Manual de Control Interno y Auditoria Interna para ... · 5.3.1 Lineamientos de auditoria interna...

Asunción, 12.04.2016

DGRV – Confederación Alemana de Cooperativas

Documentos de la DGRV

Manual de Control Interno y Auditoria Interna para Cooperativas no financieras en Paraguay

Manual de Control Interno y Auditoria Interna para Cooperativas no financieras

Año 2016

Página 2

Elaborado por:

Perla Gaona, Consultora Senior de la DGRV Asunción

Steffen Müller, Director del Proyecto CoopSur y Representante de la DGRV

En el marco de la Cooperación Alemana


Año 2016

Página 3

Contenido

1. Introducción ................................................................................................................................ 5

2. Objetivos ...................................................................................................................................... 5

3. Herramientas de apoyo ............................................................................................................ 5

4. Control Interno ........................................................................................................................... 7

4.1 Aspectos Generales ............................................................................................................ 7

4.1.1 Definición .............................................................................................................................................. 7

4.1.2 ¿Porque un sistema de control interno? ................................................................................... 7

4.1.3 Principios básicos del Sistema de Control Interno (según enfoque de la DGRV

para cooperativas no financieras en Alemania)................................................................................. 8

4.1.4 Elementos básicos del control interno ....................................................................................... 9

4.2 Componentes del Sistema de Control Interno según el modelo COSO ............... 9

4.2.1 Ambiente de Control ....................................................................................................................... 10

4.2.2 Valoración de los Riesgos ............................................................................................................ 11

4.2.3 Actividades de Control ................................................................................................................... 11

4.2.4 Información y Comunicación ....................................................................................................... 11

4.2.5 Monitoreo y Control ......................................................................................................................... 12

4.3 Alcance y responsables del sistema de control interno ......................................... 12

4.3.1 Alcance ................................................................................................................................................ 12

4.3.2 Responsables .................................................................................................................................... 13

4.4 Sistema de Control Interno en una Cooperativa Pequeña ..................................... 14

4.5 Evaluación del Sistema de Control Interno ................................................................ 15

5. Auditoria Interna ...................................................................................................................... 16

5.1 Definición ............................................................................................................................. 16

5.2 La auditoría interna y la gestión de riesgos ............................................................... 16

5.2.1 ¿Qué es la gestión del riesgo empresarial? ........................................................................... 16

5.2.2 ¿Qué rol tiene el auditor interno en la gestión del riesgo empresarial?....................... 16

5.3 Fases de la auditoria interna .......................................................................................... 18

5.3.1 Lineamientos de auditoria interna .............................................................................................. 18

5.3.2 Planificación de la auditoria interna .......................................................................................... 19

5.3.3 Ejecución del plan de auditoria interna .................................................................................... 23

5.3.4 Emisión de informe y seguimiento ............................................................................................ 26


Año 2016

Página 4

6. Comentarios finales ................................................................................................................ 30

7. Modelo de cuestionario de control interno ....................................................................... 31

7.1 Ambiente de Control ......................................................................................................... 31

7.2 Evaluación de Riesgos ..................................................................................................... 32

7.3 Monitoreo y Control .......................................................................................................... 37

8. Modelo de informe de auditoría interna ............................................................................. 39

9. Principales bibliografías consultadas ................................................................................ 40


Año 2016

Página 5

1. Introducción La responsabilidad de introducir y mantener procesos y medidas de controles con el fin de prevenir o detectar errores en la empresa, corresponde a los órganos de administración de la misma empresa. Los órganos de control, tienen por su lado la responsabilidad de monitorear el cumplimiento efectivo de dichas actividades de control. La junta de vigilancia en este contexto es el órgano encargado de controlar las actividades de las cooperativas y una de sus funciones principales es la fiscalización del funcionamiento de los instrumentos de la gestión de riesgos y control. Para asegurar que los controles llevados a cabo para prevenir o detectar errores son efectivos, se debe vigilar la gestión operativa de la empresa, esto corresponde a un sistema de control interno adecuado con controles integrados en el proceso, por ejemplo, mediante un departamento de auditoria interna. Este manual de Control Interno y Auditoria Interna en Cooperativas no financieras, elaborado por la DGRV, busca en primer lugar ser un apoyo a la labor de la auditoria interna; y, adicionalmente dará información sobre el diseño y la evaluación del sistema de control interno para los directivos de las cooperativas.

2. Objetivos Como es sabido, el control interno es un proceso que involucra a toda la organización y que su cumplimiento efectivo constituye un factor fundamental para alcanzar los objetivos institucionales, estratégicos y operativos. El objetivo del presente documento es servir de guía para que las cooperativas no financieras, de una manera práctica, implementen un adecuado sistema de control interno y que su departamento de auditoria interna pueda realizar un trabajo de auditoria basado en riesgos, en base a los resultados de la evaluación del sistema de control interno de su cooperativa.

3. Herramientas de apoyo La DGRV pone a disposición de las cooperativas herramientas de apoyo que facilitan el trabajo de evaluación del sistema de control interno de una organización y de la realización de los trabajos de auditoria interna. Estas herramientas nombradas en el presente manual son las siguientes:

Sistema de Control Interno – SCI: herramienta automatizada diseñada para evaluar la razonabilidad del control interno de una cooperativa y proveer de un instrumento para el seguimiento a las observaciones.


Año 2016

Página 6

Sistema de Auditoria Corporativa 2.0 – SAC 2.0: herramienta que permite mejorar sustancialmente los procesos de auditoria interna de las cooperativas, para conseguir sólidos y eficientes sistemas de control interno y calidad de sus estados financieros, que permitan contribuir al fortalecimiento de la gestión financiera y administrativa de las cooperativas.


Año 2016

Página 7

4. Control Interno

4.1 Aspectos Generales

4.1.1 Definición El Control Interno se define como un proceso efectuado por el consejo de administración, la dirección y demás personales de una entidad, diseñado para proporcionar una seguridad razonable en relación al logro de los siguientes objetivos:

Eficiencia y eficacia de las operaciones;

Confiabilidad de la información financiera; y,

Cumplimiento de las leyes y regulaciones aplicables.

La primera categoría se relaciona con la manera correcta de hacer las cosas, en base a los procedimientos establecidos; la segunda con la preparación de estados financieros publicados, confiables, incluyendo estados financieros intermedios y datos financieros seleccionados derivados de tales estados, tales como ganancias realizadas e informadas públicamente; y, la tercera se refiere al cumplimiento de leyes y regulaciones a las que se encuentra sujeta la entidad. Tales categorías distintas pero interrelacionadas, orientan necesidades diferentes y permiten dirigir la atención para satisfacer necesidades separadas. Según la Comisión Treadway, más conocida como Modelo de Control Interno COSO1, el Sistema de Control Interno, tiene su fundamento en el Marco o la Estructura Conceptual Integrada de Control Interno de una empresa (cooperativa).

4.1.2 ¿Porque un sistema de control interno?

El sistema de control interno contribuye de manera trascendental al cumplimiento de los objetivos esenciales de la cooperativa, tales como:

Asegurar el patrimonio existente: o Evitando comportamientos dolosos o Detectando oportunamente errores

Posibilitar el cumplimiento de las políticas de la cooperativa: o Definiendo la actuación de empleados en relaciones externas o Estableciendo sanciones por incumplimientos

Asegurar la regularidad y credibilidad de los informes emitidos: o Evitando calculos erroneos o Mitigando balances incorrectos

Garantizar el cumplimiento con los reglamentos y las regulaciones externas e internas.

1 COSO – Committee of Sponsoring Organizations of the Treadway Commission: iniciativa de 5 organismos para la mejora de control interno dentro de las organizaciones.


Año 2016

Página 8

4.1.3 Principios básicos del Sistema de Control Interno (según enfoque de la DGRV para cooperativas no financieras en Alemania) Los objetivos del sistema de control interno requieren un diseño adecuado de la organización empresarial y reglamentos apropiados para los procesos de las actividades empresariales. Para asegurar un desarrollo efectivo y eficaz habrá que tener en cuenta los siguientes principios básicos:

Organización adecuada o Documentación de las responsabilidades, competencias, actividades y

procesos principales

Transparencia o Documentación de regulaciones, documentación de medidas de monitoreo

Principio de 4 ojos (Two-men-rule) o Solamente es eficaz con separación física o Solamente es eficaz si el controlado no es un superior

Separación de funciones o Fases de trabajo incompatibles dentro de una transacción son

autorización realización asiento control

Información mínima o Cada uno debe recibir las informaciones, cuales necesita por sus tareas

Reproducción en los sistemas técnicas de información El principio de la separación de funciones junto con la organización empresarial adecuada de la empresa cooperativa son las bases principales para el funcionamiento del sistema de control interno.

En cooperativas pequeñas no siempre es factible aplicar el principio de la separación de funciones estrictamente. Por lo tanto otras medidas de monitoreo y control tienen que reemplazarla.


Año 2016

Página 9

Gráfico: Esquema de Sistema de Control Interno

Sistema de gestión interna: Instrumentos como contabilidad presupuestaria, instrumentos de controlling, reuniones de planificación, informes trimestrales con números indicadores de control.

4.1.4 Elementos básicos del control interno

Plan estratégico y operativo

Organigrama

Descripción de puestos de trabajo, instrucciones de trabajo, descripción de la rutina laboral

Plan de cuentas, directrices de balance y contabilización

Patrones de asientos y formularios,

Contabilidad presupuestaria, informe/ cuenta de gestión, estadística operativa

Sistema de información gerencial

4.2 Componentes del Sistema de Control Interno según el modelo COSO

El Sistema de Control Interno consta de cinco componentes interrelacionados, derivados de la manera como la administración realiza los negocios, y están integrados al proceso administrativo. La aplicación de estos componentes en las cooperativas es indiferente a su tamaño, no obstante pueden ser implementados de manera diferente. En las cooperativas muy pequeñas los controles pueden ser menos formales y menos


Año 2016

Página 10

estructurados, pero siempre ligados a las disposiciones regulatorias dependiendo del segmento al que pertenezcan.

4.2.1 Ambiente de Control Se considera el componente más importante ya que de su efectividad depende el buen funcionamiento de los demás componentes; representa la combinación de factores que afectan a las políticas y procedimientos de una organización, fortaleciendo o debilitando sus controles. Los factores que se consideran en este componente son:

La cooperativa demuestra un compromiso con la integridad y los valores éticos.

El consejo de administración demuestra independencia de gestión y ejerce la supervisión del desarrollo y desempeño del control interno.

La gerencia establece, con la supervisión del consejo de administración, las estructuras y líneas de reporte, y apropiados niveles de autoridad y responsabilidad para la consecución de los objetivos.

La cooperativa demuestra el compromiso de atraer, desarrollar y retener a personas competentes en consonancia con los objetivos.

Exigir rendición de cuentas individuales sobre las responsabilidades de control interno en la consecución de los objetivos.

Monitoreo

Información y Comunicación

Actividades de Control

Valoración de Riesgos

Ambiente de Control


Año 2016

Página 11

4.2.2 Valoración de los Riesgos La valoración de los riesgos es la identificación y análisis de los aspectos relevantes que pueden impedir la consecución y el logro de los objetivos, consecuentemente una condición previa para la valoración de riesgos es el establecimiento de objetivos. La definición clara de los objetivos y estrategias de operación es fundamental para que la entidad comprometa sus recursos, así como para identificar los riesgos que podrían impedir su cumplimiento, al valorarlos puede adoptar la respuesta adecuada a los riesgos, con oportunidad y menor costo. La respuesta a los riesgos puede ser: acciones de eliminación, mitigación, transferencia, o admisión de los efectos que pudieran causar los eventos de riesgo, para lo cual el consejo de administración debe aprobar los planes de contingencia relacionados con los riesgos más importantes. Aspectos a considerar:

La cooperativa especifica objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados con los objetivos.

La cooperativa identifica los riesgos para el logro de sus objetivos a través de la entidad y de los análisis de riesgos como base para determinar cómo se deben manejar los riesgos.

La cooperativa considera la posibilidad y probabilidad de fraude en la evaluación de los riesgos.

La cooperativa identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno.

4.2.3 Actividades de Control Son las políticas y procedimientos que permiten la protección y conservación de los activos a fin de lograr seguridad y razonabilidad en el manejo de los fondos y valores. Ayudan a asegurar que se tomen las acciones necesarias para mitigar los riesgos hacia la consecución de los objetivos de la entidad. Las actividades de control se aplican a toda la organización, en todos los niveles y en todas las funciones.

La cooperativa selecciona y desarrolla actividades de control que contribuyan a la mitigación de los riesgos para el logro de los objetivos a nivel aceptable.

La cooperativa selecciona y desarrolla actividades de control generales sobre la tecnología para apoyar el logro de los objetivos.

La cooperativa implementa las actividades de control a través de políticas que establecen lo que se espera y los procedimientos que ponen las políticas en su lugar.

4.2.4 Información y Comunicación Los sistemas de información producen reportes, contienen información operacional, financiera y relacionada, que hace posible operar y controlar la cooperativa. Tiene que ver no solamente con los datos generados internamente, sino también con la información sobre eventos, actividades y condiciones externas necesarias para la toma de decisiones,


Año 2016

Página 12

informes de los negocios y reportes externos. La comunicación efectiva también debe darse en un sentido amplio, fluyendo hacia abajo, a lo largo y hacia arriba de la organización. Debe identificarse, capturarse y comunicarse información pertinente en una forma y en un tiempo que permita a los empleados cumplir con sus responsabilidades. La cooperativa debe disponer de un medio para comunicar internamente la información significativa, y necesaria para garantizar la efectividad del desempeño operacional. El uso de tecnología como el intranet, es de gran ayuda para las consultas en tiempo real y ayuda a la toma de decisiones administrativas reduciendo el cometimiento de errores. Cuando no se dispone de esta tecnología, la gerencia debe asegurarse que el personal reciba un mensaje claro (a través de otros canales) respecto a que las responsabilidades de control deben tomarse seriamente, entender su propio papel en el sistema de control interno, y la manera como las actividades individuales se relaciona con el trabajo de otros.

La cooperativa obtiene o genera y utiliza información de calidad relevante para apoyar el funcionamiento de los controles internos

La cooperativa comunica internamente la información, incluidos los objetivos y responsabilidades de control interno, necesarios para apoyar el funcionamiento de los controles internos.

La cooperativa se comunica con partes externas (clientes, proveedores, entre otros) sobre asuntos que afecten el funcionamiento de los controles internos.

4.2.5 Monitoreo y Control Es Sistema de Control Interno es un proceso que opera continuamente en todos los niveles de la cooperativa, el consejo de administración y la gerencia son responsables por el establecimiento de una cultura apropiada para facilitar el proceso efectivo de control interno y por monitorear permanentemente su efectividad.

La cooperativa selecciona, desarrolla y lleva a cabo evaluaciones en curso y/o por separado para determinar si los componentes del control interno están presentes y funcionando.

La cooperativa evalúa y comunica deficiencias de control interno de una manera oportuna a las partes responsables de la adopción de medidas correctivas, incluyendo la alta dirección y el consejo de administración, según corresponda.

4.3 Alcance y responsables del sistema de control interno

4.3.1 Alcance El alcance del Sistema de Control Interno, cubre todos los hechos, eventos, circunstancias y/u operaciones que se ejecutan en la institución, en todas las dependencias de las que dispone para la atención a los socios y clientes, así como para su desempeño administrativo, financiero y tecnológico.


Año 2016

Página 13

Incluye la capacidad del gobierno para garantizar la continuidad institucional, mediante la generación y ejecución de planes estratégicos y operativos, que sean susceptibles de evaluación cuantitativa y cualitativas; la preparación y presentación de información financiera y contable confiable en los plazos, condiciones y formas requeridas por las regulaciones, reglamentos y leyes aplicables; y el permanente aseguramiento de la efectividad y eficiencia de las operaciones.

4.3.2 Responsables La responsabilidad sobre la efectividad del Sistema de Control Interno de la institución es integral, por tanto es de todas las personas, que como directivos, ejecutivos o empleados se encuentran vinculadas a la cooperativa. Sin embargo la incidencia es distinta en cada caso.

El Consejo de Administración. Su responsabilidad sobre el control interno radica en fijar las políticas de la cooperativa, emitir normativas internas, y, para realizar el control y seguimiento de la gestión administrativa y financiera de la Gerencia General. Junta de Vigilancia. La característica principal de las funciones de la Junta de Vigilancia de acuerdo a la Ley 438/94 de Cooperativas y de sus respectivas reglamentaciones es la fiscalización. Es decir, velan para que la cooperativa no incurra en pérdidas por manejo negligente, doloso o arbitrario por parte del consejo de administración, alguno de sus miembros, la gerencia o los empleados. Así como también por el cumplimiento de las Leyes, Normas o Reglamentos. A pesar de que este objetivo de control es esencial, no siempre puede cumplirse a cabalidad por parte de los integrantes de la Junta de Vigilancia, ya sea porque no tienen los conocimientos, ni el entrenamiento técnico que se requiere para efectuar el encargo de la Asamblea o porque aun teniendo los conocimientos técnicos, no disponen de suficiente tiempo para realizar las tareas operativas de: verificación, inspección, recalculo, comprobación y otras, necesarias para formarse un criterio, que respalde en forma objetiva la administración de la cooperativa, que incluye miles de operaciones y transacciones en un periodo contable y sobre el cual deben pronunciarse emitiendo un informe. El Gerente General / La Gerencia. Es el responsable último y asume la propiedad del Sistema de Control Interno más que cualquier persona u órgano de la estructura orgánica, marca la pauta sobre su funcionamiento y eficacia. Para el funcionamiento del sistema de control interno, la filosofía y estilo de la gerencia, reflejan los valores de la entidad, e influyen de manera directa en su cultura organizacional y operativa. El Auditor Interno. Contribuye en el mejoramiento del sistema de control interno mediante la evaluación de su efectividad acerca de los siguientes aspectos:

Evaluación de los avances de cumplimiento de los objetivos estratégicos, operativos y de la planificación financiera,


Año 2016

Página 14

Evaluación del comportamiento ético en todos los niveles de la cooperativa, en base al Código de Ética y/u otro documento que posea la cooperativa,

Evaluación sobre la eficiencia y efectividad de las operaciones;

Determinación sobre la fiabilidad de la información que genera y proporciona la cooperativa en todos sus niveles,

Revelación de procedimientos y acciones internas que pongan en riesgo los recursos institucionales; y,

Evaluación del cumplimiento institucional de las Leyes, Reglamentos y otras normativas que le son aplicables a la cooperativa.

Todos los colaboradores. Contratados de manera temporal o permanente, ejecutan actividades de control en el desempeño de sus funciones. La descripción de las actividades y la manera en que éstas contribuyen al cumplimiento de la misión, visión, objetivos estratégicos y operativos, se encuentran en diversos instrumentos normativos internos. Algunos de estos instrumentos son requeridos por los organismos de supervisión, en tanto que otros, son desarrollados para normalizar las políticas internas de cada cooperativa.

4.4 Sistema de Control Interno en una Cooperativa Pequeña

Las cooperativas pequeñas tienen la misma necesidad de contar con un buen sistema de control interno que las cooperativas grandes, aun cuando éstas pudieran tener requisitos de información interna y externa mucho más rigurosos. Las mismas características de un buen control interno existen en sustancia en las entidades pequeñas pero debido a su tamaño pueden ser diferentes. Generalmente las principales diferencias son:

- Proceso de comunicación menos formal; normalmente la comunicación es oral. - El estilo de administración es directo, es decir, no existe mucha delegación de

funciones. - Pocos colaboradores, muchas veces cuentan con un solo gerente.

Las cooperativas pequeñas generalmente se especializan en un solo producto o servicio (o un rango limitado de productos y servicios) y frecuentemente operan desde un solo lugar.

El tamaño y las consideraciones económicas en las cooperativas pequeñas reducen la oportunidad de contar con controles internos formales. El hecho de que haya pocos empleados limita el que una segregación formal de funciones sea práctica. Sin embargo, por áreas claves, aun en el negocio muy pequeño, puede ser proactivo e implementar algún grado de segregación de funciones u otra forma de controles simples pero efectivos; esto puede implementarse a través de:

- Instrucciones de trabajos concretos. - Aplicación de plan y manuales de cuentas. - Organización simple y comprensible, de manera a facilitar los controles.


Año 2016

Página 15

4.5 Evaluación del Sistema de Control Interno

Para realizar la evaluación de la efectividad del sistema de control interno de la cooperativa, la cooperativa podrá utilizar la herramienta SCI –Sistema de Control Interno (propiedad de la DGRV). Esta herramienta es un programa de evaluación automatizada diseñada para evaluar la razonabilidad del control interno de una institución y proveer de un instrumento para el seguimiento a las observaciones. Proporciona cuestionarios establecidos por una administración responsable de la parametrización del sistema a medida de los

volúmenes de operaciones y acorde a los requerimientos de la estructura organizacional de su entidad. El sistema por sí mismo no garantiza un mejor control interno en la institución, únicamente es un medio para su validación y el posterior establecimiento de actividades concretas principalmente por parte de la administración, para su adecuación y mejora.


Año 2016

Página 16

5. Auditoria Interna

5.1 Definición El Instituto de Auditores Internos - IIA2, define a la auditoria interna de la siguiente manera: La independencia está establecida por la estructura de la organización y las líneas de reporte, es decir el auditor interno debe responder ante un nivel jerárquico tal dentro de la cooperativa (consejo de administración) que permita a la actividad de auditoria interna cumplir con sus responsabilidades. La objetividad se logra mediante una apropiada actitud mental. La actividad de auditoría interna evalúa la exposición al riesgo del gobierno, las operaciones y los sistemas informáticos de la organización.

5.2 La auditoría interna y la gestión de riesgos

5.2.1 ¿Qué es la gestión del riesgo empresarial? La gestión de riesgo empresarial (ERM3) es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.

5.2.2 ¿Qué rol tiene el auditor interno en la gestión del riesgo empresarial? Tal como lo definimos, la auditoria interna es una actividad independiente, objetiva de aseguramiento y consulta. Su rol principal con relación al ERM es proveer aseguramiento objetivo al consejo de administración y a la gerencia sobre la efectividad de la gestión de riesgo. Las dos formas más importantes en que la auditoria interna provee valor a la organización son:

brindando aseguramiento objetivo de que los principales riesgos de negocio están siendo manejados apropiadamente; y

proveyendo aseguramiento de que la gestión de riesgo y el marco de control interno están operando efectivamente.

2 IIA (siglas en inglés) Institute of Internal Audit

3 ERM (siglas en inglés) Enterprise Risk Management

La auditoría interna una actividad independiente y objetiva de aseguramiento y

consulta, concebida para agregar valor y mejorar las operaciones de una organización.

Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,

control y gobierno


Año 2016

Página 17

Roles de la auditoria interna en el ERM

(*) Salvaguarda: La auditoría interna puede ampliar su participación en el ERM, aplicando ciertas condiciones; estas condiciones son:

o Debe estar claro que la gerencia es quien mantiene la responsabilidad de la gestión de riesgo.

o Auditoria interna no debe gestionar ningún riesgo en favor de la gerencia. o Auditoria interna debe proveer consejo, motivar y soportar las decisiones

realizadas por la dirección, en vez de tomar decisiones de riesgo por ellos mismos. o Auditoria interna tampoco puede brindar aseguramiento objetivo en ninguna parte

del marco del ERM de la cual es responsable. Tal aseguramiento debe ser provisto por otra parte calificada.

o Cualquier trabajo más allá de las actividades de aseguramiento debe reconocerse como una asignación de consultoría y la implementación de normas relativas a tales asignaciones deben seguirse.

(**) Apetito de riesgo: el nivel de riesgo que es aceptable para la dirección. Este puede ser establecido en relación a la organización como un todo, para diferentes grupos de riesgos o en un nivel de riesgo individual.

Roles principales de la auditoria interna respecto

al ERM

• Brindar aseguramiento sobre procesos de gestion de riesgo.

• Brindar aseguramiento de que los riesgos son correctamente evaluados.

• Evaluación de los procesos de gestión de riesgo.

• Evaluación de reporte de riesgos claves.

• Revisión del manejo de los riesgos claves.

Roles legítimos de auditoria interna realizados

con salvaguarda (*)

• Facilitación, identificación y evaluación de riesgos.

• Entrenamiento a la gerencia sobre respuesta a riesgos.

• Coordinación de actividades de ERM.

• Consolidación de reportes sobre riesgos.

• Mantenimiento y desarrollo del marco de ERM.

• Defender el establecimiento del ERM

• Desarrollo de estrategias de la gestión de riesgo para aprobacion de la junta.

Roles que la auditoria interna NO debe realizar

• Establecer el apetito de riesgo (**)

• Imponer procesos de gestión de riesgo.

• Manejar el aseguramiento sobre los riesgos.

• Tomar decisiones en respuesta a los riesgos.

• Implementar respuestas a riesgos a favor de la administración.

• Responsabilidad de la gestión.


Año 2016

Página 18

5.3 Fases de la auditoria interna El proceso operativo de una auditoria interna, se compone de las siguientes fases y/o etapas:

1. Lineamientos de auditoria interna 2. Planificación de la auditoria interna 3. Ejecución del plan de auditoria interna 4. Emisión de informe y seguimiento

5.3.1 Lineamientos de auditoria interna

Esta primera fase o etapa de la auditoria constituyen los prerrequisitos para la realización del trabajo y se fundamenta en conceptos administrativos bajos los cuales se debe desarrollar todo plan de auditoria, permitiendo medir el mismo en forma eficiente y efectiva.

Propósito, autoridad y responsabilidad: El estatuto de auditoria interna es el documento en el que deben formalizarse la posición de la función de la auditoria interna dentro de la organización, definiendo en el mismo el propósito, la autoridad y la responsabilidad. Implica que el auditor interno y sus colaboradores cuenten con la autorización sin restricción alguna para acceder a la información, el personal y los activos de la compañía, así como el que se defina el alcance de las actividades a desarrollar dentro de los requerimientos que sugiere la Práctica Profesional de Auditoría Interna (Instituto de Auditores Internos).

Independencia y objetividad: La independencia es la capacidad que tiene el auditor de realizar su trabajo con integridad, objetividad y libre de cualquier influencia por parte de los miembros de la organización. El auditor interno debe ser independiente durante la ejecución de su trabajo, lo cual permite desarrollarlo con objetividad.

Pericia y debido cuidado profesional: El equipo de auditoría interna debe ser un equipo interdisciplinario, con los conocimientos y habilidades necesarias para desarrollar su trabajo de una forma eficiente y efectiva, en donde el debido cuidado profesional que ejercen en su trabajo, los lleva a evaluar las situaciones presentadas, identificando ineficiencias, errores e incumplimientos, entre otras tantas situaciones que no permiten que las organizaciones alcancen sus objetivos y con lo cual el auditor interno se convierte en un agente generador de valor para la organización. En el caso que el departamento de auditoria interna se encuentre compuesto por pocos colaboradores, el auditor interno puede y debería solicitar toda la ayuda que considere necesaria para llevar a cabo sus funciones, como ser: contratación de profesionales tercerizados.-


Año 2016

Página 19

5.3.2 Planificación de la auditoria interna

Según las Normas Internacionales de Auditorías Internas “El director ejecutivo de auditoría debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditoria interna. Dichos planes deberán ser consistentes con las metas de la organización”4

La etapa de planeación debe permitir a la función de auditoría interna alcanzar sus objetivos en la forma más eficiente posible, así como dar cubrimiento a las expectativas de la organización. El plan puede ser revisado de manera continua y, en caso de ser necesario puede ser modificado.

5.3.2.1 Objetivos de la planificación: La planeación implica elaborar la estrategia de auditoría de forma regular (anual e incluso plurianualmente en base a los riesgos identificados), así como orientarla a los principales riesgos y expectativas de la organización. Los objetivos de la planeación son:

Obtener un entendimiento del negocio de la entidad, su ambiente circundante (industria), políticas y prácticas desarrolladas,

Entender los objetivos de la organización, Realizar la valoración de riesgos de la organización, partiendo de la gestión de

riesgos, así como para aquellos casos en que la compañía no cuenta con dicha gestión, elaborar la correspondiente evaluación por parte de Auditoría Interna, previo acuerdo con la administración, determinando así el perfil de riesgo de la organización,

Entender los controles generales relevantes de la entidad, Identificar aquellos procesos con debilidades y los cuales pueden tener

oportunidades de mejora, Desarrollar la estrategia de auditoría involucrando el resultado de la valoración de

riesgos identificados, los objetivos de la organización y los procesos con oportunidades de mejora importantes, de tal forma que se determinen el nivel de prioridades a auditar,

Definir oportunamente los recursos necesarios para el cumplimiento del plan, Actualizar de acuerdo a los cambios en la organización el Plan de Auditoria.

5.3.2.2 Tips para realizar una planificación de auditoria efectiva: a) En la planeación de la auditoría, todos los esfuerzos deben ir encaminados a:

Detectar riesgos significativos del negocio y de procesos,

Detectar riesgos de fraude,

Detectar el apetito de riesgo de la organización,

Conocer las expectativas de la administración

4 Referencia a las Normas Internacionales de Auditoria Interna, en Paraguay correspondería la elaboración del

plan de auditoria basado en riesgos al auditor interno, previamente consensuado con la gerencia, y luego aprobado por el consejo de administración.


Año 2016

Página 20

b) Efectuar un recorrido por las instalaciones físicas con el fin de comprender mejor el negocio y poder conocer el personal clave; y

c) Documentarnos lo mejor posible mediante información interna y externa, antes de las entrevistas como para el desarrollo de la planeación con:

Información interna: o Plan Estratégico o Plan operativo anual o Memorias de los últimos dos años o Organigrama o Manual de funciones o Manuales de procedimientos o Reglamentos internos o Código de ética y conducta o Naturaleza y características de los productos ofrecidos por la cooperativa o Canales de abastecimiento (compra de socios y/o de terceros) o Canales de distribución o Presupuesto y ejecución presupuestaria o Estados financieros e indicadores financieros o Informes de auditoría externa y/o informes emitidos por INCOOP (Instituto

Nacional de Cooperativismo) en caso de fiscalizaciones realizadas.

Información externa: o Ente regulador o Revistas y diarios o Bases de datos o Riesgos de la industria, sector o tipo de la cooperativa o Portales de búsqueda en la web

d) Estimación del tiempo que se necesitará para la realización del trabajo de auditoria, elaboración de un calendario de horas anuales disponibles para el trabajo de auditoria (excluidos feriados, vacaciones, y otros días no laborales).-

e) Al final de la planeación de la auditoría debemos validar el entendimiento del negocio, los riesgos identificados y los hallazgos con la gerencia del cliente, mediante una presentación.

5.3.2.3 Identificación de riesgos: De acuerdo a las Normas Internacionales de Auditoria Interna, “El plan de trabajo de la actividad de auditoría interna debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección y del Consejo”

Después de contar con un entendimiento amplio del negocio y de sus objetivos, el auditor debe identificar, analizar y evaluar los riesgos a los que está expuesta la organización, y para lo cual debe proceder a realizar una valoración de los mismos, orientado tanto a los objetivos de la organización como a aquellos eventos de fraude.


Año 2016

Página 21

Con los datos e informaciones obtenidas durante el conocimiento de la cooperativa y el resultado del relevamiento del sistema de control interno, deberá elaborar una matriz de riesgos preliminar, en la cual se expondrán los principales procesos y/o ciclos críticos y los riesgos a) inherentes, b) de control, c) combinado. a) Riesgo Inherente: Este tipo de riesgo tiene que ver exclusivamente con la actividad

económica o negocio de la organización, independientemente de los sistemas de control interno que se estén aplicando; dicho de otro modo, es la posibilidad de un error material antes de implementar controles.

Como ejemplo mostramos como se obtiene el valor del riesgo inherente por medio de la herramienta SAC 2.0:

Tipo de cooperativa para ejemplo: Sojera Proceso crítico Riesgo

Inherente Impacto

Económico Impacto

Reputacional Impacto

Legal Promedio

Riesgos Externos

Factores climáticos 3 3 1 1 2,00

Tipo de cambio 3 3 1 1 2,00

Riesgos Internos

Otorgamiento de créditos 2 3 3 3 2,75

Recepción de granos 2 3 1 1 1,75

Al resultado preliminar obtenido, se le agregan -otros factores de riesgo (factores que podrían aumentar el riesgo inherente), como ser:

a) proceso auditado por primera vez b) proceso cuya auditoria genero observaciones por el regulador c) proceso cuya auditoria genero observaciones por la auditoria externa d) proceso con observaciones pendientes a corregir

A estos factores se le deben asignar pesos en porcentajes por cada concepto, siendo 0% de menor peso y 100% de mayor peso.

Cálculo = (3+3+1+1) = 8 ÷ 4 = 2 1 = Riesgo Bajo 2 = Riesgo Medio 3 = Riesgo Alto


Año 2016

Página 22

Proceso crítico Riesgo Inherente Preliminar

Auditado por 1era.

Vez – 20%

Obs. por el ente

regulador – 30%

Obs. por auditoria externa – 30%

Obs. pendientes a corregir – 20%

Calif. Final

Riesgos Externos

Factores climáticos 2,00 3 2 3 3 2,4

Tipo de cambio 2,00 3 1 1 1 1,7

Riesgos Internos

Otorgamiento de créditos 2,75 2 1 1 1 1,98

Recepción de granos 1,75 3 1 1 1 1,58

El resultado obtenido para el riesgo externo de factores climáticos es de 2,35lo que según la metodología utilizada por el SAC correspondería a un Riesgo Inherente ALTO. b) Riesgo de Control: Es la posibilidad de que puedan ocurrir errores significativos que

no fueron prevenidos o detectados y/o corregidos oportunamente por los sistemas de controles internos.

La herramienta SAC 2.0, califica al riesgo de control en: a) MÍNIMO, y b) MÁXIMO Esta calificación puede obtenerse mediante el resultado de la evaluación del sistema de control interno de la cooperativa por medio de la herramienta SCI (tratado en el punto 4.5 del presente manual); este resultado puede utilizar sí o solo sí el cuestionario se encuentra adaptado a la metodología COSO o a la evaluación del control interno de la institución y si puede determinar fácilmente el riesgo de control de cada proceso.

De no contar con la herramienta o no poder definir un Riesgo de Control por proceso crítico, la herramienta SAC prevé que el propio auditor con base en su experiencia y en el conocimiento del negocio (etapas previas de la planificación) pueda definir y sustentar el riesgo de control

Cálculo= 2 + 0,6 + 0,6 + 0,9 + 0,6 = 4,7 ÷ 2 =2,35 1 = Riesgo Bajo 2 = Riesgo Medio 3= Riesgo Alto

Riesgo Bajo

Riesgo Alto

1 a 1,99 2 a 3


Año 2016

Página 23

Adecuación de la calificación obtenida del SCI al SAC:

Resultados posibles de la herramienta SCI Resultados para SAC

Efectivo

Confiable

Riesgo de Control MINIMO

Poco confiable

No confiable

Riesgo de Control MAXIMO

c) Riesgo Combinado: Es el resultado de la combinación de ambos riesgos

(inherente y de control). En base a este riesgo se determinarán las prioridades de los procesos de manera a calendarizarlos en el plan de auditoria anual y plurianual.

Riesgo de Control

MINIMO MAXIMO

Riesgo Inherente

BAJO

MINIMO

MODERADO

ALTO

BAJO

ALTO

El resultado del riesgo combinado sustentará las priorizaciones de los procesos en el plan de auditoria, siendo de prioridad alta o inmediata, aquellos procesos con riesgo combinado alto y moderado, es decir los mismos deben ser incluidos en el plan de auditoria del año inmediato; y con prioridad baja o media aquellos procesos con riesgos combinado bajo y mínimo, es decir los mismos podrán ser incluidos en el plan de auditoria del año siguiente (plan plurianual).

5.3.3 Ejecución del plan de auditoria interna Esta fase está orientada a indagar a un mayor nivel de detalle los objetivos del área, los riesgos identificados, los proyectos tecnológicos en los que trabaja, el nivel de componentes tecnológicos del proceso, la estructura del área, entre otros. Para ello, se debe realizar una reunión con los dueños de los procesos identificados en la fase de planeación, en esta primera reunión el auditor podrá entender cómo funciona el proceso en su nivel básico, identificando los funcionarios claves en el proceso y con quienes posteriormente se deberá entrevistar para conocer en mayor detalle el proceso auditado. Al terminar la reunión el auditor debe tener claramente identificados los objetivos del proceso, la normatividad que regula sus operaciones, los niveles de reporte que debe realizar y el nivel de salvaguarda de los activos; para lograr este objetivo es recomendable preparar un cuestionario de preguntas claves, que el auditor considere que debe validar para tener un mejor entendimiento del proceso.


Año 2016

Página 24

La etapa de entendimiento debe permitir al auditor comprender los objetivos del proceso, los riesgos asociados a dichos objetivos, los controles establecidos por la organización para mitigar el riesgo, la ausencia de controles, la identificación de controles con debilidades en su diseño, así como los problemas que presenta el proceso en su funcionamiento. Elementos para el entendimiento del proceso:

Identificación de los riesgos y controles del proceso Del buen entendimiento del proceso dependerá la identificación de riesgos y de los controles que los mitigan. En la identificación de riesgos es importante que se consideren los factores que puedan incrementar los riesgos, la metodología de la herramienta SAC establece 4 tipos de factores de riesgo, los cuales son:

Proceso auditado por primera vez

Proceso cuya auditoria generó observaciones por el regulador

Proceso cuya auditoria generó observaciones por los auditores

Proceso con observaciones pendientes de corregir Estos factores son fijos para la metodología; han sido considerados los más importantes factores de riesgo en la realización de una auditoría. El auditor interno debe asignar un porcentaje de importancia a cada factor de riesgo, dependiendo de su juicio profesional, la suma de los pesos asignados a los factores de riesgo deber ser igual a 100%.

Una vez que el auditor identifique los riesgos asociados al proceso, debe proceder a identificar los controles que los mitigan. La forma más fácil de identificar si se trata de un control, es verificar si lo que se está evaluando corresponden a revisión, verificación, aseguramiento a través de sistemas, reconciliación, contraseñas, reporte de error, mapeo de cuentas, etc.

Identificación de los controles Los controles se clasifican en 3 tipos: Automático: lo realiza de principio a fin un sistema de información.

Semiautomático: es ejecutado de manera parcial por una persona, pero con la colaboración de un sistema de información.

Manual: lo realiza en su totalidad una persona, sin la colaboración de un sistema de información

Estos tipos de controles a su vez pueden ser: preventivos, detectivos o correctivos:

Preventivo: su objetivo es anticiparse a los eventos no deseados, actuando sobre las causas del riesgo, así como evitando la generación de errores o eventos fraudulentos.


Año 2016

Página 25

Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, así como advierte sobre la presencia de riesgo.

Correctivo: Se orienta a la implementación de las acciones correctivas una vez que se haya identificado un evento no deseado. Su implementación se realiza cuando los controles preventivos o detectivos no han funcionado, lo cual representa que su implementación sea más costosa, pues actúan cuando ya se han materializado eventos de pérdidas para la organización.

Validación de los controles Para validar el funcionamiento de los controles, el auditor se debe apoyar en la prueba de recorrido, con lo cual realiza el reconocimiento de su funcionamiento en el proceso. La validación implica que el auditor solicite al auditado de forma cordial y respetuosa, que le permita ver el funcionamiento de las actividades de control de una transacción, es decir, le solicitará ver la aplicación de cada uno de los controles que le narró, desde el inicio hasta el fin.

Durante el proceso de validación, el auditor debe tomar evidencia de su funcionamiento por lo cual debe solicitar una copia de la evidencia de los controles manuales o imágenes de los controles automáticos (print pantalla).-

Es importante que durante el desarrollo de la prueba de recorrido, el auditor evite hacer preguntas con respuestas cerradas de si o no, pues el objetivo del auditor es lograr que su entrevistado le narre el funcionamiento real del proceso llegando a identificar las debilidades de control que se tienen.

Técnicas utilizadas: Las técnicas utilizadas para verificar la eficacia de la operación de los controles son:

Observación: se observa el desempeño del control Indagación: se solicita a varias personas informadas y competentes, que nos proporcione información acerca del funcionamiento de control Inspección: se analizan los registros o documentos que soporten el funcionamiento del control. Repetición: se puede repetir el funcionamiento de un control para determinar que se desempeña correctamente.

Documentación del entendimiento Una vez realizada la reunión de entendimiento el auditor interno debe documentar la información relevante que le permita soportar las conclusiones y resultados de sus trabajos.

Formas de documentación del entendimiento:

Narrativa: Tal como su nombre lo indica se apoya en una narración de los hechos de forma consecuente y sin el apoyo de diagramas. Durante el proceso de narración se deberá presentar en forma ordenada cada una de las actividades, así como al finalizar la


Año 2016

Página 26

descripción de cada actividad, se deberá relacionar el riesgo y el control identificado o la debilidad de control, permitiendo al lector entender lo que pasa.

Diagrama de flujo: Esta técnica se apoya en la diagramación detallada de las actividades del proceso de forma sucesiva. Dada la utilización de símbolos, el auditor deberá presentar una explicación de lo que representa cada uno de ellos. De igual forma en el diagrama se deberán registrar tanto los controles, riesgos y debilidades identificados, sin embargo, el auditor deberá evaluar si lo hace por cada actividad o si decide llevar una lista de controles y riesgos asociados al final de las actividades.

El diagrama también deberá permitir registrar tanto los responsables, documentos claves, así como las herramientas tecnológicas involucradas.

5.3.4 Emisión de informe y seguimiento

5.3.4.1 Emisión del informe La Norma de Auditoria Interna 2060 – Informe a la Alta Dirección y al consejo establece: “El director de auditoria interna debe informar periódicamente a la dirección y al consejo sobre la actividad de auditoria interna en lo referente al propósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones al riesgo y cuestiones de control significativos, cuestiones de gobierno y otros asuntos necesarios o requeridos por la alta dirección y el consejo”5

Estructura del informe: Si bien el formato y contenido de las comunicaciones o informes finales de trabajo varían según la organización, el destinatario o el tipo de trabajo, deben contener, como mínimo el propósito, alcance y resultados del trabajo. Los resultados incluyen observaciones, conclusiones, opiniones, recomendaciones y planes de acción. Las observaciones son exposiciones pertinentes de los hechos; el auditor interno comunica aquellas observaciones que sean necesarias para apoyar sus conclusiones y recomendaciones, o para evitar equívocos derivados de éstas. El auditor interno puede comunicar las observaciones o recomendaciones que sean menos significativas de manera informal. Para determinar si una observación es relevante o irrelevante, el auditor deber utilizar su juicio profesional; un problema relevante o significativo puede acarrear una exposición inaceptable a riesgos internos y externos, incluyendo factores relacionados con la debilidad de control, fraude, irregularidades, actos legales, perdida, inefectividad, conflicto de intereses y viabilidad financiera. El consejo de administración y la gerencia general deben tomar las decisiones sobre las medidas apropiadas a adoptar en casos e problemas significativos; pueden decidir asumir el riesgo de no corregir la situación informada por el auditor interno debido a sus costos u otras consideraciones.

5 Referencia a las Normas Internacionales de Auditoria Interna, en Paraguay correspondería la elaboración de

los informes de auditoría al auditor interno.


Año 2016

Página 27

Las observaciones y recomendaciones del trabajo surgen de un proceso de comparación entre el criterio (el estado correcto) y la condición (el estado actual). Si el auditor interno encuentra diferencias entre ambos, esta será la base para elaborar su informe. Las observaciones y recomendaciones se basan en los siguientes atributos:

Criterio: Los estándares, medidas, o supuestos utilizados al hacer una evaluación y verificación (el estado correcto)

Condición: La evidencia, los hechos que el auditor interno encuentra durante la realización de su trabajo (el estado actual)

Causa: La razón de la diferencia entre las situaciones esperadas y las reales.

Efecto: El riesgo o exposición en que se encuentra la organización u otros terceros, debido a que la condición no coincide con el criterio (el impacto de la diferencia). Para determinar el grado de riesgo o exposición, el auditor interno tiene en cuenta el efecto que las observaciones y recomendaciones puedan tener sobre las operaciones y los estados financieros de la organización.

El auditor interno puedo comunicar recomendaciones para mejoras, reconocimiento de desempeño satisfactorio o acciones correctivas. Las recomendaciones se basan en las observaciones y conclusiones obtenidas por el auditor interno. Demandan acciones que corrijan la situación actual o mejoren las operaciones y puedan sugerir enfoques para corregir o mejorar la gestión que sirvan de guía a la dirección en la obtención de los resultados deseados.

Teniendo en cuenta los lineamientos dados por las Normas Internacionales de Auditoria Interna, se sugiere tener en cuenta los siguientes aspectos al momento de elaborar un informe:

Todas las situaciones observadas en el informe deben contar con la respectiva documentación de soporte, de tal forma que en ningún momento se cuestione el trabajo del auditor por falta de evidencia.

La redacción del informe debe ser lo suficientemente concreta, concisa y puntual, de manera que el lector no tenga dudas en la interpretación.

El informe debe mantener objetividad, por ello en él no deben nombrarse a personas.

Los informes deben ser emitidos de manera oportuna; una vez terminado el trabajo, el informe debe ser entregado dentro de un tiempo razonable.

La estructura del informe debe permitir al lector, identificar en primer lugar las observaciones relevantes o significativas y por ultimo aquellas que si bien requieren mejoras, su impacto dentro de la organización no el alto.

En caso que durante la auditoria el auditor haya tenido limitaciones para la realización de su trabajo, esto debe ser expresado en el informe; esto servirá al auditor para salvaguardar su trabajo.


Año 2016

Página 28

Las recomendaciones hechas por el auditor deben ser tanto correctivas como preventivas, es decir que si bien pretende corregir la situación observada, también se orienta a la causa que da origen a esa situación.

Periodicidad mínima de los informes:6 Los informes, sean emergentes de controles ordinarios o extraordinarios, serán enviados en forma simultánea, al consejo de administración y a la junta de vigilancia. La periodicidad de presentación de los informes de controles ordinarios será, como mínimo, trimestral, durante cada ejercicio, dentro de los 10 días siguientes al cierre de cada trimestre. Si alguna situación particular amerita, y a fin de dar cumplimiento al principio de oportunidad, el departamento de auditoria interna deberá presentar su informe con la celeridad requerida. Lo mismo se aplica para la presentación de los informes relativos a controles extraordinarios Controles extraordinarios: se refieren a procedimientos y/o evaluaciones extraordinarias (procedimientos no previstos en el plan inicial de auditoria), pero que a criterio del auditor interno, del consejo de administración, o en caso eventual, de la Junta de Vigilancia, sean necesarios debido a situaciones especiales.

5.3.4.2 Seguimiento al informe El objetivo de toda auditoria es lograr que las recomendaciones puestas en el informe sean implementadas, ya que esto dará como resultado mejoras en los niveles de eficacia, eficiencia y economía en la gestión del auditado, así como un fortalecimiento en el sistema de control interno.

Para realizar un seguimiento eficaz de las recomendaciones se debe elaborar un plan de seguimiento, el mismo debe contemplar e indicar los siguientes:

El momento para efectuar el seguimiento y el periodo de tiempo que ha tenido el ente auditado para aplicar dichas acciones.

Objetivos y alcance del seguimiento (se debe priorizar la verificación de implementaciones de acciones correctivas sobre aquellas observaciones con mayor impacto dentro del informe)

Metodología general de revisión que será aplicada

Tiempo necesario para llevar a cabo la revisión Ejecución de la auditoria de seguimiento de las recomendaciones:

Control de implementación de las recomendaciones o Verificar si los responsables directos tomaron conocimiento de las

recomendaciones efectuadas en los informes de auditoría. o Si fuera así: Comprobar si se implementaron y/o adoptaron las medidas

correctivas necesarios; si no fuera así: solicitar los motivos por los cuales no

6 Fuente: Marco General de Regulación y Supervisión de Cooperativas, Capitulo 7.16.4


Año 2016

Página 29

tomo conocimiento del informe de auditoría y/o motivos por los cuales no se implementaron las mejoras.

Verificación De acuerdo al resultado de la etapa anterior se realizaran las actividades necesarias para verificar la implementación de las recomendaciones efectuadas en el informe y se evaluará la efectividad que dicha mejora produjo en el proceso.

Elaboración del informe de seguimiento Una vez terminada el seguimiento se deberá presentar un informe que incluya:

o El grado de cumplimiento de las acciones correctivas o Los logros más importantes obtenidos con las medidas adoptadas o Las recomendaciones que no han sido implementadas, detallando por cada una

de ellas: La causas que utiliza el auditado como justificación de la no

implementación El impacto conjunto que ocasiona la no implementación Un detalle del plan de acción que deberá ejecutar el auditado


Año 2016

Página 30

6. Comentarios finales El Instituto Nacional de Cooperativismo – INCOOP, a la fecha de redacción del presente Manual de Control Interno y Auditoria Interna, mediante la Resolución 14436/2016 dejó sin efecto la Resolución 14404/2015 que aprueba el Marco Regulatorio para Cooperativas en General – Marco que sería aplicable para las cooperativas no financieras en Paraguay- Debido a esta situación, el presente manual toma como referencia el Marco General de Regulación y Supervisión de Cooperativas aprobada mediante la Resolución 499/2004 y actualmente vigente para cooperativas no financieras; así también, hace referencia en gran parte del mismo a los estándares internacionales de auditoria interna. Una vez que el Marco Regulatorio para Cooperativas en General sea aprobado y puesto en vigencia, se deberá considerar e incluir los aspectos referentes a control interno y auditoria interna en el presente manual.


Año 2016

Página 31

7. Modelo de cuestionario de control interno

7.1 Ambiente de Control

# Preguntas Si No N/A

Integridad y valores éticos 1. ¿Existe un código escrito de Conducta en la Organización, formal o

informalmente?

2. ¿Cuenta la entidad con mecanismos escritos que permitan difundir a empleados, directivos y terceros los estándares éticos de la entidad?

3. ¿Existen políticas escritas a cerca de cumplimiento de normativa para la selección y elección de cargos directivos?

4. ¿Se tienen establecidas sanciones escritas para directivos, ejecutivos y empleados que violen las exigencias éticas y de integridad?

5. ¿Se comunican dentro de la entidad las acciones disciplinarias que se toman, de manera que los empleados, directivos y colaboradores entiendan que si son sorprendidos violando las normas de comportamiento sufrirán las consecuencias?

6. ¿Están definidos las atribuciones y límites de actuación de los diferentes comités?

7. ¿Se tienen establecidos límites para el reconocimiento de incentivos en el cumplimiento de metas?

8. ¿Se tienen definidas las sanciones por las conductas violatorias a los controles y atribuciones establecidos?

Compromiso con la competitividad 9. ¿Se han definido lineamientos de conocimientos y habilidades que debe tener el

personal para la realización de funciones claves?

10. ¿Existen planes de capacitación que favorezcan el mantenimiento y mejora de las competencias de los niveles ejecutivos y operativos?

Consejos y comités 11. ¿Existen requisitos de conocimientos y habilidades para ser miembros del

consejo de administración, vigilancia y educación?

12. ¿Se cumplen estrictamente las reuniones del consejo de administración, de vigilancia y otros comités de acuerdo con los estatutos?

13. ¿Se somete a consideración mensual del consejo de administración?: .- Estados Financieros .- Ejecución Presupuestal .- Seguimiento del Plan Operativo e Informe de la Gerencia

14. ¿Se efectúa un control presupuestario mensual y las diferencias entre los resultados reales y el presupuesto son analizadas y discutidas en el consejo de administración?

15. ¿La Junta de Vigilancia y los comités presentan informes periódicos al Consejo de Administración?

Administración y estilo de gestión 16. ¿Se reúne periódicamente el consejo de administración y gerencia con las áreas

claves para hacer seguimiento de la gestión y determinar mejoras o ajustes?

17. ¿En las reuniones periódicas realizadas con las áreas claves, se discuten los reportes de Balance General y Estado de Resultados e indicadores de gestión?

18. ¿La entidad tiene establecido un Plan Estratégico con indicadores de desempeño y efectúa seguimiento periódico a las actividades o áreas claves de conformidad


Año 2016

Página 32

# Preguntas Si No N/A con su plan estratégico?

19. ¿Cuenta la entidad con mecanismos que permitan a empleados o terceros expresar quejas, reclamos o asuntos indeseables?

20. ¿De los asuntos expresados a través del mecanismo anterior, se han adoptado decisiones o adelantado acciones?

21. ¿Existe rotaciones frecuentes del personal en áreas claves?

Estructura organizacional 22. ¿La cooperativa cuenta con un organigrama, manuales de funciones y

procedimientos y estos reflejan la actual estructura organizacional? Si alguno de los tres no refleja, la respuesta es negativa

23. ¿La estructura de la cooperativa es adecuada para atender las características y operaciones propias de su actividad?

24. ¿En las áreas operativas y de supervisión el personal trabaja regularmente después del horario de trabajo?

Asignación de autoridad y responsabilidad 25. ¿Se han establecido facultades de decisión a las diferentes jefaturas de la

entidad para la toma de decisión en asuntos que son de su competencia?

26. ¿La fijación de precios, valores y volúmenes de comercialización, están restringidos sólo a niveles autorizados?

27. ¿Las excepciones a los volúmenes de compra y precios de adquisición son aprobadas por el nivel jerárquico autorizado y se deja evidencia de ello?

28. ¿Las excepciones a los volúmenes mínimos de comercialización son aprobadas por el nivel jerárquico autorizado y se deja evidencia de ello?

Políticas y prácticas de recursos humanos 29. ¿Se cuenta con perfiles del personal en las áreas clave de la organización?

30. ¿Existe en la cooperativa un plan de capacitación del personal que favorezca el mantenimiento y mejora de la competencia para cada uno de los puestos?

31. ¿Se efectúa evaluación del personal en base a lineamientos y criterios previamente definidos para evaluación del personal?

32. ¿La entidad efectúa un proceso de evaluación del personal al menos una vez por año?

33. ¿Se han definido lineamientos y criterios para el pago de compensaciones y/o bonificaciones al personal?

34. ¿Se han definido lineamientos y criterios para la aplicación de sanciones del personal?

7.2 Evaluación de Riesgos Preguntas Si No N/A

Objetivos estratégicos 35. ¿Cuenta la entidad con un plan estratégico debidamente documentado y

aprobado?

36. ¿En la elaboración del plan estratégico participaron directivos y el personal de áreas claves de la entidad?

37. ¿De acuerdo con la información. El plan estratégico y Operativo incluye objetivos por áreas? (ventas, compras, inventarios, tecnología, recursos humanos)

38. ¿La entidad cuenta con presupuesto y en su elaboración participaron los responsables de las áreas claves? (Directorio, técnicos, operativos)


Año 2016

Página 33

Preguntas Si No N/A 39. ¿El Consejo de Administración dedica tiempo al seguimiento de la ejecución del

plan estratégico de la cooperativa?

40. ¿La Gerencia de la entidad comunica periódicamente a los directivos y empleados la planeación estratégica y metas definidas? (en medios tales como asambleas, reuniones, boletines, correos )

41. ¿El Consejo de Administración, incluye en el orden del día, un análisis del entorno de precios y producción en el que se desenvuelve la cooperativa a efecto de identificar los factores externos que puedan afectar su desempeño?

Riesgo de comercialización 42. ¿El consejo de administración es informado acerca de la evolución del proceso

de comercialización? (condición de los productos, precios, vigencia de mermas, liquidez existente y contingencias de acopio)

43. ¿Existen límites para ventas a crédito y cuentas por cobrar otorgadas a socios?

44. ¿Existen límites de producción, compras por actividades y servicios desarrollados por la cooperativa? (acopio, leche, granos, carne)

45. ¿Existen límites por volúmenes de acopio y comercialización de productos? (acopio, leche, granos, carne)

46. ¿Existen límites de acopio y comercialización por zonas geográficas de producción? (Áreas de producción)

47. ¿Existen límites por condiciones externas de comercialización en productos que genera la cooperativa ? (Mercado, entorno, cuotas, leyes y decretos)

48. ¿Existe un sistema de control para las entradas y salidas de inventario?

49. ¿Existe algún método de valuación de inventarios?

50. ¿Se cuenta con medidas de seguridad para los registros de inventarios? (pruebas de cálculos, verificación de inventarios)

51. ¿Es consistente y uniforme durante todo el periodo contable el sistema de registro contable del método de valuación de inventarios?

52. ¿La entidad tiene designada alguna persona responsable de las órdenes de compra de inventarios?

53. ¿Existe alguna persona encargada del depósito?

54. ¿La entidad recibe inventarios en consignación y controla su comercialización?

55. ¿Se comprueba en la recepción de la mercadería que la misma sea entregada en su totalidad?

56. ¿Los registros contables de inventario los lleva una persona ajena al encargado del depósito?

57. ¿Se realizan controles de inventarios en productos que se encuentran en proceso de secado en instalaciones de la entidad? Especie y calidad

58. ¿Se mantiene un control de los vencimientos de productos en almacenes de la cooperativa? Tiempo de almacenamiento, mantenimiento

59. ¿Existen políticas y criterios para realizar la cobranza por ventas a crédito en mora o con problemas de cobranza en la entidad?

60. ¿Se efectúa seguimiento especial a las cuentas por pagar de los miembros del consejo de administración y ejecutivos de la entidad?

61. ¿Existen políticas de incentivos y castigos por el cumplimiento o incumplimiento de las metas de comercialización de la entidad?

62. ¿Existen políticas de castigos por el incremento de las mermas en los productos?

63. ¿La administración realiza reservas, estimaciones, previsiones, provisiones, por mermas, incobrables y ventas a créditos, respecto al proceso de comercialización de la entidad?


Año 2016

Página 34

Preguntas Si No N/A 64. ¿Se encuentran asignados responsables para producir y remitir a las instancias

pertinentes reportes a la vigencia de costos y volúmenes de acopio y comercialización de la entidad?

65. ¿Se cuentan con comités de producción y comercialización responsables para producir y remitir a las instancias pertinentes los reportes relacionados con el seguimiento a los volúmenes de comercialización?

66. ¿Se encuentran asignados responsables para producir y remitir a las instancias pertinentes los reportes y clasificación de productos relacionados a la calidad de los productos acopiados o producidos, grados de humedad y tipo de acopio realizado?

67. ¿Existe una política respecto al tipo de productos que la entidad comercializará y/o acopiará de acuerdo a la naturaleza productiva de los socios de la entidad?

68. ¿Se realizan inspecciones periódicas por parte de los comités de producción y/o comercialización de los procesos de acopio y comercialización?

69. ¿Existen políticas o lineamientos para el tratamiento, realización o venta inmediata de los productos susceptibles de mayor deterioro o merma por los acopios realizados?

70. ¿Se emiten periódicamente reportes de cuentas por cobrar que presenta la entidad?

Riesgo operativo 71. ¿Cuenta la cooperativa con manuales reglamentos y/o procedimientos en las

áreas claves (Tesorería, compras, acopio, comercialización, controles de activos, control interno, contabilidad, manejo de inventarios, catálogos de cuentas y manuales de contabilidad)?

72. ¿La entidad tiene definidas con precisión las funciones y responsabilidades que corresponden a los responsables de las áreas claves?

73. ¿Se revisan y actualizan de manera periódica los manuales de procedimientos de los procesos claves?

74. ¿Se han definido responsabilidades en cuanto a la generación de información actualizada sobre regulación que afecten a la entidad?

75. ¿Se han definido las firmas autorizadas para la validación de comprobantes de ingreso y egreso en cada proceso de la entidad?

76. ¿Existe una adecuada segregación de funciones en el proceso administrativo de la entidad?

77. ¿Existe un adecuado nivel de atribuciones en las decisiones relacionadas con el área de acopios (granos y leche) e inventarios?

78. ¿Se realizan arqueos sorpresivos y periódicos a los cajeros y demás responsables de la custodia de efectivo y títulos valores?

79. ¿Se tienen habilitadas ante las entidades bancarias y financieras las personas autorizadas o previstas por el Estatuto de la entidad?

80. ¿Los cheques o retiros de fondos se realizan con al menos dos firmas de personeros de la entidad?

81. ¿Los pagos realizados son efectuados mediante desembolsos directos a nombre del beneficiario?

82. ¿Las recaudaciones realizadas en caja son depositadas en bancos a más tardar al día siguiente?

83. ¿Se utiliza el efectivo de caja por ventas en pagos directos de la entidad, Está prohibido el cambio de cheques a particulares en ventanilla?

84. ¿Se concilian las cuentas bancarias y el personal que elabora las conciliaciones


Año 2016

Página 35

Preguntas Si No N/A bancarias es distinto de aquel que suscribe los cheques?

85. ¿Se emiten los correspondientes certificados de aportación a cada uno de los asociados de la entidad?

86. ¿La entidad utiliza servicios externos especializados en el transporte de dinero y valores?

87. ¿Existe un área de tecnología de la información (informática) y la entidad cuenta con programas y tecnología adecuada a sus operaciones?

88. ¿Se analizan y discuten en el consejo de administración, comités de gerencia los requerimientos tecnológicos que puedan ser útiles para la entidad?

89. ¿Se ha determinado las necesidades reales de reposición o mejoramiento de los recursos tecnológicos (sistemas de información y los equipos de cómputo y comunicación)?

90. ¿Se cuentan con medidas de seguridad en los recursos tecnológicos y aplicativos, de manera que solo personal autorizado pueda ingresar a programas confidenciales o que pongan en riesgo la disposición de los recursos institucionales?

91. ¿De acuerdo con la evaluación realizada, se ha determinado que la información puede ser manipulada o modificada sin la respectiva autorización?

92. ¿De acuerdo con la evaluación realizada, se ha determinado que cualquier información modificada, puede ser fácilmente rastreada?

93. ¿Se actualiza periódicamente las claves de acceso a los aplicativos de software?

94. ¿La cooperativa realiza el respaldo de los sistemas de información de la entidad (backup)?

95. ¿Existe un plan de contingencias para hacer frente a fallas o interrupciones temporales o permanentes derivadas de los sistemas de información de la entidad?

96. ¿Se toman las medidas preventivas respecto de los cortes de energía y caídas de los sistemas de información y comunicación?

97. ¿La entidad cuenta con un instructivo interno (manuales, catálogos, etc.) que oriente el registro contable de las operaciones?

98. ¿Existe una adecuada segregación de funciones en el proceso de contabilidad?

99. ¿Existe un adecuado nivel de atribuciones en las decisiones relacionadas con el proceso de contabilidad? (tales como aplicación de ajustes contables, previsiones, cancelaciones, etc.)

100. ¿Se dispone de un sistema automatizado y en línea en el registro de operaciones en la contabilidad?

101. ¿La información financiera es presentada dentro del mes siguiente?

102. ¿La entidad cuenta con políticas y criterios de control respecto a la inclusión de todas las estimaciones, previsiones, depreciaciones a la información contable?

103. ¿Los comprobante de egreso e ingresos son prenumerados y archivados en forma correlativa?

104. ¿Se realizan conciliaciones periódicas y oportunas de las cuentas contables que puedan ser consideradas como base de posibles operaciones no autorizadas que generen y/u oculten fraudes?

105. ¿Se realizan conciliaciones periódicas de saldos físicos de inventarios con los saldos contables?

106. ¿Se regularizan inmediatamente las diferencias que se presentan en las conciliaciones?

107. ¿Se lleva un registro actualizado y detallado de las inversiones que realiza la


Año 2016

Página 36

Preguntas Si No N/A entidad?

108. ¿Se deprecian todos los activos, y los bienes totalmente depreciados se mantienen en registros de auxiliares hasta que sean vendidos o retirados?

109. ¿La entidad cuenta con controles respecto de la elaboración de comprobantes contables que se realizan en forma manual?

110. ¿Se prohíbe la destrucción de comprobantes anulados por errores y se conservan como tales en el lugar que les corresponden?

111. ¿Existe un control adecuado de las cuentas inactivas, para prevenir la realización de fraudes?

112. ¿Existe un adecuado nivel de atribuciones para la compra de suministros?

113. ¿Existe un adecuado nivel de atribuciones para la contratación de servicios?

114. ¿Se tienen establecidos criterios debidamente aprobados para la selección de los proveedores?

115. ¿Existe un adecuado nivel de atribuciones para la administración de activos? (compra, venta, asignación, mantenimiento y dada de baja de activos)

116. ¿Cada empleado ha suscrito un acta de entrega para la custodia o entrega de activos fijos?

117. ¿Se tiene asignado un responsable para el control y la custodia de los suministros y activos fijos?

118. ¿Se realizan periódicamente inventarios de activos incluido el software (con sus respectivas licencias) que abarquen toda la entidad?

119. ¿Se concilian los registros contables y saldos frente a los inventarios físicos realizados a los activos?

120. ¿Están los Activos fijos debidamente marcados, de modo que facilite su identificación con los registros detallados?

121. ¿Existen restricciones para el acceso a las áreas claves, tales como las de sistemas, tesorería y almacenes?

122. ¿El acceso a las instalaciones físicas de la entidad está restringido y controlado?

123. ¿La entidad cuenta con pólizas de seguros que den coberturas sobre los activos, tales como fraudes, robo, incendios, de manejo, de vida, fenómenos naturales, terrorismo?

124. ¿Se ha designado una persona responsable en el control de la adecuada cobertura y vigencia de los seguros?

Riesgo de mercado 125. ¿Existe una instancia o estamento encargada de analizar periódicamente los

precios del mercado, frente a los precios y costos manejados por la cooperativa?

126. ¿Se analiza y discute en el consejo de administración el desarrollo de nuevos servicios por parte de la competencia o entidades similares?

127. ¿Se han definido responsabilidades en cuanto a la obtención de información actualizada sobre precios y productos afecten a la entidad?

128. ¿La entidad determina y conoce los costos reales de sus productos y servicios por cada línea de producto o servicio?

129. ¿La entidad examina el desempeño de sus productos y servicios a efecto de determinar su rentabilidad para rediseñarlos conforme a las exigencias del mercado o de sus usuarios?

Riesgo de liquidez 130. ¿Se dispone de una metodología o herramienta técnica que permite pronosticar

con razonable certeza los flujos de efectivo o calces de plazos en el corto y mediano plazo?


Año 2016

Página 37

Preguntas Si No N/A 131. ¿Se tienen establecidos criterios sobre responsables para emisión de reportes,

periodicidad y tipos de reportes de liquidez de la entidad?

132. ¿El consejo de administración, tesorería y/o gerencia, es informado acerca de los resultados y conclusiones que produce el análisis de liquidez de la entidad?

133. ¿Se cuenta con información para determinar con precisión, el vencimiento de los activos por cobrar y pasivos, obligaciones financieras y de financiamientos e impuestos de la entidad?

134. ¿Existe un plan de contingencias para hacer frente a los requerimientos de liquidez no cubiertos en la cooperativa?

135. ¿Se tienen establecidos límites máximos de pagos en efectivo?

136. ¿Se tienen establecidos criterios respecto a las posibilidades de captación de aportes extraordinarios de los socios?

7.3 Monitoreo y Control Preguntas Si No N/A

Auditoria Interna 137. ¿Existe auditoría interna en la entidad?

138. ¿La ubicación dentro de la estructura de la entidad del auditor permite colegir su independencia respecto de la administración?

139. ¿Se exigen requisitos de idoneidad personal y profesional en la elección de los auditores?

140. ¿El plan de auditoría contempla las operaciones y riesgos claves de la entidad?

141. ¿El plan de auditoría incluye la evaluación de los procesos de los diferentes elementos del ambiente de control?

142. ¿El plan de auditoría tiene en cuenta las observaciones realizadas por los auditores externos?

143. ¿Se discuten los informes de auditoría con la áreas examinadas o la gerencia?

144. ¿Tiene el Auditor Interno acceso sin restricciones a la información y documentos de la entidad, en el momento que crea conveniente?

Auditoria Externa 145. ¿Existe auditoría externa en la entidad?

146. ¿La contratación de los Auditores Externos, permite colegir su independencia respecto de la administración?

147. ¿El plan contempla la evaluación de los principales elementos (componentes) de los estados financieros?

148. ¿El plan de auditoría tiene en cuenta las observaciones realizadas por los auditores internos?

149. ¿Tiene el Auditor Externo acceso sin restricciones a la información y documentos de la entidad, en el momento que crea conveniente?

150. ¿Cuenta la entidad con presupuestos suficientes para realizar su contratación?

Junta de Vigilancia 151. ¿Existen requisitos de conocimientos y habilidades para ser miembros de la junta

de vigilancia?

152. ¿La Junta de vigilancia cumple a cabalidad con las obligaciones establecidas en las normas?

153. ¿La Junta de Vigilancia tiene acceso a toda la información que requiera para ejercer su función?


Año 2016

Página 38

Preguntas Si No N/A 154. ¿La Junta de Vigilancia conoce y vela por el cumplimiento de las

recomendaciones formuladas por las auditorías interna y externa y las disposiciones de los entes de control?

155. ¿Los informes y recomendaciones emitidos por la junta de vigilancia contribuyen al mejoramiento del sistema de control interno?


Año 2016

Página 39

8. Modelo de informe de auditoría interna Haciendo referencia a la estructura que el informe de auditoría interna debe contener (punto 5.3.4.1 del presente manual), adjuntamos el siguiente modelo de redacción de una observación de auditoria:

Falta de documentación legal respaldatoria por desembolsos realizados Situación: Hemos procedido a la revisión de los desembolsos realizados por la casa matriz durante el periodo de enero a diciembre de 20xx - INTRODUCCION De acuerdo a la Res. xx de la Ley xx/xx, en su artículo xx, se estable cuanto sigue: "todas las erogaciones realizadas por la entidad debe estar debidamente respaldadas por la documentación legal correspondiente" - CRITERIO Visualizamos que el 80% de los gastos realizados por la casa central durante el periodo mencionado más arriba, no se encuentran respaldados por la documentación legal correspondiente. - CONDICION Consultado sobre el mismo; la gerencia administrativa, nos ha manifestado que no existe una normativa interna que busque orientar a los empleados de la organización sobre el manejo de los desembolsos. Así mismo, nos ha confirmado que los sectores responsables de generar desembolsos aún no fueron capacitados con relación a las disposiciones legales vigentes sobre la materia. - CAUSA La presente situación puede arrojar serios problemas de imagen ante el fisco. Así mismo debemos mencionar que los desembolsos identificados no podrán ser deducidos a efectos del impuesto a la renta e impuesto al valor agregado (IVA) originando pérdidas adicionales a la cooperativa. - EFECTO Recomendación: Considerando lo expuesto, recomendamos:

a) Capacitar o inducir a los empleados en cuanto al alcance de la aplicabilidad de las regulaciones vigentes;

b) Elaboración de un procedimiento interno, en el cual se especifique las condiciones que un comprobante debe reunir para aceptarlo como comprobante legal y realizar el desembolso correspondiente.-

Comentarios del auditado: …..


Año 2016

Página 40

9. Principales bibliografías consultadas

Enterprise Risk Management - Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos emitido por el Committee of Sponsoring Organizations of the Treadway.- Normas Internacionales para el ejercicio profesional de la Auditoria Interna emitidas por el Consejo de Normas de Auditoria Interna (IASB, según sus siglas en Ingles) del Instituto de Auditores Internos.- Documento de la DGRV “Guía Control Interno” elaborado por Luis Humberto Ramírez Ley 438/94 de Cooperativas, emitido por el Instituto Nacional de Cooperativismo INCOOP Marco de Regulación y Supervisión de Cooperativas, aprobada por la Resolución 499/2004

Manual de Control Interno y Auditoria Interna para ... · 5.3.1 Lineamientos de auditoria interna...

Documents

Transcript of Manual de Control Interno y Auditoria Interna para ... · 5.3.1 Lineamientos de auditoria interna...