiera, o un grupode riesgos de comercialización de “commodities” enuna empresa manufacturera)

1 Si existen mecanismos para anticipar, identificar yreaccionar a eventos rutinarios o a actividades queafecten el logro de los objetivos de la entidad o a nivelde proceso/aplicación

1 Si el departamento de contabilidad ha establecidoprocesos para identificar cambios significativos en losprincipios de contabilidad generalmente aceptadospromulgados por las autoridades pertinentes

1 Si los canales de comunicación están facultados paranotificar al departamento de contabilidad los cambiosen las prácticas de negocios de la empresa que puedenafectar el método o el proceso de registrar transacciones

1 Si el departamento de contabilidad tiene procesos paraidentificar cambios importantes en el entorno operativo,incluyendo cambios regulativos

Información y ComunicaciónInformación y comunicación es el proceso de capturar eintercambiar información que se necesita para ejecutar,administrar y controlar las operaciones de la empresa. Lacalidad del sistema de comunicación e información de lacompañía afecta la habilidad de la gerencia para tomar lasdecisiones acertadas para controlar las actividades de lacompañía y preparar reportes financieros confiables.Información y comunicación abarcan la captura y laemisión de información al personal adecuado para que éstepueda cumplir con sus responsabilidades, incluyendo unacomprensión de las funciones y responsabilidadesindividuales que atañen al control interno sobre reportes deinformación financiera.

Para entender la información y comunicación a nivel deempresa, el equipo a cargo del proyecto considera factorestales como:

Información1 Si el sistema de información provee a la gerencia los

informes necesarios sobre el desempeño de la empresaen relación con los objetivos establecidos, incluyendoinformación relevante tanto externa como interna

1 Si la información se provee a las personas adecuadascon suficiente detalle y anticipación para que puedandesempeñar sus responsabilidades eficientemente y con eficacia

1 Hasta qué grado los sistemas de información sondesarrollados o modificados con base en un planestratégico que está inter-relacionado con el sistemageneral de información de la empresa, que permita el logrode los objetivos a nivel de empresa y de proceso/aplicación

1 Si la gerencia de la empresa asigna los recursoshumanos y financieros adecuados para desarrollar lossistemas de información que sean necesarios

1 Cómo asegura y monitorea la gerencia la participaciónde usuarios en el desarrollo (incluyendomodificaciones) y pruebas de programas

1 Si se ha establecido un plan de recuperación en caso dedesastre para todos los centros principales de datos

Comunicación1 Si la gerencia comunica de manera eficaz las funciones

y responsabilidades de control del personal

1 Si se han establecido canales de comunicación para laspersonas que tienen que reportar hechos sospechosos

1 La idoneidad de la comunicación a través de la empresapara facilitar el desempeño de obligaciones por parte delpersonal

1 Si la gerencia toma oportuna y apropiada acción deseguimiento en relación con las comunicaciones declientes, proveedores, mediadores y otras partesexternas

1 Si la empresa está sujeta a requisitos de monitoreo ycumplimiento impuestos por organismos reguladores

1 El alcance de notificación a terceros fuera de la empresa(tales como clientes y proveedores) sobre las políticas ynormas de ética de la empresa

Actividades de ControlLas actividades de control son políticas y procedimientosque ayudan a asegurar que las instrucciones de la gerenciasean cumplidas. Ayudan a asegurar que se toman lasacciones necesarias para tratar los riesgos en el logro delos objetivos de la empresa. Las actividades de control,automatizadas o manuales, tienen varios objetivos y seaplican a varios niveles organizacionales y funcionales.

Para comprender las actividades de control a nivel deempresa, el equipo a cargo del proyecto toma en cuentafactores tales como:

1 Si existen las políticas y los procedimientos que serequieren respecto a cada actividad de la empresa

1 Si los controles se aplican con la extensión que requierecada política

1 Si la gerencia tiene objetivos claros en términos depresupuesto, utilidades, otras metas financieras y deoperación y estos objetivos son expresados con claridady comunicados a toda la organización, y sonmonitoreados continuamente

1 Si hay sistemas establecidos de información y deplaneación para identificar variaciones en el desempeñoplaneado y comunicar tales variaciones a nivelapropiado de gerencia

1 Grado en que las funciones están segregadas entrediferentes personas de tal manera que se reduce elriesgo de fraude o de otros actos impropios

1 Grado en que las funciones están divididas lógicamentepor medio de aplicaciones de tecnología de información(IT)

1 Si se hacen comparaciones periódicas de los importesregistrados en el sistema contable con los activos físicos

1 Si existen salvaguardias adecuadas para evitar el accesono autorizado o la destrucción de documentos, registrosy activos

1 Si se han establecido políticas para controlar el acceso aarchivos de datos y programas

1 Si se usa algún software de seguridad de acceso, desistema operativo, y/o de aplicaciones para controlar elacceso a datos y programas

1 Si existe una función establecida de seguridad deinformación con la responsabilidad de monitorear elcumplimiento con las políticas y procedimientos deseguridad de información

Monitoreo Una importante responsabilidad de la gerencia es elestablecimiento y mantenimiento del control interno. Lagerencia monitorea los controles para cerciorarse de quefuncionen conforme a lo diseñado, y si se han modificadopara adaptarlos a condiciones cambiantes. Monitoreo es unproceso de evaluación para determinar la calidad delcontrol interno a través del tiempo, considerando si loscontroles están operando para lo que fueron diseñados yasegurando que son modificados apropiadamente porcondiciones cambiantes. Esto implica evaluar el diseño yla operación de los controles con regularidad, tomando lasacciones correctivas necesarias. Este proceso se logramediante actividades sobre la marcha y evaluacionesseparadas, o combinaciones de ambas.

15




Para comprender el proceso de monitoreo a nivel deempresa, el equipo a cargo del proyecto debe tenerpresente factores tales como:

1 Si se llevan a cabo evaluaciones periódicas del controlinterno

1 Grado en que el personal, en el desarrollo de susfunciones regulares, obtiene evidencia de que el sistemade control interno continúa funcionando

1 Grado en que las comunicaciones de partes externascorroboran la información generada internamente oindican problemas

1 Si la gerencia sigue las recomendaciones que le hacenlos auditores internos y los auditores independientes

1 Enfoque de la gerencia para corregir oportunamente lascondiciones informables conocidas

1 Enfoque de la gerencia para manejar los reportes yrecomendaciones provenientes de autoridades reguladoras

1 Existencia de una función de la auditoría interna que lagerencia usa para ayudarse en el monitoreo, la cualincluye factores tales como:

—Independencia (autoridad y relaciones de reporte)

—Líneas de reporte (se reporta directamente a la juntadirectiva y/o al comité de auditoría, o se tiene accesoilimitado a la junta directiva y/o al comité de auditoría)

—Idoneidad en la asignación de personal, entrenamientoy existencia de destrezas especializadas de acuerdo conel entorno (e.g., uso de auditores de sistemas deinformación experimentados, adiestrados en entornoscomplejos y altamente automatizados)

—Cumplimiento con las normas profesionales aplicables

—Alcance de actividades (un balance entre auditoriasfinancieras y operacionales, cobertura y rotación deoperaciones descentralizadas)

—Idoneidad de la planeación, evaluación de riesgos ydocumentación del trabajo ejecutado y lasconclusiones alcanzadas

—Inexistencia de responsabilidades operativas

El equipo a cargo del proyecto debe evaluar si el sistemade control interno está sujeto a auto-monitoreo y si incluyemecanismos apropiados para asegurar que cualesquierdeficiencias observadas son corregidas. En el caso de quelos métodos de auto-monitoreo y corrección dedeficiencias sean evaluados como inadecuados, el equipodebe proponer recomendaciones específicas para mejorarel sistema.

Asuntos Específicos para Empresas PequeñasEn empresas pequeñas, el gerente (quien frecuentementetambién es el dueño) sustituye muchos de los mecanismosformales de control mencionados en las seccionesanteriores. El gerente de un negocio más pequeño, quienasume una función activa en las operaciones cotidianas dela compañía, generalmente tiene un conocimiento directode todos los aspectos del negocio. Este gerente está enposición de monitorear y controlar el negocio con eficaciay puede ser un elemento importante para atenuar laausencia de controles específicos y la falta de segregaciónde funciones. Por otra parte, cuando un gerente es diligentey atento a los detalles, sus empleados probablemente loimitarán.

Evaluación GeneralPara llegar a conclusiones sobre el control interno a nivelde empresa, se requiere un alto grado de subjetividad,debido a la naturaleza intangible de los factores aconsiderar y porque no hay normas objetivas y biendefinidas para evaluar un control interno a nivel deempresa. El equipo a cargo del proyecto tiene queidentificar los mecanismos y procedimientos que sonineficaces y aquellos que no existen pero que sonnecesarios. Todo esto, sin embargo no debe permitir que seensombrezca el hecho central de que las mejores políticasy prácticas del mundo carecen de valor si no existe lavoluntad para ponerlas a trabajar.

La evaluación general del control interno a nivel deempresa finalmente lleva a dos preguntas:

1 La gerencia ha creado un entorno de control en el que semotiva al personal a cumplir con controles en lugar deignorarlos o burlarlos?

1 La empresa ha implantado los mecanismos de controlnecesarios para observar el sistema y corregir las faltasde cumplimiento? Los mecanismos están funcionandoeficazmente?

17


4 UN D E R S TA N D I N G A N D EVA L UAT I N G

IN T E R NA L CO N T RO L AT T H E PRO C E S S,TR A N S AC T I O N, O R AP P L I C AT I O N LE V E L

1 Determinar las Cuentas Significativas1 Identificar y Evaluar las Clases Mayores de Transacciones 1 Otras Consideraciones de Control1 Efectos de la Tecnología de Información








Fase Comentarios

19

Después de terminar una evaluación de

control interno a nivel de empresa, el

sistema de contabilidad de una

organización se convierte en el foco primario para

la evaluación del control interno sobre la

información financiera. Para este propósito, el

sistema de contabilidad está representado por los

procesos que son básicos para la información

financiera de la Compañía (i.e., los procesos de

negocios y/o actividades contables).

Determinar las Cuentas SignificativasEl punto de partida para identificar cuales son los procesosimportantes, es la identificación de las cuentas o grupos decuentas significativas, comenzando a nivel de revelaciónen los rubros o las notas de los estados financieros. Unacuenta o un grupo de cuentas es importante si podríacontener errores de importancia (es decir, errores queindividualmente o en conjunto podrían tener un efectomaterial sobre los estados financieros, u otros asuntoscomo aspectos legales, conflicto de intereses o beneficiosno autorizados a funcionarios los cuales, aunque no seanmateriales, pueden afectar adversamente el prestigio de laempresa con sus clientes, accionistas o el público si estosasuntos quedaran sin ser detectados.

Otros factores a tener presentes en la evaluación de laimportancia de una cuenta son su tamaño y composición, ysu susceptibilidad a manipulación o pérdida; su naturaleza;el volumen de la actividad, tamaño, complejidad yhomogeneidad de las transacciones individuales procesadasa través de la cuenta; y la subjetividad en la determinacióndel saldo de la cuenta (i.e., el alcance en que la cuenta esafectada por juicios).

El grado general de cambios que ocurran en las actividadesdel negocio y su efecto en una cuenta o grupo de cuentastambién es algo que se debe tener presente. Generalmente,una compañía en que tienen lugar muchos cambios (porejemplo, su tasa de crecimiento, mercados, productos,personal, tecnología) tendrá más situaciones deincertidumbre y de riesgo que compañías con estabilidad.

Identificar y Evaluar las Clases Mayores deTransaccionesLa siguiente área de enfoque es la identificación yevaluación de las clases mayores de transacciones. Estaidentificación representa el enlace entre la identificación decuentas o grupo de cuentas significativas y la comprensión yevaluación de los procesos y controles relacionados. Lasclases mayores de transacciones incluyen todas las clases detransacciones que afectan en forma material las cuentas ogrupos de cuentas significativas, bien sea directamente através de asientos en el mayor general, o indirectamentemediante la creación de derechos u obligaciones que nopueden ser registrados en el libro mayor. Los procesos, yasean orientados al negocio o a la contabilidad, generan ocomprenden clases de transacciones que pueden calificarsecomo a) rutinarias, b) no rutinarias o c) de estimación. Es

4 Comprender y Evaluar el ControlInterno a Nivel de Proceso,Transacción o Aplicación


4 CO M P R E N D E R Y EVA L UA R E L

CO N T RO L IN T E R N O A NI V E L D E

PRO C E S O, TR A N S AC C I Ó N O AP L I C AC I Ó N

importante distinguir entre estas clases mayores detransacciones porque los componentes y riesgos en cadaclase son diferentes y, como resultado, la probabilidad deerrores de importancia que surgen de los procesoscorrespondientes también difiere.

Transacciones RutinariasLas transacciones rutinarias por lo general son los datosfinancieros registrados en los libros y los registros o datosno financieros usados para administrar el negocio.

Por ejemplo, una empresa manufacturera podría tener lassiguientes transacciones rutinarias:

1 Ventas y cuentas por cobrar

1 Ingresos en efectivo

1 Compras y cuentas por pagar

1 Egresos en efectivo

1 Nómina

1 Inventarios y costo de ventas

Algunas compañías tendrán más de un solo proceso paratransacciones similares. Por ejemplo, puede haber procesosseparados para ventas domésticas y de exportación; lanómina puede ser diferente para aquellos con salario fijo ylos que ganan en base a horas trabajadas.

Transacciones No RutinariasEstas son transacciones que se llevan a cabo únicamente enforma periódica, generalmente en conjunto con los estadosfinancieros. Cualquier clase mayor de transacciones que nocumpla fácilmente con la definición de transacciónrutinaria o transacción de estimación se puede ver comotransacción no-rutinaria. Transacciones típicas norutinarias incluyen:

1 Cálculo del gasto por impuesto sobre la renta

1 Provisiones para bienes y servicios recibidos pero aúnno facturados por el proveedor

1 Conteo y valuación de inventarios

1 Determinación de gastos pagados por adelantado

Transacciones de EstimaciónEstas son transacciones que reflejan los numerosos juicios,decisiones y alternativas en la preparación de estadosfinancieros (e.g., estimar la provisión para inventario enexceso u obsoleto, determinar la reserva para pérdidas enpréstamos, o las reservas para garantías).

Las transacciones de estimación son necesarias bien seaporque algunos importes o la valuación de cuentas dependendel resultado de hechos futuros, o porque los datospertinentes a hechos ya ocurridos no pueden ser acumuladosoportunamente sobre una base eficaz de costo-beneficio.

Al hacer distinción entre las clases mayores de transacciones,es importante tener presente que las transacciones rutinariasgeneralmente están sujetas a un sistema de control másformal, debido a que hay mayor objetividad en los datos y enel volumen de información procesada. Por el contrario, debidoa que las transacciones no rutinarias y las de estimaciónfrecuentemente son más subjetivas o menos frecuentes, suscontroles son menos formales. En consecuencia, el riesgo deerrores potenciales puede ser mayor.

Comprender el Flujo de TransaccionesUna vez que el equipo a cargo del proyecto hayaidentificado las principales clases de transacciones, seránecesario obtener una visión más detallada de los procesospara comprender el flujo de cada clase mayor detransacciones. El objetivo de este paso es la identificaciónde los registros, documentos y procedimientos básicos enuso para identificar en dónde pueden ocurrir errores. Lamayoría de los procesos involucran una serie de actividadestales como la validación y edición de entrada de datos,fusión y sorteo (sorting) de datos, cálculos, actualización dearchivos maestros y de transacciones, y resumen einformación de datos. Los procedimientos de proceso másimportantes y que son necesarios para efectos de identificardónde pueden ocurrir errores son las actividades que serequieren para iniciar; registrar; procesar o reportar lasclases mayores de transacciones. Estos incluyenprocedimientos para corregir y reprocesar transaccionespreviamente rechazadas y procedimientos para corregirtransacciones erróneas mediante asientos de ajuste.

Sin importar cuál categoría de transacción mayor afectauna cuenta, debemos comprender el flujo y la naturalezade la información; analizar los tipos de errores que puedenocurrir en la iniciación, registro, proceso y reporte de lastransacciones, y considerar las políticas y procedimientosde control interno relevantes.

Si bien la documentación de la comprensión y evaluaciónvariará según la categoría de la transacción (e.g., usarflujogramas para documentar procesos para transaccionesrutinarias y memorandos para documentar procesos paratransacciones no rutinarias y de estimación), los objetivosde registrar información contable son consistentes.

Proceso de Reporte de Información FinancieraFinalmente, el equipo a cargo del proyecto debe incluir ensu comprensión y evaluación del control interno el procesopara producir reportes financieros. La comprensión de losprocesos significativos de la compañía y su interrelacióncon el proceso específico de producir informaciónfinanciera proporcionará al equipo a cargo del proyecto unabase para conocer la información requerida para el procesode información financiera. Típicamente éste incluirá:

1 Los procedimientos para registrar los totales de lastransacciones en el mayor general.

1 Los procedimientos para iniciar, registrar y procesarasientos de diario en el mayor general.

1 Otros procedimientos usados para registrar ajustesrecurrentes y no-recurrentes en los estados financieros,tales como ajustes de consolidación, combinaciones yreclasificaciones.

1 Procedimientos para preparar proyectos de estadosfinancieros y notas a los estados financieros.

1 Preparación del análisis de la gerencia en cuanto alogros financieros y operativos del negocio.

Otras Consideraciones de Control Las políticas y procedimientos en relación con autorización,salvaguardia de activos, responsabilidad sobre activos ysegregación de funciones son establecidos por la gerenciapara poder proveer una seguridad razonable de que:

1 Los activos son adquiridos, custodiados y usados, y lospasivos son incurridos y liberados (discharged)conforme a las decisiones de la gerencia.

1 La información financiera es mantenida correctamenteen los libros y registros con respecto a activos y pasivosresultantes de dichas decisiones.

Estas políticas y procedimientos son parte integral de unsistema de control interno y se relacionan básicamente conel control de la gerencia sobre la disposición de los activosy pasivos de la empresa y, únicamente de manera indirecta,con los controles sobre el procesamiento de datos, loscuales se ocupan con la contabilización correcta, puntual ycompleta de las transacciones. Sin embargo, la ausencia dedichos controles podría incrementar el riesgo de errores deimportancia en la información financiera incluida en loslibros y registros de la empresa.

En vista de que las políticas y procedimientosfrecuentemente toman la forma de controles, la ausenciade políticas y procedimientos adecuados sobre cualquierade estas áreas puede afectar la forma en que el equipo acargo del proyecto juzgue la eficacia de controlesespecíficos sobre los procesos.

1 Autorización

Los niveles general y específico de autorización yaprobación y los procedimientos diseñados paraasegurar que las transacciones y actividades se ejecutande conformidad con las intenciones de la gerencia.

1 Salvaguardia de los activos

Restricciones, diseñadas para evitar la pérdida deactivos, al acceso y uso de activos y registros,incluyendo el acceso físico y acceso indirecto mediantela preparación y procesamiento de datos que autoricen ofaciliten el uso o disposición de activos.

21


4 CO M P R E N D E R Y EVA L UA R E L CO N T RO L

IN T E R N O A NI V E L D E PRO C E S O,TR A N S AC C I Ó N O AP L I C AC I Ó N

1 Responsabilidad sobre activos (accountability)

Procedimientos para comparar los activos registradoscon los activos en existencia física y para tomar lasacciones apropiadas cuando se identifican diferencias.Tales procedimientos ayudan a establecer una seguridadrazonable de que se siguen los procedimientos relativosa autorización de uso y acceso a los activos.

1 Segregación de funciones

La prevención que una sola persona lleve a cabofunciones que no son compatibles o que una aplicaciónde Tecnología de Información permita accesoinapropiado o excesivo de los usuarios a las funciones.Por ejemplo, si una persona está en posición de cometererrores y a la vez esconderlos dentro del curso normalde sus propias funciones.

Efectos de la Tecnología de InformaciónEn más aplicaciones complejas automatizadas, loscontroles identificados por la gerencia muchas vecespueden involucrar tecnología de información (IT). Loscontroles de IT incluyen controles de aplicación ycontroles generales de IT. Estos controles ayudan a proveeruna seguridad razonable de que las transacciones sonválidas y están debidamente autorizadas y procesadas demanera completa y precisa.

Controles de AplicaciónLos controles de aplicación corresponden al procesamientode transacciones individuales y pueden consistir enprocedimientos programados (e.g., programas específicospara procesar o editar una transacción) o controles noprogramados (e.g., balanceo manual de informaciónproducida por IT) Existen frecuentemente controlesprogramados, que pueden ser procedimientos de controlprogramados (e.g., editar, comparar o conciliar) o procesosde IT (e.g., cálculos, asientos “on line” o interfacesautomáticas entre sistemas) en los cuales la gerencia confíapara asegurar la exactitud e integridad de la informacióngenerada por las aplicaciones automatizadas. Por ejemplo,para asegurar que los precios en todas las facturas a losclientes son correctos, la gerencia puede confiar en una

editora automatizada para identificar transacciones defijación de precios que no cumplen con los criteriosestablecidos en combinación con un software de control deacceso para restringir el acceso al archivo maestro deprecios. En forma similar, la gerencia puede otorgarconfianza a un proceso de IT como la extensiónautomatizada de las facturas de venta para asegurarse deque todas las ventas han sido valuadas apropiadamente.

Se pueden encontrar controles programados a diferentesniveles de procesamiento de datos. Los siguientes sonalgunos ejemplos:

1 Entradas (input)

Existen controles para asegurar la validez e integridadde los datos de entrada (input) (e.g., resumen de lastransacciones generadas en las sucursales). Puede habervarias validaciones para evitar la entrada (input) dedatos erróneos.

1 Procesamiento

También existen controles para proporcionar valuación ycontabilización correctas. Los procesos pueden ejecutarcálculos sencillos o complejos (e.g., de precios deproductos, de valuación de opciones). La administracióndel procesamiento de instrucciones y parámetrostambién constituye un asunto clave de control.

1 Salidas (output)

Controles especiales pueden estar en funcionamientocuando las salidas de datos generan pagos (e.g., lavalidación de la identificación de proveedores antes deprocesar el pago).

Un control programado por si mismo no puede sersuficiente para asegurar que la aplicación previene laocurrencia de errores o para detectar y corregir errores quehayan ocurrido durante el procesamiento. Sin embargo, uncontrol programado, en combinación con controlesgenerales eficaces de IT puede proporcionar el nivel decontrol deseado.

23

Controles Generales de ITSe refieren a controles fundamentales sobre la adquisicióny mantenimiento de software de aplicaciones y sistemas,seguridad de accesos y segregación de funciones queoperan para asegurar la eficacia de los controlesprogramados. Típicamente los controles generales de ITestán diseñados para asegurar que:

1 Todos los cambios en las aplicaciones han sidoautorizados, sujetos a prueba y aprobados antes de suimplantación.

1 Unicamente personas y aplicaciones autorizadas tienenacceso a los datos y solamente para ejecutar funcionesdefinidas específicamente (e.g., indagar, ejecutar oactualizar).

Si, tomando en consideración las preguntas sobre “lo quepudo fallar”, el equipo a cargo del proyecto determina quela gerencia está otorgando confianza a controlesprogramados o que el control identificado depende dedatos generados por IT, entonces debe hacerse una segundapregunta: “Cómo sabe la gerencia si los controlesprogramados operan eficazmente?” La respuesta puede serque: (1) los procedimientos del usuario verifican laexactitud del procesamiento (e.g., recalculandomanualmente los cálculos complejos, o conciliando losreportes de IT con los totales de partidas manuales) y/o (2)la gerencia depende de los sistemas de IT para ejecutareficazmente el control o producir los datos. En el caso dela respuesta (2), el efecto de los controles generales de IT(i.e., modificaciones a programas y/o acceso a archivos dedatos, incluyendo los controles generales dentro deentornos integrados de aplicaciones tales como arreglosclave y segregación de funciones entre los usuarios queafectan la aplicación completa) debe tomarse en cuenta alhacer la evaluación preliminar de la eficacia de todos loscontroles que dependen del sistema de IT o de datosgenerados por IT.

Muchas empresas usan organizaciones de servicio externaspara procesar transacciones. En ese caso, además deevaluar los controles dentro de la empresa, la gerenciatiene que desarrollar un conocimiento de la importanciaque el procesamiento en la organización de servicio tienepara el sistema contable y los controles de la empresa. Conbase en el grado de importancia, la gerencia puedenecesitar hacer una evaluación de los controlesestablecidos en la organización de servicio. Con frecuenciael auditor de la organización de servicio prepara un reportesobre estos controles, el cual será útil para la evaluación delos mismos por parte de la gerencia.

Las preocupaciones fundamentales con respecto a loscontroles son las mismas ya sea que las transacciones seanprocesadas internamente o por una organización deservicio externa.


5 EVA L UA R L A EF I C AC I A GE N E R A L D E L O S

CO N T RO L E S, ID E N T I F I C A R AS U N TO S QU E RE QU I E R E N

ME J O R A S Y ES TA B L E C E R U N SI S T E M A D E MO N I TO R E O

1 Determinar si los Controles Tal Como Fueron Diseñados sonEficaces

1 Determinar si los Controles Funcionan Tal Como FueronDiseñados

1 Identificar Asuntos que Requieren Mejoras.1 Establecer un Sistema de Monitoreo








Fase Comentarios

5 Evaluar la Eficacia General de losControles, Identificar Asuntos queRequieren Mejoras y Establecer unSistema de Monitoreo

25

Establecer y mantener controles eficaces

es una responsabilidad importante de

la gerencia. Para proveer seguridad

razonable de que los objetivos de una empresa se

logran, su sistema de control interno debe estar bajo

una supervisión continua de la gerencia, verificando

que opera conforme a lo planeado y que se modifica

apropiadamente para cambios en condiciones.

El informe COSO indica que un sistema de controlinterno, sin importar que tan bien se haya concebido ypuesto en operación, solamente puede proveer seguridadrazonable -y no absoluta- a la gerencia, a la junta directivay al comité de auditoria acerca del logro de los objetivosde la empresa. El informe también indica que lasprobabilidades de logro de estos objetivos, se venafectadas por las limitaciones inherentes a todos lossistemas de control interno. Luego, indica que uno de losfactores de limitación consiste en que el diseño de unsistema de control interno debe reflejar el hecho de queexisten restricciones de recursos, y que los beneficios delos controles deben juzgarse relativamente a su costo.

Evaluar la Eficacia GeneralEl paso final en la evaluación de los controles internossobre reporte de información financiera (financialreporting) es hacer una evaluación general del diseño y laoperación de los controles con base en los resultados de lasevaluaciones detalladas que se hicieron previamente anivel de procesos.

Determinar Si los Controles, Tal Como Fueron Diseñados, Son Eficaces:La determinación si los controles tal como fuerondiseñados, son eficaces, debe ser hecha por un revisor encapacidad de supervisión (por ejemplo el contralor de ladivisión o el tesorero de la subsidiaria) o por un miembrodel equipo a cargo del proyecto. Al hacer esta evaluación,el revisor debe considerar:

1 Características de las cuentas relacionadas (tamaño,susceptibilidad a errores o manipulación)

1 Eficacia del control interno a nivel de empresa

1 Conclusiones relacionadas con los procesos detecnología de información (IT)

1 El diseño de control en si

1 La sensibilidad del control

1 Políticas y procedimientos en relación con autorización,custodia de activos, control confiable de los activos ysegregación de funciones

Determinar si los controles logran un objetivo específico(e.g., con respecto a los objetivos de reporte de informaciónfinanciera o cuáles errores de importancia no ocurren)requiere con frecuencia de juicio considerable. La pregunta





clave es si los controles esenciales podrían prevenir y/odetectar un error material relacionado con cada una de lasaseveraciones pertinentes en los estados financieros.

Si los controles existentes no son eficaces para esepropósito (o no hay controles), podría ser necesarioestablecer controles adicionales ya sean programados omanuales. Sin embargo, antes de instalar procedimientosnuevos, la empresa debería llevar a cabo un estudio decosto-beneficio (véase la siguiente sección) paradeterminar si el costo excedería los beneficios.

Determinar Si los Controles Funcionan Tal Como se DiseñaronLa gerencia debe tener una seguridad razonable que loscontroles funcionan tal como se diseñaron. Un paso inicialen ese proceso es que el revisor ejecute el recorrido de unatransacción para verificar que lo que él entiende sobre elfuncionamiento deseado del proceso y de sus controles escorrecto. Después que este recorrido ha sido ejecutado,puede comenzar la prueba de la eficacia de los controles.

Las pruebas para verificar si los controles funcionan talcomo se diseñaron, pueden hacerse mediante indagación alas personas responsables del control y examen de laevidencia (e.g. revisión de las conciliaciones bancarias) deque el control fue ejecutado y fue eficaz. También puedehacerse si el revisor analiza una transacción y repite laoperación (por ejemplo los cálculos en una factura usadacomo muestra). En otros casos se puede obtener unaseguridad del buen funcionamiento de un control,observando a los empleados mientras llevan a cabo susfunciones, y mediante entrevistas con el personal paradeterminar si entienden lo que deben hacer si se identificaun error durante la ejecución de sus funciones.

En los casos de transacciones procesadas por el sistema IT,además de seguir el flujo físico de documentos y formas,el revisor también sigue el flujo de datos y de informaciónde archivos a través de procesos automatizados en laaplicación (a nivel de sistema y no a nivel de lógicadetallada). Esto puede involucrar procedimientos talescomo preguntas a personal independiente pero conconocimiento de la materia, revisión de manuales del

usuario, observación de un usuario cuando procesatransacciones en una terminal, en el caso de una aplicación“on line”, y revisión de documentación tal como reportesde salida (output).

Al concluir esta tarea, el revisor debe documentar si loscontroles manuales y programados funcionan conforme alo diseñado e incluir cualesquier otros comentariospertinentes que puedan ayudar al equipo del proyecto.

Identificar Asuntos que Requieren MejorasEn un ambiente de negocio dinámico, los controlesrequieren una modificación cada cierto tiempo. Ciertossistemas pueden requerir mejoras en sus controles pararesponder a nuevos productos en el mercado o debido ariesgos emergentes. La automatización de algunos controlesmanuales puede mejorar la eficiencia y el cumplimientocon las políticas de la gerencia. En otras áreas la evaluaciónpuede indicar controles redundantes u otros procedimientosque ya no son necesarios. En tales casos la compañía puedemantener un nivel aceptable de controles y mejorar susresultados mediante los cambios apropiados.

En el caso de que se identifiquen áreas en donde loscontroles son insuficientes para producir una seguridadrazonable de que el riesgo de errores disminuye a un nivelaceptable, el equipo a cargo del proyecto debe recomendarmejoras. En todas las recomendaciones hay que tenerpresente el concepto de seguridad razonable.

Tanto los textos de auditoría como el informe COSOenfatizan en que el control interno no tiene que estarcompletamente libre de riesgos si la eliminación total deéstos tuviese un costo superior al beneficio esperado. Porlo tanto, cuando el revisor o el equipo a cargo del proyectoidentifican un riesgo, es necesario tomar una “decisión decosto-beneficio” respecto a si los costos de instalación ymantenimiento de un control que reduzca o elimine elriesgo exceden los beneficios esperados. Generalmente,los controles solamente pueden reducir, no eliminar porcompleto, un riesgo. Además, se pueden usar los análisisde costo-beneficio para determinar si los controlesexistentes deben conservarse.

Frecuentemente existe más de un curso de acción quereducirá un riesgo determinado. Además, los controles deuna empresa en un área específica pueden ser desviados uomitidos. Por consiguiente, debe determinarse el mejor cursode acción, según las circunstancias. Esto puede requerir elanálisis de costos y beneficios en más de un control.

Aplicar el concepto de “costo-beneficio”Es más fácil citar que aplicar el principio de que laomisión de reducir un riesgo se justifica cuando los costosexceden los beneficios. En muchos casos encontraremosgrandes dificultades para aplicar la razón de costo-beneficio porque la identificación y medida precisa de loscostos y los beneficios serán imposibles. También serádifícil cuantificar el riesgo a ser eliminado; el beneficio aobtener podría ser la eliminación de un riesgo imposible decuantificar, y el costo puede incluir intangibles tales comola moral deteriorada de un empleado o el crédito mercantil(goodwill) de un cliente.

Por consiguiente, cualquier decisión de costo-beneficiotomada para determinar la implantación de un control debedepender en gran parte de juicios. De esta manera, cuandoun análisis de costo-beneficio deja una duda de si el costodel control es más grande que el beneficio, normalmentees prudente implantar el control o retenerlo.

Además, hay situaciones que son tan claramenteinaceptables que deben ser modificadas casi a cualquiercosto, por lo que la pregunta de costo-beneficio se vuelvemeramente académica. Por ejemplo si existe una debilidadmaterial (material weakness), los controles necesarios paracorregir la situación deben implantarse sin importar elcosto. Los textos de auditoría definen una debilidadmaterial como una situación en la cual:

“... el diseño o el funcionamiento de uno o más de loscomponentes del control interno no reducen a un nivelrelativamente bajo el riesgo de que aseveraciónequívoca causada por error o fraude, en cantidades queserían materiales en relación con los estados financierosque se estén examinando, pueda ocurrir y no serdetectado dentro de un período razonable por losempleados en el desempeño de sus funciones.”

Las condiciones que indican la existencia de debilidadesmateriales incluyen:

1 La compañía no tiene seguridad razonable de que sucontrol interno permite la preparación de estadosfinancieros en conformidad con principios contablesgeneralmente aceptados (GAAP)

1 Los auditores independientes no pueden de una formapráctica concluir la auditoría

1 La empresa emite estados financieros interinos queproporciona a terceros pero no tiene una seguridadrazonable (reconociendo la relativamente importanteimprecisión en estados financieros interinos) de que sucontrol interno le permitirá la preparación de estadosfinancieros interinos conforme a principios decontabilidad generalmente aceptados (GAAP)

1 La empresa no tiene una seguridad razonable que todos losactivos de cantidades significativas estén adecuadamentecustodiados (i.e., el acceso a los activos es apropiado)

Todos los aspectos de control interno están sujetos al juicio“costo-beneficio”, incluyendo:

1 Procedimientos rutinarios (e.g., comparando facturascon reportes de recibo)

1 Monitoreo periódico (e.g., pruebas de controles,verificación de porciones del sistema, actualización de estudios anteriores sobre costo-beneficio). Estoincluye decisiones sobre el tipo de monitoreo (e.g., porauditores internos) y la frecuencia del monitoreo (e.g.,trimestral, anual, etc.)

1 Documentación relacionada con:

—Transacciones

—Sistema de control

—Actividades de monitoreo

—Decisiones costo-beneficio

27





1 Políticas y practicas para reportar:

—Funcionamiento inadecuado de controles o controlescircunvenidos

—Cambios en las circunstancias que originan riesgosadicionales o nuevos, o reducen o eliminan riesgosexistentes

1 Políticas y prácticas para tomar oportunamente accionescorrectivas

En muchos casos, o posiblemente en la mayoría de ellos,un análisis formal de costo-beneficio sería difícil o costosoe innecesario. Por ejemplo, las personas que efectúan elanálisis, después del segundo paso pueden reconocer queel costo excederá los beneficios. Por otra parte, quienesllevan a cabo el análisis pueden llegar a la conclusión deque el costo de reducir el riesgo será mínimo y que puedeser práctico instalar el control.

Sin embargo, en aquellos casos donde tiene sentido unanálisis formal de costo-beneficio, puede ser útil tomar enconsideración lo siguiente:

1. Listar todas las alternativas razonables (incluyendocontroles) que puedan adoptarse para reducir o eliminarlos riesgos –y si éstas no han sido identificadas– listartodos los riesgos que podrían ser reducidos o eliminadoscon cada alternativa.

2. Listar o identificar las partidas relevantes de costo aincurrir en cada alternativa.

3. Determinar los costos y riesgos que son cuantificables.

4. Cuantificar esos costos y riesgos.

5. Estimar la probabilidad de que una pérdida ocurrirá porfalta de corregir la debilidad, y con qué frecuenciapuede ocurrir ese evento.

6. Para estimar en cada alternativa la probabilidad (siexiste) de que pueda ocurrir una pérdida si el control esinstalado, y con cuanta frecuencia podría ocurrir (si esel caso).

7. Desarrollar la “mejor estimación” de los beneficios que podría haber al eliminar o reducir el riesgo (e.g.,,multiplicando en cada alternativa el riesgo cuantificadopor la reducción en la probabilidad de que una pérdidapudiera ocurrir y luego por la reducción en la frecuenciade ocurrencias).

8. Decidir si los costos por corregir la debilidad podríanexceder los beneficios, o viceversa, con base en unacomparación de costos (cuantificables y no cuantificables)con los beneficios (cuantificables y no cuantificables).

MonitoreoFinalmente, como se mencionó anteriormente, el controlinterno debería ser auto–monitoreable y auto–corregible.Quiere decir que una empresa debe establecer mecanismospara monitorear continuamente y mantener el sistema decontrol interno y tomar la acción correctivaoportunamente, cuando sea necesario.

Generalmente, La responsabilidad para convertir el sistemade control interno en “auto-monitoreable” y “auto-corregible” no debe ser asignada exclusivamente a un sologrupo. En un sentido amplio, el sistema de control internoes integral y completo. Involucra a personal de toda laorganización, incluyendo a muchas personas que no seconsideran con responsabilidades contables o de control.

Muchas personas deben compartir la responsabilidad deasegurar que el sistema de control interno sea “auto-monitoreable” y “auto-corregible”. Estas personas incluyena aquellas que establecen, emiten y monitorean laspolíticas y los procedimientos contables: contralores dedivisión, auditores internos, el contralor corporativo, eldirector de finanzas (CFO), otros miembros de la altagerencia, miembros del comité de auditoría y miembros dela junta directiva. Todos ellos deben preocuparse, condistintos grados de detalle, de que el sistema de controlinterno esté “bajo control”. Para lograrlo, son necesariaslíneas apropiadas de comunicación y retroalimentaciónadecuada, tanto cuando el sistema está bajo control comocuando surgen problemas.

El equipo a cargo del proyecto no debe considerar que sulabor está completa, hasta cuando:

1 Esté satisfecho que los mecanismos apropiados de auto-monitoreo y auto-corrección están en su lugar.

1 Haya presentado recomendaciones razonablementeespecíficas para establecer esos mecanismos.

Las recomendaciones podrán abarcar los siguientesasuntos, si es necesario:

1 Establecer la responsabilidad de emitir políticas yprocedimientos en uno o varios grupos existentes onuevos.

1 Establecer la actividad de auditoría interna.

1 Reportar observaciones resultantes del monitoreo a unnivel gerencial apropiado.

1 Acciones a tomar cuando los empleados no siguen loscontroles establecidos.

1 Participar continuamente con la junta directiva o elcomité de auditoría.

Una vez implantadas las principales recomendaciones, sehabrá establecido una línea básica para actualizacionesanuales de las evaluaciones de la gerencia que le permitareportar sobre la eficacia de los controles. Esto nosignifica que las evaluaciones no continuarán. Por elcontrario, significa que las evaluaciones se convertirán enuna parte de los procesos continuos y repetitivos de laempresa y, por lo tanto, una parte importante del controlinterno de la empresa. Después de su implantación, laempresa puede esperar que cualesquier debilidades(algunas surgirán inevitablemente) serán corregidas dentrode un tiempo razonable.

29

C I Guia Eval. Gerencia.pdf

Documents

Transcript of C I Guia Eval. Gerencia.pdf