SISTEMA DE CONTROL INTERNO, BAJO METODOLOGA COSO Metodologa Informe COSO El Informe COSO es un documento que contiene las

principales directivas para la implantacin, gestin y control de un sistema de Control Interno. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia en todo lo que concierne al Control Interno. El denominado Informe COSO, publicado en Estados Unidos en 1992, surgi como respuesta a las inquietudes que planteaba la d iversidad de conceptos, definiciones e interpretaciones existentes respecto al control interno. El objetivo primordial del Informe COSO es ayudar a las organizaciones a mejorar el control de sus actividades, estableciendo un marco para los conceptos del control interno que permita una definicin comn del control interno y la identificacin de sus componentes. El Informe COSO tiene 2 objetivos fundamentales: Encontrar una definicin clara del Control Interno, que pueda ser utilizada por todos los interesados en el tema, y proponer un modelo ideal o de referencia del Control Interno para que las empresas y las dems organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. El Informe COSO define el Control Interno como un proceso que garantice, con una seguridad razonable (y por lo tanto no absoluta), que se alcanzan los 3 objetivos: 1. Eficacia y eficiencia de las operaciones. 2. Fiabilidad de la informacin financiera. 3. Cumplimiento de las leyes y normas que sean aplicables. El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en trminos de rentabilidad y rendimiento de las operaciones de la empresa u organizacin. El segundo objetivo pretende garantizar que la empresa disponga de informacin financiera cierta, fiable y, muy importante, que esta informacin se obtenga tempestivamente, eso es, cuando sea necesaria y til. En este sentido, la fiabilidad de la informacin no es solo una garanta frente a terceros, sino una exigencia de la direccin, ya que sin esta informacin, no sera posible tomar decisiones empresariales acertadas. El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se encuentre sujeta la empresa. El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad, rendimiento y minimice las prdidas de recursos; favorece que la empresa disponga de informacin fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras normas que le son de aplicacin. Para lograr estos 3 objetivos, el sistema de Control Interno se basa segn la propuesta del Informe COSO en 5 elementos o componentes, que representan lo que se necesita para garantizar el xito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los componentes deben estar funcionando correctamente. Los 5 elementos o componentes del Informe COSO que se present en 1992 son: Ambiente de Control. Evaluacin de Riesgos. Actividades de Control. Informacin y Comunicacin. Monitoreo Estos componentes se ampliaron a 8 en el Informe COSO ERM, presentado en el 2004.

COSO I

Con el informe COSO (COMMITTEE OF SPONSORING ORGANIZATIONS), de 1992, se modificaron los principales conceptos del Control Interno dndole a este una mayor amplitud. El Control Interno se define entonces como un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocrticos aadidos a los mismos, efectuado por el consejo de la administracin, la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar una garanta razonable para el logro de objetivos. La seguridad a la que aspira solo es la razonable, en tanto siempre existir el limitante del costo en que se incurre por el control, que debe estar en concordancia con el beneficio que aporta; y, adems, siempre se corre el riesgo de que las personas se asocien para cometer fraudes. Se modifican, tambin, las categoras de los objetivos a los que est orientado este proceso. De una orientacin meramente contable, el Control Interno pretende ahora garantizar: Efectividad y eficiencia de las operaciones. Confiabilidad de la informacin financiera. Cumplimiento de las leyes y normas que sean aplicables.

Salvaguardia de los recursos.

A travs de la implantacin de 5 componentes que son:

Ambiente de control (Marca el comportamiento en una organizacin. Tiene influencia directa en el nivel de concientizacin del personal respecto al control.) Evaluacin de riesgos (Mecanismos para identificar y evaluar riesgos para alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados con el cambio.) Actividades de control (Acciones, Normas y Procedimientos que tiende a asegurar que se cumplan las directrices y polticas de la Direccin para afrontar los riesgos identificados.) Informacin y comunicacin (Sistemas que permiten que el personal de la entidad capte e intercambie la informacin requerida para desarrollar, gestionar y controlar sus operaciones.) Monitoreo (Evala la calidad del control interno en el tiempo. Es importante para determinar si ste est operando en la forma esperada y si es necesario hacer modificaciones.)

1.1 ENTORNO DE CONTROL El entorno de control establece el tono de una organizacin, teniendo influencia en la conciencia que tenga el personal sobre el control. Es el fundamento para todos los componentes de control interno, dando disciplina y estructura. Los elementos del entorno de control son: (1) La integridad personal y profesional y los valores ticos de la gerencia y el resto del personal, incluyendo una actitud de apoyo hacia el control interno todo el tiempo a travs de la organizacin (2) Competencia (3) El tono de los superiores (es decir la filosofa de la direccin y el estilo gerencial) (4) Estructura organizacional (5) Polticas y prcticas de recursos humanos. INTEGRIDAD PERSONAL Y PROFESIONAL, Y VALORES TICOS DE LA GERENCIA Y DEL PERSONAL La integridad personal y profesional y los valores ticos de la gerencia y del personal determinan sus preferencias y sus juicios de valor, mismos que se traducen en las normas de conducta. Deben observar una actitud de apoyo hacia el control interno todo el tiempo en la organizacin. Cada persona involucrada con la organizacin entre los gerentes y los empleados tiene que mantener y demostrar integridad personal y profesional y valores ticos, y tiene que cumplir todo el tiempo con los cdigos de conducta aplicables. Esto podra incluir la declaracin de intereses financieros personales, cargos externos o regalos (por ejemplo ser electos como oficiales o servidores pblicos de mayor rango), y reportar conflictos de intereses. COMPETENCIA La competencia incluye el nivel de conocimiento y habilidades necesarias para ayudar a asegurar una actuacin ordenada, tica, econmica, eficaz y eficiente, al igual que un buen entendimiento de las responsabilidades individuales relacionadas con el control interno. La gerencia y los empleados deben mantener un nivel de competencia que les permita comprender la importancia del desarrollo, implantacin y mantenimiento de un buen control interno y practicar sus deberes para poder alcanzar los objetivos generales de control interno y la misin de la entidad. Cada uno en la organizacin est involucrado con el control interno con sus responsabilidades propias y especficas. La gerencia y su personal deben, por lo tanto, mantener y demostrar un nivel de habilidades necesarias para ayudar a asegurar un desempeo efectivo y eficiente; y una suficiente comprensin del control interno, para efectivamente descargar sus responsabilidades. La capacitacin, por ejemplo, puede aumentar la conciencia de los servidores pblicos sobre temas de control interno y tica, y ayudar a desarrollar las capacidades del servidor pblico para manejar dilemas ticos. EL TONO DE LOS SUPERIORES El tono de los superiores (es decir la filosofa de la direccin y su estilo gerencial) refleja: Una actitud de apoyo permanente hacia el control interno, la independencia, la competencia y de liderazgo con el ejemplo. Un cdigo de conducta establecido por la gerencia y evaluacin del asesoramiento y del desempeo que apoyen los objetivos de control interno y, en particular, de las operaciones de signo tico.

La actitud establecida por la alta gerencia est reflejada en todos los aspectos de las acciones de la gerencia. La entrega, el involucramiento y el apoyo de los directores establecen el tono de los superiores que debe g enerar una actitud positiva y son cruciales para mantener una actitud de apoyo positiva hacia el control interno de una organizacin. Si la alta gerencia cree que el control interno es importante, los dems miembros de la organizacin sentirn esta actitud y respondern observando conscientemente los controles establecidos. Por ejemplo, la creacin de una unidad de control interno como parte del sistema de control interno es un signo importante por parte de la gerencia de que el control interno es importante. La integridad de la gerencia y de su personal es, de cualquier modo, influenciada por muchos elementos. Por tal motivo, se deber recordar al personal peridicamente sus obligaciones bajo un cdigo operativo de conducta emitido por la alta gerencia. Las evaluaciones de asesora y desempeo tambin son importantes. Las evaluaciones de desempeo deben estar basadas en una evaluacin de muchos factores crticos, incluyendo el papel del empleado que efecta el control interno.

ESTRUCTURA ORGANIZACIONAL La estructura organizacional de una entidad provee: Asignacin de autoridad y responsabilidad; Delegacin de autoridad y responsabilidad Lneas apropiadas de rendicin de cuentas.

La estructura organizacional define las reas claves de la entidad respecto de la autoridad y responsabilidad. La delegacin de autoridad y la responsabilidad se relacionan con la manera en la que la autoridad y la responsabilidad son delegadas a travs de la entidad. Puede no haber asignacin de autoridad o una responsabilidad que no sea reportada. Por tal motivo, deben ser definidas lneas apropiadas de rendicin de cuentas. En circunstancias excepcionales, otras lneas de rendicin de cuentas tienen que ser posibles adems de las normales, como en aquellos casos en que la gerencia est involucrada en irregularidades. La estructura organizacional puede incluir una unidad de control interno que debe ser independiente de la gerencia y que informar directamente a la autoridad de mximo nivel dentro de la organizacin. POLTICAS Y PRCTICAS DE RECURSOS HUMANOS Las polticas y prcticas de los recursos humanos incluyen contratacin, orientacin, capacitacin (formal y en el sitio de trabajo), as como educacin, asesoramiento y evaluacin, consultora, promocin, compensacin y acciones correctivas. El personal es un aspecto importante del control interno. Personal competente y confiable es necesario para un control efectivo. Por lo tanto, los mtodos a travs de los cuales se contrata a la gente, se hacen las evaluaciones, la capacitacin, la promocin y la remuneracin son una parte importante del entorno de control. Las decisiones de contratacin deben por lo tanto contar con la seguridad de que los individuos tengan la integridad, la educacin y la experiencia necesarias para llevar a cabo sus tareas y de que se provea la capacitacin formal, en el trabajo y sobre la tica. Los ejecutivos y los empleados que tengan una buena comprensin del control interno y que tengan las intenciones de asumir responsabilidades, son vitales para un control interno efectivo. Esto se hace visible en los procesos de reclutamiento, evaluacin, y promocin, mismos que deben estar basados en mritos. Asegurarse de una apertura en los procesos de seleccin publicando tanto las reglas de reclutamiento y los cargos vacantes tambin ayuda a tener una administracin tica de los recursos humanos. 1.2 EVALUACIN DEL RIESGO La evaluacin de riesgo es el proceso de identificacin y anlisis de los riesgos relevantes para el logro de los objetivos de la entidad y para determinar una respuesta apropiada Implica: (1) Identificacin del riesgo: Relacionado con los objetivos de la entidad; Comprensin Incluye riesgos debidos a factores externos e internos, tanto a nivel de la entidad como de sus actividades; (2) Valoracin del riesgo Estimacin de la importancia del riesgo Valoracin de la probabilidad de que el riesgo ocurra (3) Evaluacin de la tolerancia al riesgo de la organizacin (4) Desarrollo de respuestas Cuatro tipos de respuesta al riesgo deben ser considerados: transferencia, tolerancia, tratamiento o eliminacin. Entre ellos, el tratamiento del riesgo es el ms relevante para esta gua porque un control interno efectivo es el mejor mecanismo para tratar el riesgo. Los controles apropiados involucrados pueden ser de deteccin o de prevencin. Dado que las condiciones gubernamentales, econmicas, industriales, regulatorias y operacionales estn en constante cambio, la evaluacin de riesgo debe ser un proceso constante. Implica la identificacin y anlisis de condiciones modificadas y oportunidades y riesgos (ciclo de evaluacin del riesgo) y la adaptacin del control interno para dirigirlo hacia los riesgos cambiantes. El control interno puede dar slo una seguridad razonable de que los objetivos de una organizacin sean cumplidos. La evaluacin del riesgo es un componente del control interno, juega un papel esencial en la seleccin de las actividades apropiadas de control que se deben llevar a cabo. Es el proceso de identificar y analizar los riesgos relevantes para la consecucin de los objetivos de la entidad y determinar una respuesta apropiada. Consecuentemente, establecer los objetivos institucionales es una condicin para la evaluacin del riesgo. Los objetivos deben estar definidos antes de que la gerencia identifique los riesgos que pudieran afectar su consecucin y ejecute las acciones para administrar esos riesgos. Esto significa tener en marcha un proceso para evaluar y dirigir el impacto del riesgo de forma que el costo sea razonable y tener personal con las habilidades necesarias para identificar y valorar los riesgos potenciales. Las actividades de control interno son una respuesta al riesgo en tanto que est diseado para limitar la incertidumbre del resultado que ha sido identificado.

IDENTIFICACIN DE RIESGO Un acercamiento estratgico a la identificacin de riesgo depende de la identificacin de los riesgos que amenazan los objetivos clave organizacionales.

Los riesgos relevantes a estos objetivos deben ser considerados y evaluados, resultando en una pequea cantidad de riesgos clave. La identificacin de los riesgos clave no es importante slo para identificar las reas ms importantes a las que se deben dirigir los esfuerzos de valoracin, sino tambin para asignar responsabilidades para el manejo de dichos riesgos. El desempeo de una entidad puede estar en riesgo debido a factores internos o externos a nivel tanto de la entidad como de sus actividades. La evaluacin de riesgos debe considerar todos los riesgos que puedan darse (incluyendo el riesgo de fraude y corrupcin), por ello es importante que la identificacin del riesgo sea muy amplia. La identificacin del riesgo debe ser un proceso permanente y muchas veces est integrada al proceso de planificacin. VALORACIN DEL RIESGO Para decidir cmo administrar el riesgo, es necesario no slo identificar que un cierto tipo de riesgo existe en principio, sino valuar su importancia y valorar la probabilidad de que este riesgo se d. La metodologa para analizar riesgos puede variar, en gran parte porque muchos riesgos son difciles de cuantificar (ejemplo: riesgos de prestigio), mientras que otros se prestan para un diagnstico numrico (especialmente riesgos financieros). En el primer caso, una visin mucho ms subjetiva es la nica posibilidad, y en este caso la valoracin del riesgo se acerca ms a un arte que a una ciencia. Sin embargo, el uso de criterios de evaluacin de riesgos de forma sistemtica disminuir la subjetividad del proceso, ofreciendo un marco que permitir hacer juicios de forma coherente. Uno de los propsitos clave de la evaluacin del riesgo es informar a la gerencia sobre las reas de riesgo donde se necesita tomar una accin y sus prioridades relativas. Por tal motivo, usualmente ser necesario desarrollar algn marco de categorizacin para todos los riesgos, por ejemplo, dividirlos entre alto, mediano y bajo. Generalmente es mejor minimizar las categoras, ya que un refinamiento exagerado puede llevar a una separacin innecesaria de niveles que en verdad no puedan ser separados con claridad. A travs de tal evaluacin, los riesgos pueden tener rangos para establecer prioridades para la gerencia y presentar informacin para las decisiones gerenciales sobre los riesgos que necesitan mayor atencin (por ejemplo aquellos que tengan un mayor potencial de impacto y una probabilidad ms alta de ocurrir). Valoracin de la tolerancia de riesgo de una organizacin Un tema importante al considerar la respuesta al riesgo es la identificacin de la tolerancia de riesgo de una entidad. La tolerancia de riesgo es la cantidad de riesgos a la que una entidad est preparada a exponerse antes de juzgar que una accin deba ser tomada. Las decisiones sobre las respuestas al riesgo tienen que ser tomadas en forma conjunta con la identificacin de la cantidad de riesgos que pueden ser tolerados. Tanto los riesgos inherentes como los riesgos residuales necesitan ser tomados en consideracin para determinar la tolerancia al riesgo. El riesgo inherente es el riesgo en una entidad en que la ausencia de acciones por parte de la direccin pueda conducir a alterar la posibilidad de riesgo o su impacto. El riesgo residual es el riesgo que permanece una vez que la gerencia responde al riesgo. La tolerancia de riesgo de una entidad vara de acuerdo a la importancia percibida de los riesgos. Por ejemplo, la tolerancia a la prdida financiera puede variar de acuerdo al rango de factores. Desarrollo de las respuestas El resultado de las acciones arriba mencionadas puede resultar en un mapa de riesgo para la organizacin. Habiendo desarrollado un mapa de riesgo, la organizacin puede entonces considerar las respuestas apropiadas. Las respuestas al riesgo pueden ser divididas en cuatro categoras. En algunos casos, el riesgo puede ser transferido, tolerado o eliminado. De cualquier modo, en la mayor parte de los casos, el riesgo tendr que ser administrado y la entidad necesitar implantar y mantener un sistema efectivo de control interno para mantener el riesgo en un nivel aceptable. El propsito del tratamiento no es necesariamente obviar el riesgo, sino mantenerlo bajo control. Los procedimientos que una organizacin establece para tratar el riesgo se llaman actividades de control. La valoracin del riesgo deber jugar un rol central en la seleccin apropiada de actividades de control a llevarse a cabo. Una vez ms, es importante repetir que no es posible eliminar los riesgos y que el control interno puede solamente dar seguridad razonable de que los objetivos de la organizacin sean cumplidos. De cualquier modo, las entidades que activamente identifican y manejan los riesgos tienen mejores probabilidades de estar bien preparadas para responder rpidamente cuando las cosas salen mal y responder a cualquier cambio en general. Al disear un sistema de control interno, es importante que las actividades de control establecidas sean proporcionales al riesgo. Aparte del resultado extremo indeseable, normalmente es suficiente disear un control que d una seguridad razonable de poder limitar las prdidas al riesgo aceptable de la entidad. Cada control tiene un costo asociado y la actividad de control debe ofrecer valor por su costo en relacin al riesgo al que se est dirigiendo. Dado que las condiciones gubernamentales, econmicas, industriales, regulatorias y operativas cambian continuamente, el entorno de control de cualquier organizacin tambin est en constante cambio, y las prioridades de los objetivos y la consecuente importancia de riesgos deben adaptarse y cambiar. Algo fundamental para la evaluacin de riesgos es la existencia de un proceso permanente para identificar el cambio de condiciones y tomar las acciones necesarias. Los perfiles de riesgo y controles relacionados tienen que ser regularmente revisados y reconsiderados para asegurar que el mapa del riesgo sigue siendo vlido, que las respuestas al riesgo siguen siendo apropiadamente escogidas y proporcionadas, y que los controles para mitigarlos siguen siendo efectivos en la medida en la que los riesgos cambian con el tiempo. 1.3 Actividades de control Las actividades de control son polticas y procedimientos establecidos para disminuir los riesgos y lograr los objetivos de la entidad. Para ser efectivas, las actividades de control deben ser apropiadas, funcionar consistentemente de acuerdo a un plan a lo largo de un perodo, y tener un costo adecuado, que comprenda muchos aspectos, ser razonables y estar relacionadas directamente con los objetivos de control.

Las actividades de control se dan en toda la organizacin, en todos los niveles y en todas las funciones. Incluyen una gama de actividades de control de deteccin y prevencin tan diversas como por ejemplo: 1. Procedimientos de autorizacin y aprobacin; 2. Segregacin de funciones (autorizacin, procesamiento, archivo, revisin); 3. Controles sobre el acceso a recursos y archivos; 4. Verificaciones; 5. Conciliaciones; 6. Revisin de desempeo operativo; 7. Revisin de operaciones, procesos y actividades; 8. Supervisin (asignaciones, revisiones y aprobaciones, direccin y capacitacin). Las entidades deben alcanzar un balance adecuado entre la deteccin y la prevencin en las actividades de control. Las acciones correctivas son un complemento necesario para las actividades de control en la bsqueda del logro de los objetivos. Las actividades de control son las polticas y procedimientos establecidos y ejecutados en direccin a los riesgos y para lograr los objetivos de la entidad. Para ser efectivas las actividades de control necesitan: Ser apropiadas (esto significa el control correcto en el lugar correcto y proporcional al riesgo involucrado); Funcionar consistentemente de acuerdo a un plan a lo largo de un perodo (esto significa que deben haber sido cumplidas cui dadosamente por todos los empleados involucrados en el proceso y no hechas apresuradamente cuando el personal clave est ausente o est con sobrecarga de trabajo); Tener un costo adecuado (es decir, el costo de la implantacin del control no debe exceder los beneficios que del proceso p uedan derivarse); Ser entendibles y razonables y estar relacionadas directamente con los objetivos de control. Las actividades de control incluyen un rango de polticas y procedimientos tan diversos como: 1. Procedimientos de autorizacin y aprobacin La autorizacin y ejecucin de transacciones y eventos deben ser hechas slo por personas que estn dentro del rango de autoridad. La autorizacin es el principal medio para asegurar que slo transacciones y eventos vlidos sean iniciados segn las intenciones de la gerencia. Los procedimientos de autorizacin, que tienen que ser documentados y claramente comunicados a los gerentes y empleados, deben incluir condiciones especficas y trminos bajo los cuales se puedan hacer las autorizaciones. Conformidad con los trminos de autorizacin significa que los empleados actan en concordancia con las directivas y dentro de las limitaciones establecidas por la gerencia o la legislacin. 2. Segregacin de funciones (autorizacin, procesamiento, archivo y revisin) Para reducir el riesgo de error, el desperdicio o las actividades incorrectas y el riesgo de no detectar tales problemas, no debe haber un solo individuo o equipo que controle todas las etapas clave de una transaccin o evento. Ms bien, los deberes y responsabilidades deben estar asignados sistemticamente a un cierto nmero de individuos para asegurar la existencia de revisiones efectivas. Las funciones clave incluyen autorizacin y archivo de transacciones, procesamiento y revisin o auditora de las transacciones. La colusin entre personas, sin embargo, puede reducir o destruir la efectividad de esta actividad de control interno. Una organizacin pequea probablemente tiene muy pocos empleados como para llevar a cabo satisfactoriamente esta actividad de control. En tales casos, la gerencia debe ser consciente de este riesgo y compensarlo con otras actividades de control. La rotacin de empleados puede ayudar a asegurar que una sola persona no sea responsable de todos los aspectos clave de las transacciones o eventos por un excesivo perodo de tiempo. Tambin es aconsejable que se propicien o pidan vacaciones anuales, eso ayudar a reducir el riesgo porque significa una rotacin temporal de funciones. 3. Controles sobre el acceso a los recursos y archivos El acceso a recursos o archivos debe ser limitado a individuos autorizados que sean responsables por la custodia y/o utilizacin de los mismos. La responsabilidad en cuanto a la custodia se pone en evidencia por la existencia de recibos, inventarios y otros registros otorgando la custodia y registrando la transferencia de la custodia. La restriccin de acceso a los recursos reduce el riesgo de la utilizacin no autorizada o la prdida y ayuda a lograr las directivas gerenciales. El grado de restriccin depende de la vulnerabilidad de los recursos y el riesgo que se percibe de prdida o utilizacin incorrecta, y debe ser peridicamente valorado. Cuando se determina la vulnerabilidad de un bien, deben ser considerados su costo, portabilidad y posibilidades de cambios. 4. Verificaciones Las transacciones y eventos significativos deben ser verificados antes y despus de ser procesados, ejemplo: cuando los bienes son entregados, el nmero de bienes provistos es verificado con el nmero de bienes pedidos. Despus, el nmero de bienes facturados es verificado con el nmero de bienes recibidos. El inventario es verificado tambin realizando revisiones al almacn. 5. Conciliaciones Los archivos son conciliados con los documentos apropiados sobre una base regular, ejemplo: los archivos de contabilidad relacionados con las cuentas bancarias son conciliados con los estados bancarios correspondientes. 6. Revisin de desempeo operativo El desempeo de las operaciones es revisado a la luz de las normas sobre una base regular, valorando la efectividad y eficiencia. Si los anlisis de gestin determinan que las acciones existentes no alcanzan los objetivos o normas establecidas, los procesos y las actividades establecidas para alcanzar los objetivos deberan ser objeto de anlisis para determinar si son necesarias mejoras. 7. Revisin de operaciones, procesos y actividades Las operaciones, los procesos y las actividades deben ser peridicamente revisadas para asegurar que cumplen con los reglamentos, polticas, procedimientos en vigor y con el resto de los requisitos. Este tipo de revisin de las operaciones actuales de una organizacin debe ser claramente distinguido del seguimiento del control interno. 8. Supervisin (valoracin, revisin y aprobacin, direccin y capacitacin) La supervisin competente ayuda a asegurar que los objetivos de control interno sean alcanzados. La asignacin, revisin y aprobacin del trabajo de un empleado comprende: La comunicacin clara de las funciones, responsabilidades y responsabilidad asignada a cada miembro del per sonal; La revisin sistemtica del trabajo de cada miembro hasta donde sea necesario: La aprobacin del trabajo en puntos crticos para asegurarse de que marcha como se quiere.

La delegacin de trabajo de un supervisor no debe disminuir la responsabilidad del supervisor por estas responsabilidades y funciones. Los supervisores adems debern dar a los empleados la suficiente gua y capacitacin para ayudar a asegurarse de que los errores, desperdicio y actividades incorrectas sean minimizados y que las directivas de la gerencia sean entendidas y cumplidas. La lista antes mencionada no es exhaustiva pero enumera las actividades ms comunes de control preventivo y de deteccin. Las actividades de control 1-3 son preventivas, 4-6 son de deteccin, mientras que 7-8 son tanto preventivas como de deteccin. Las entidades deben alcanzar un balance adecuado entre la deteccin y la prevencin en las actividades de control; por esta razn frecuentemente se utiliza una mezcla de estos controles para compensar desventajas particulares de controles individuales. Una vez que una actividad de control es implantada, es esencial que se obtenga seguridad sobre su efectividad. Consecuentemente, las acciones correctivas son un complemento necesario para las actividades de control. Ms an, debe quedar claro que las actividades de control forman slo un componente del control interno. Deben estar integradas a los otros cuatro componentes. 2.4 Informacin y comunicacin La informacin y la comunicacin son esenciales para ejecutar todos los objetivos de control interno. Informacin Una precondicin para que la informacin de transacciones y hechos sea confiable y relevante, es archivarla rpidamente y clasificarla correctamente. La informacin pertinente debe ser identificada, capturada y comunicada de una manera y en cierto lmite de tiempo que permita que el personal lleve a cabo su control interno y sus otras responsabilidades (comunicacin puntual a la gente adecuada). Por tal motivo, el sistema de control interno como tal y todas las transacciones y eventos significativos deben estar apropiadamente documentados. Los sistemas de informacin producen reportes que contienen informacin operacional, financiera y no financiera, informacin relacionada con el cumplimiento y que hace posible que las operaciones se lleven a cabo y se controlen. La misma no slo tiene que ver con datos generados internamente, sino con informacin sobre eventos externos, actividades y condiciones necesarias que permite la toma de decisiones y el reporte. La habilidad de la gerencia para tomar decisiones apropiadas es afectada por la calidad de la informacin, lo que implica que sta debera ser apropiada, puntual, actual, exacta y asequible. La informacin y la comunicacin son esenciales para la realizacin de todos los objetivos de control interno. Por ejemplo, uno de los objetivos de control interno es cumplir con las obligaciones de responsabilidad pblica. Esto puede lograrse desarrollando y manteniendo informacin financiera y no financiera confiable y relevante, y comunicando esta informacin a travs de la exposicin de reportes puntuales. La informacin y comunicacin relacionada con el trabajo de la organizacin crear la posibilidad de evaluar orden, tica, economa, eficiencia y eficacia de las operaciones. En muchos casos, cierta informacin tiene que ser emitida, o el proceso de la comunicacin tiene que llevarse a cabo para cumplir con las leyes y regulaciones. La informacin se necesita a todos los niveles de la organizacin para tener un control interno efectivo y lograr los objetivos de la entidad. Por tal motivo un conjunto de informacin pertinente, confiable y relevante debe ser identificado, capturado y comunicado en la forma y perodo de tiempo que permita que la gente lleve a cabo su control interno y sus otras responsabilidades. Una precondicin para que la informacin sea confiable y relevante es el archivo oportuno y correcta clasificacin de los hechos y las transacciones. Las transacciones y hechos deben ser archivados oportunamente cuando hayan ocurrido, si la informacin es relevante y valiosa para la gerencia al momento de controlar las operaciones y tomar decisiones. Esto aplica al proceso completo o al ciclo de vida de una transaccin o evento, incluyendo la iniciacin y autorizacin, todas las etapas mientras dure el proceso, y su clasificacin final en los archivos. Tambin aplica a la actualizacin oportuna de toda la documentacin para que siga siendo relevante. La clasificacin correcta de las transacciones y hechos es tambin necesaria para asegurar que la informacin confiable sea asequible a la gerencia. Esto significa organizar, categorizar y formatear la informacin con la que se preparan reportes, planes de trabajo y estados financieros. La habilidad de la gerencia para tomar decisiones apropiadas est afectada por la calidad de informacin, lo que implica que la informacin sea: apropiada (est toda la informacin necesaria?); oportuna (est ah cuando se la necesita?) actualizada (se tiene lo producido ms recientemente?) exacta (es correcta?) accesible (puede ser obtenida fcilmente por las partes relevantes?)

Para ayudar a asegurar la cualidad de la informacin y la rendicin de cuentas, llevar a cabo las actividades de control interno y las responsabilidades, y hacer que el seguimiento sea ms efectivo y eficiente, el sistema de control interno, al igual que todas las transacciones y eventos significativos deben ser correctos y claramente documentados (ejemplo: diagramas de flujo y narrativos). Esta informacin adems debe estar lista y asequible para ser examinada). La documentacin del sistema de control interno debe incluir la identificacin de la estructura de una organizacin, sus polticas, sus categoras operacionales, sus objetivos relacionados y sus procedimientos de control. Una organizacin debe haber evidenciado por escrito los componentes del proceso de control interno, incluyendo sus objetivos y actividades de control. La extensin de la documentacin del control interno de una entidad vara de acuerdo al tamao de la entidad, complejidad y factores similares.

Comunicacin La comunicacin efectiva debe fluir hacia abajo, a travs de y hacia arriba de la organizacin, tocando todos los componentes y la estructura entera. Todo el personal debe recibir un mensaje claro de la gerencia superior sobre la seriedad con la que deben tomarse las responsabilidades. Es necesario que entiendan su propio rol en el sistema de control interno, al igual que la manera en la que sus actividades individuales se relacionan con el trabajo de los dems. Tambin se necesita que haya comunicacin efectiva con las partes externas. La informacin es la base de la comunicacin, misma que debe cumplir con las expectativas de grupos e individuos, permitindoles llevar a cabo sus responsabilidades de forma efectiva. La comunicacin efectiva debe darse en todas las direcciones, fluir hacia abajo, a travs y hacia arriba en la organizacin, tocando todos los componentes de la estructura entera. Uno de los canales de comunicacin ms crticos es aquel entre la gerencia y el personal. La gerencia debe estar bien actualizada en cuanto a la actuacin, desarrollo, riesgos y funcionamiento del control interno y otros temas y eventos relevantes. Del mismo modo, la gerencia debe comunicar a su personal la informacin que requiere retroalimentacin y direccin. La gerencia tambin debe proveer comunicacin especfica y dirigida, relacionada con las expectativas de conducta. Esto incluye afirmaciones claras de la filosofa de control interno de la entidad, relacionamiento y delegacin de autoridad. La comunicacin debe elevar la conciencia sobre la importancia y la relevancia de un control interno efectivo, comunicar la tolerancia al riesgo de la entidad, y hacer que el personal est consciente de su rol y responsabilidades al efectuar y apoyar los componentes del control interno. Adems de las comunicaciones internas, la gerencia debe asegurar que existan medios adecuados de comunicarse y obtener informacin de partes externas, dado que las comunicaciones externas pueden servir como entradas que tengan un alto impacto de significado en la medida en la que la organizacin logre sus objetivos. Basndose en las comunicaciones internas y externas recibidas, la gerencia debe dar los pasos necesarios para realizar acciones puntuales de seguimiento. 2.5 Seguimiento (Monitoreo)

Los sistemas de control interno deben ser objeto de seguimiento para valorar la calidad de la actuacin del sistema en el tiempo. El seguimiento se logra a travs de actividades rutinarias, evaluaciones puntuales o la combinacin de ambas. (1) Seguimiento continuo El seguimiento continuo de control interno est construido dentro de las operaciones normales y recurrentes de la entidad. Incluye la administracin y actividades de supervisin y otras acciones que el personal ejecuta al cumplir con sus obligaciones. Las actividades de seguimiento continuo cubren cada uno de los componentes de control interno e involucran acciones contra los sistemas de control interno irregulares, antiticos, antieconmicos, ineficientes e ineficaces. (2) Evaluaciones puntuales El rango y frecuencia de las evaluaciones puntuales depender en primer lugar de la valoracin de riesgos y de la efectividad de los procedimientos permanentes de seguimiento. Las evaluaciones puntuales cubren la evaluacin de la efectividad del sistema de control interno y aseguran que el control interno logre los resultados deseados basndose en mtodos predefinidos y procedimientos. Las deficiencias de control interno deben ser reportadas al nivel adecuado de la gerencia. El seguimiento debe asegurar que los hallazgos de auditora y las recomendaciones sean adecuados y oportunamente resueltos. El seguimiento del control interno busca asegurar que los controles operen como se requiere y que sean modificados apropiadamente de acuerdo a los cambios en las condiciones. El seguimiento tambin debera valorar si, en cumplimiento de la misin de la entidad, se alcanzan los objetivos generales expuesto en la definicin de control interno. Esto se puede lograr a travs de las actividades de seguimiento continuo, evaluaciones puntuales, o una combinacin de ambas, para poder ayudar a asegurar que el control interno siga siendo aplicable a todos los niveles y a travs de toda la entidad, y que el control interno logre los resultados deseados. El seguimiento de las actividades de control interno como tal, debe distinguirse claramente de la revisin de las operaciones de la organizacin. El seguimiento continuo de control interno ocurre en el curso normal de las operaciones recurrentes de una organizacin. Se ejecuta continuamente y sobre la base del tiempo real, reacciona dinmicamente al cambio de condiciones y forma parte del engranaje de las operaciones de una entidad. Como resultado, es ms efectivo que las evaluaciones puntuales y las acciones correctivas son potencialmente menos costosas. Dado que las evaluaciones puntuales toman lugar despus de los hechos, muchas veces los problemas son ms fcilmente identificables a travs de las rutinas del seguimiento continuo.

El rango y la frecuencia de las evaluaciones puntuales dependen en primer lugar de la evaluacin del riesgo y de la efectividad de las actividades del seguimiento continuo. Al tomar esta determinacin, la organizacin debe considerar la naturaleza y el grado de los cambios, tanto desde hechos internos, como desde hechos externos y los riesgos asociados, la competencia y experiencia del personal que implanta las respuestas al riesgo, los controles relacionados, y los resultados del seguimiento continuo. Las evaluaciones puntuales de control tambin pueden ser tiles para enfocar directamente la efectividad de los controles en un tiempo especfico. Las evaluaciones puntuales pueden tomar la forma de autoevaluacin al igual que de una revisin del diseo de control de pruebas sobre el control interno. Las evaluaciones puntuales tambin pueden ser ejecutadas por las instituciones fiscalizadoras superiores o los auditores externos o internos. Usualmente, alguna combinacin del seguimiento permanente y de las evaluaciones puntuales ayudar a asegurar que el control interno mantenga su efectividad a travs del tiempo. Todas las deficiencias encontradas durante el seguimiento continuo o a travs de evaluaciones puntuales deben ser comunicadas a aquellas personas que puedan tomar las acciones necesarias. El trmino deficiencia se refiere a la condicin que afecta la habilidad de la entidad para lograr sus objetivos generales. Una deficiencia, por lo tanto, puede representar un defecto percibido, potencial o real, o una oportunidad para fortalecer el control interno con la idea de aumentar las probabilidades de que la entidad logre sus objetivos generales. Proveer la informacin necesaria sobre las deficiencias de control interno a la parte responsable es difcil. Deben establecerse por ello requerimientos para identificar qu informacin es necesaria en un nivel particular para tomar decisiones de modo efectivo. Estos requerimientos reflejan la regla general que una gerencia debe recibir la informacin que afecta las acciones o conductas del personal bajo su responsabilidad, al igual que la informacin necesaria para lograr objetivos especficos. La informacin generada en el curso de las operaciones es usualmente reportada a travs de canales normales, lo que significa al individuo responsable por el funcionamiento y tambin al ltimo nivel de la gerencia que est sobre dicho individuo. De cualquier modo, los canales alternativos de comunicacin deben existir para reportar informacin delicada como ser actos ilegales o incorrectos. El seguimiento del control interno debe incluir polticas y procedimientos que buscan asegurar que los hallazgos de auditora y otras revisiones sean adecuados y oportunamente resueltos. Los gerentes deben (1) evaluar oportunamente los hallazgos de auditora y otras revisiones, incluyendo aquellos que muestren deficiencias y recomendaciones reportadas por los auditores y otros que evalen las operaciones de los departamentos, (2) determinar las acciones correctivas en respuesta a los hallazgos y recomendaciones de las auditoras y revisiones, y (3) completar, dentro de los marcos establecidos, todas las acciones que corrijan o resuelvan de cualquier otra manera los asuntos que han llamado su atencin. El proceso de resolucin empieza cuando los resultados de la auditora o de otra revisin son reportados a la gerencia y se termina slo cuando se toma una accin que (1) corrija las deficiencias identificadas, (2) produzca mejoras, o (3) demuestre que los hallazgos y las recomendaciones no garanticen la accin gerencial.

COSO ERM II **Enfoque y Filosofa del Informe COSO ERM El 29 se septiembre del 2004 se lanz el Marco de Control denominado COSO II que segn su propio texto no contradice al COSO I, siendo ambos marcos conceptualmente compatibles. Sin embargo, este marco se enfoca a la gestin de los riesgos (ms all de la intencin de reducir riesgos que se plantea en COSO I) mediante tcnicas como la administracin de un portafolio de riesgos. Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e irregularidades que provocaron prdidas importante a inversionistas, empleados y otros grupos de inters, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, public el Enterprise Risk Management y sus aplicaciones tcnicas asociadas, el cual ampla el concepto de control interno, proporcionando un foco ms robusto y extenso sobre la identificacin, evaluacin y gestin integral de riesgo. Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de l, permitiendo a las compaas mejorar sus prcticas de control interno o decidir encaminarse hacia un proceso ms completo de gestin de riesgo. A medida que acelera el ritmo de cambio, la mayora de las organizaciones necesitarn mejorar su capacidad de aprovechar oportunidades, evitar riesgos y manejar la incertidumbre. Esta nueva metodologa proporciona la estructura conceptual y el camino para lograrlo. La premisa principal de la gestin integral de riesgo es que cada entidad, con o sin fines de lucro, existe para proveer valor a sus distintos grupos de inters. Sin embargo, todas estas entidades enfrentan incertidumbres y el desafo para la administracin es determinar qu cantidad de incertidumbre esta la entidad preparada para aceptar, como esfuerzo, en su bsqueda de incrementar el valor de esos grupos de inters. Esa incertidumbre se manifiesta tanto como riesgo y oportunidad, con el potencial de desgastar o generar valor. La gestin integral de riesgo permite a la administracin tratar efectivamente la incertidumbre, riesgo y oportunidad, de tal modo de aumentar la capacidad de la entidad de construir valor. La incertidumbre es generada por factores externos a la entidad como la globalizacin, tecnologa, reestructuraciones, cambios en los mercados, competencia y regulaciones, y por factores internos como las elecciones estratgicas de la organizacin. La incertidumbre emana de la inhabilidad para determinar con precisin la probabilidad asociada a la ocurrencia de un evento y a sus impactos correspondientes. El valor es creado, preservado o desgastado por las decisiones de la administracin en todas las actividades, desde la planificacin estratgica a la operacin del da a da. Es por esto que el Informe COSO ERM describe un marco basado en principios que provee lo siguiente: La definicin de administracin de riesgos corporativos. Los principios crticos y componentes de un proceso de administracin de riesgos corporativos efectivo. Pautas para las organizaciones sobre cmo mejorar su administracin de riesgos. Criterios para determinar si la administracin de riesgos es efectiva, y si no lo es que se necesita para que lo sea.

Como el punto clave de todo esto es la administracin de riesgos es necesario conocer su concepto. Segn COSO ERM, la administracin de riesgos es un proceso efectuado por el directorio, gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la administracin, diseado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de objetivos de la organizacin. Una vez establecido el enfoque y filosofa del COSO ERM es importante conocer tambin sus elementos o componentes, los cuales se detallan en el siguiente punto.

COMPONENTES DEL INFORME COSO ERM El Informe COSO ERM est conformado por 8 componentes que se relacionan entre s, estos son:

Ambiente de Control Establecimiento de Objetivos. Identificacin de eventos. Evaluacin de Riesgos. Respuesta al Riesgo. Actividades de Control. Informacin y Comunicacin. Monitoreo.

COSO I Ambiente de Control

COSO ERM Ambiente de Control

Establecimiento de Objetivos

Identificacin de Riesgos

Evaluacin de Riesgos Actividades de Control

Evaluacin de Riesgos Actividades de Control

Respuesta a los Riesgos Informacin y Comunicacin

Informacin y Comunicacin Monitoreo

Monitoreo

1. Ambiente de Control El ambiente de control abarca el tono de una organizacin, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes, proporcionando disciplina y estructura. Influye en cmo se establecen las estrategias y objetivos, se estructuran las actividades de negocio, se identifican y evalan los riesgos y se acta sobre ellos. Los factores del ambiente interno incluyen la filosofa de la administracin de riesgos de una entidad, su apetito de riesgo, el monitoreo ejercido por el consejo de administracin, la integridad, valores ticos y competencia de su personal y la forma en que la direccin asigna la autoridad, responsabilidad, organiza y desarrolla a sus empleados. El ambiente de control est compuesto por los siguientes factores: Filosofa de la administracin de riesgos. Integridad y valores ticos. Visin de directorio. Compromiso de la competencia profesional. Estructura organizativa. Asignacin de autoridad y responsabilidad. Polticas y prcticas de recursos humanos.

Filosofa de la Administracin de Riesgos: La filosofa de la administracin de riesgos de una organizacin es el conjunto de creencias y actitudes compartidas que caracterizan el modo en que la entidad contempla el riesgo en todas sus situaciones, desde el desarrollo e implantacin de la estrategia hasta sus actividades cotidianas. Dicha filosofa queda reflejada prcticamente en todo el trabajo de la direccin al gestionar la entidad y se plasma en las declaraciones sobre polticas, las comunicaciones verbales y escritas y la toma de decisiones. Integridad y Valores ticos: Los objetivos de una empresa y la forma de alcanzarlos estn basados en preferencias, juicios de valor, y estilos de direccin, los cuales reflejan la integridad de la organizacin y su compromiso de los valores ticos. Por esta razn hay que tener claro el concepto de integridad y valores ticos Se entiende por integridad el deseo de hacer lo correcto, es decir, profesar una serie de valores y expectativas y actuar de acuerdo a los mismos.

Los valores ticos, son aquellos valores morales que permiten determinar una lnea de comportamiento apropiado en la toma de decisiones. Estos valores debera basarse en lo que es correcto y no limitarse nicamente a lo legal. En el ambiente de control la integridad y los valores ticos son elementos esenciales, afectando el diseo, administracin y el monitoreo de los otros factores del COSO. La integridad y el compromiso con los valores ticos son propios del individuo. Los juicios de valor, la actitud y el estilo se basan en experiencias personales. No hay ningn puesto ms importante para influir sobre la integridad y valores ticos que el de consejero delegado y la alta direccin ya que establecen el estilo al nivel superior y afectan a la conducta del resto del personal de la organizacin. Un estilo adecuado al nivel ms alto contribuye a que: Los miembros de la entidad hagan lo correcto, tanto desde el punto de vista legal como moral. Se cree una cultura de apoyo al cumplimiento, comprometida con la gestin de riesgos corporativos. No se navegue por zonas grises en las que no existen normas o pautas especficas de cumplimiento. Se fomente una voluntad de buscar ayuda e informar de los problemas antes de que stos no tengan solucin.

Las organizaciones apoyan una cultura de valores ticos e integridad mediante la comunicacin de documentos tales como una declaracin de valores fundamentales que establezcan los principios y prioridades de la entidad y un cdigo de conducta. ste cdigo proporciona una conexin entre la misin, visin, polticas y procedimientos operativos. Visn del Directorio: La Direccin es directamente responsable por todas las actividades de una empresa, incluyendo sus sistemas de control interno. Da forma a los valores, los principios y principales polticas operativas que constituyen la base del sistema de control interno. La Direccin es quien fija los objetivos al nivel de entidad, toma acciones relativas a la estructura organizacional, contenido y comunicacin de polticas claves y los tipos de sistemas de planificacin e informacin que usar la organizacin. Todas las funciones influirn o afectarn de diferente manera a la organizacin dependiendo de cmo la direccin las ejecute. Los efectos en la organizacin son naturalmente intangibles pero se pueden buscar indicadores positivos o negativos. El Informe C.O.S.O. trata especialmente tres de ellos, los cuales son expuestos a continuacin: 1. Un indicador asociado al estilo de la direccin es la forma como la empresa es conducida. Una empresa puede ser dirigida de manera informal o sea controlando muy estrechamente las operaciones a travs del contacto cara a cara con los gerentes claves o de manera ms formal confiando en polticas escritas, indicadores de desempeo e informes. Un Gerente General puede relacionarse con sus gerentes a travs de reuniones abiertas, donde se tomen las decisiones de una manera informal o puede relacionarse y comunicarse a travs de escritos, donde se informan los temas que sern tratados y lo que fue resuelto en dichas reuniones. Otro indicador que ejerce su influencia es la naturaleza de los riesgos asumidos por la direccin. La Direccin puede adoptar distintas actitudes, pudiendo ejercer una actitud conservadora o adversa al riesgo o bien buscadora del mismo. En cualquier caso la Direccin va a actuar con cuidado y solamente despus de analizar los beneficios y riesgos potenciales de una operacin. Cuando la Direccin es buscadora de riesgos va a estar dispuesta a enfrentar altos riesgos siempre, a pesar de las consecuencias econmicas severas que puedan afectar a la empresa. Otro indicador son las actitudes que la direccin toma frente al proceso de elaboracin de informacin contable. En este proceso es fundamental la delegacin de autoridad. La informacin surge de diferentes sectores de la empresa y por tanto es indispensable que cada rea asuma su responsabilidad en este importante proceso. Sera imposible que un Gerente General pudiera ejercer una supervisin directa en lo que refiere a juicio y estimaciones contables de cada rea. Esta tarea debe ser realizada por los responsables directos, que son aquellos que estn en contacto diario con la informacin.

2.

3.

Compromiso de la competencia profesional: La competencia debe reflejar las habilidades o conocimientos especficos requeridos para desempear las tareas que definen el trabajo de cada individuo. Le corresponde a la Direccin definir los niveles de competencia para cada puesto de trabajo y cules son las habilidades y conocimientos que espera de quien ocupa dicho puesto. Generalmente hay una compensacin entre competencia y costo, por ejemplo, no es necesario contratar a un ingeniero elctrico para encender una lamparita. A su vez, la Direccin determina cun bien deben ser cumplidas las tareas para contribuir al logro de los objetivos organizacionales y no apartarse de la estrategia implantada. Estructura Organizativa: La estructura organizativa es el marco en que las actividades son planeadas, ejecutadas, controladas y monitoreadas para lograr los objetivos a nivel de la entidad. El proceso de diseo organizacional o estructura organizativa comprende cuatro etapas: 1. Departamentalizacin 2. Asignacin de actividades 3. Determinacin de autoridad y responsabilidad 4. Relacionamiento entre las unidades Al departamentalizar estn agrupando actividades de trabajo similares y conectadas lgicamente o sea combinamos de manera lgica y eficiente las actividades. Hay diferentes criterios, por funcin, por producto y en forma matricial. El criterio que adopte cada empresa depender del tamao de la empresa, el ramo en que gire y al mercado que se dirige. Su determinacin estar asociado a los beneficios que reporte en cuanto al ahorro de costos, mejor utilizacin de los recursos, y mejorar los beneficios en general para la empresa como puede ser obtener mejores resultados en la gestin. Una vez realizada la departamentalizacin, hay que asignarles actividades a esas unidades definidas. Esta asignacin puede ser definida por diferentes criterios, pueden ser por semejanza, por el mximo uso, por oposicin de intereses o tambin por el inters del jerarca. Asignacin de Autoridad y Responsabilidad: La autoridad es el elemento que da conexin a la estructura organizacional, tiene como base el cargo que ocupa quien ejerce la autoridad y por ello es impersonal y es conferida por la organizacin. Dentro de este factor se analizan la asignacin de autoridad y responsabilidad para actividades operativas, y establecimiento de relacionamiento para la elevacin de informes. Se hace hincapi en el grado en que los individuos y equipos son alentados a usar su iniciativa para encarar asuntos y resolver problemas, as como los lmites de su autoridad. Tambin incluye, polticas que describen las prcticas apropiadas de negocio, conocimientos y experiencia del personal clave y los recursos proporcionados para cumplir sus cometidos. Polticas y prcticas de Recursos Humanos: De todos los factores del Ambiente de Control, se da nfasis en el estudio de las Polticas y Prcticas de Recursos Humanos, por considerar que los Recursos Humanos son los activos ms importantes que tiene una organizacin y su efectiva gerencia es

la clave del xito. Este es ms probable de lograr si las polticas y procedimientos de personal estn estrechamente ligados y hacen una contribucin importante al logro de los objetivos asociados en sus tres categoras. Las prcticas relativas a Recursos Humanos envan mensajes a los empleados en cuanto a niveles esperados de integridad, comportamiento tico y competencia. Dichas prcticas se relacionan con las acciones referidas a contratacin, orientacin, entrenamiento, evaluacin, consejo, promocin, compensacin y correccin. La Administracin de Recursos Humanos (A.R.H.) es la funcin administrativa mediante la cual los gerentes reclutan, seleccionan, capacitan y desarrollan a los miembros de la organizacin. 2. Establecimiento de Objetivos Los objetivos se establecen a nivel estratgico, estableciendo con ellos una base para los objetivos operativos, de reporte y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos precedentes de fuentes externas e internas, y una condicin previa para la identificacin efectiva de eventos, la evaluacin de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la entidad Este componente nos dice que los objetivos deben existir antes de que la direccin pueda identificar potenciales eventos que afecten a su consecucin. La administracin de riesgos corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de ser consecuentes con el riesgo aceptado. A continuacin se detalla los subcomponentes del Establecimiento de objetivos: a) Objetivos Estratgicos: Son declaraciones que describen la naturaleza, el alcance, el estilo, los ideales y sueos de una organizacin para el mediano y largo plazo. Cada objetivo estratgico debe responder a las siguientes preguntas: Qu se quiere lograr?, Cundo se debe lograr? Y Cmo se sabr si se ha logrado? Estos objetivos reflejan tambin las elecciones estratgicas sobre cmo la organizacin buscar crear valor para sus grupos de inters. b) Objetivos Relacionados: Son objetivos a nivel de la empresa que estn vinculados y se integran con otros objetivos ms especficos, que repercuten en cascada en la organizacin hasta llegar a los subjetivos, por ejemplo en las diversas actividades de ventas, produccin, ingeniera e infraestructura. Estos objetivos se categorizan en forma amplia en: operativos, confiabilidad de la informacin y cumplimiento; y deben estar alineados con la estrategia seleccionada y con el apetito al riesgo deseado. c) Riesgo Aceptado y Niveles de Tolerancia: El riesgo aceptado es la cuanta, ms amplia del riesgo, que una entidad est dispuesta a asumir para realizar su misin o visin. El riesgo aceptado se relaciona directamente con la estrategia de una entidad y se tiene en cuenta para establecerla, ya que diferentes estrategias exponen a una entidad a riesgos distintos. La administracin de riesgos corporativos ayuda a la direccin a elegir una estrategia que alinea la creacin anticipada de valor con el riesgo aceptado por la entidad. La tolerancia al riesgo es el nivel aceptable de desviacin en relacin con el logro de los objetivos. 3. Identificacin de Eventos La direccin identifica los eventos potenciales que, de ocurrir, afectarn a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con xito. Los eventos con impacto negativo representan riesgos, que exigen la evaluacin y respuesta de la direccin. Los eventos con impacto positivo representan oportunidades, que la direccin reconduce hacia la estrategia y el proceso de fijacin de objetivos. Cuando identifica los eventos, la direccin contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del mbito global de la organizacin. La direccin utiliza diversas tcnicas para identificar posibles acontecimientos que afecten al logro de los objetivos. Estas tcnicas se emplean en la identificacin de riesgos y oportunidades. Por ejemplo, implantar un nuevo proceso de negocio, redisearlo o evaluarlo. A continuacin, se presenta una serie de tcnicas comunes de identificacin de eventos y su aplicacin. Identificacin de Eventos: Las direcciones utilizan listados de eventos posibles comunes a un sector o rea funcional especfica. Estos listados se elaboran por el personal de la entidad o bien son listas externas genricas y se utilizan, por ejemplo, con relacin a un proyecto, proceso o actividad determinada, pudiendo resultar tiles a la hora de asegurar una visin coherente con otras actividades similares a la organizacin. Cuando se trata de listados generados externamente, el inventario se revisa y se somete a mejoras, adaptando su contenido a las circunstancias de la entidad, para presentar una mejor relacin con los riesgos de la organizacin y de ser consecuentes con el lenguaje comn de gestin de riesgos corporativos de la entidad. Talleres de Trabajo: Los talleres o grupos de trabajo dirigidos para identificar eventos renen habitualmente a personal de muy diversas funciones o niveles, con el propsito de aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos relacionados, por ejemplo, con los objetivos estratgicos de una entidad de negocio o de procesos de la empresa. Los resultados de estos talleres dependen habitualmente de la profundidad y amplitud de la informacin que aportan los participantes. Algunas organizaciones, en conexin con el establecimiento de objetivos, ponen en marcha un taller en que participa la alta direccin, a fin de identificar eventos que podran afectar al logro de objetivos corporativos estratgicos. Entrevistas: Las entrevistas se desarrollan habitualmente entre entrevistador y el entrevistado o, en ocasiones, con dos entrevistas para cada persona entrevistada, en cuyo caso el entrevistador est acompaado por un compaero que toma notas. Su propsito es averiguar los puntos de vista y conocimientos sinceros del entrevistado en relacin con los acontecimientos pasados y los posibles acontecimientos futuros. Cuestionarios y Encuestas: Los cuestionarios abordan una amplia gama de cuestiones que los participantes deben considerar, centrando su reflexin en los factores internos y externos que han dado, o pueden dar lugar, a eventos.

Las preguntas pueden ser abiertas o cerradas, segn sea el objetivo de la encuesta. Pueden dirigirse a un individuo o a varios o bien pueden emplearse en conexin con una encuesta de base ms amplia, ya sea dentro de una organizacin o est dirigida a clientes, proveedores u otros terceros. Anlisis del flujo de procesos: El anlisis del flujo de procesos implica normalmente la representacin esquemtica de un proceso, con el objetivo de comprender las interrelaciones entre las entradas, tareas, salidas y responsabilidades de sus componentes. Una vez realizado este esquema, los acontecimientos pueden ser identificados y considerados frente a los objetivos del proceso. Al igual que otras tcnicas de identificacin de eventos, el anlisis del flujo de procesos puede utilizarse en una visin de la organizacin a nivel global o a un nivel de detalle. Principales indicadores de eventos e indicadores de alarma: Los principales indicadores de eventos, a menudo denominados principales indicadores de riesgo, son mediciones cualitativas o cuantitativas que proporcionan un mayor conocimiento de los riesgos potenciales, tales como el precio del combustible, la rotacin de las cuentas de valores de los inversores. Para resultar tiles, los principales indicadores de riesgo deben estar disponibles para la direccin de manera oportuna, lo que, dependiendo de la informacin, puede implicar una frecuencia diaria, semanal, mensual o a tiempo real. Los indicadores de alarma se centran habitualmente en operaciones diarias y se emiten, sobre la base de excepciones, cuando se sobrepasa un umbral preestablecido. Las empresas poseen a menudo indicadores de alarma establecidos en unidades de negocio o departamentos. Estos indicadores, para ser eficaces, deben establecer el momento en que deber informarse a los directivos partiendo del tiempo necesario para poner en marcha una accin. Seguimiento de datos de eventos con prdidas: El seguimiento de la informacin relevante puede ayudar a una organizacin a identificar acontecimientos pasados con un impacto negativo y a cuantificar las prdidas asociadas, a fin de predecir futuros sucesos. Las bases de datos de eventos con prdidas asociadas contienen informacin sobre aquellos acontecimientos reales que cumplen criterios especficos. Identificacin continua de Eventos: Las tcnicas anteriormente presentadas se aplican, normalmente, en circunstancias particulares que se presentan con una frecuencia variable a lo largo del tiempo. Tambin se identifican eventos posibles de manera continua en conexin con las actividades diarias propias del negocio. Interrelacin de eventos que pueden afectar a los objetivos: Bajo determinadas circunstancias, son muchos los eventos que pueden tener impactos sobre el logro de un objetivo. Para conseguir una mejor visin y comprensin acerca de sus interrelaciones, algunas empresas utilizan diagramas de eventos en rbol, tambin conocidos como diagramas de espinas de pescado. Un diagrama de este tipo proporciona un medio para identificar y representar de manera grfica la incertidumbre, centrndose por lo general en un objetivo y en el modo en que mltiples eventos afectan el logro. Mediante la agrupacin de posibles eventos de caractersticas similares, la direccin puede determinar con ms precisin las oportunidades y los riesgos. Algunas entidades clasifican los eventos posibles, para ayudar a asegurar que los esfuerzos para su identificacin sean completos. 4. Evaluacin de Riesgos La evaluacin de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecucin de objetivos. La direccin evala estos acontecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse, individualmente o por categora, en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y riesgo residual. Al evaluar los riesgos, la direccin considera los eventos esperados e inesperados. Muchos de estos son rutinarios y recurrentes y ya se contemplan en los programas de gestin y presupuestos operativos. Dentro de la evaluacin de riesgos, estos se analizan considerando su probabilidad e impacto como base para determinar cmo deben ser administrados. Los riesgos son evaluados sobre una base inherente y residual bajo las perspectivas de probabilidad (probabilidad de que ocurra un evento) e impacto (su efecto debido a su ocurrencia), con base en datos pasados internos (pueden considerarse de carcter subjetivo) y externos (ms objetivos). Es necesario tener los conceptos de los que es el riesgo inherente y el riesgo residual para poder entender lo que es la evaluacin de riesgos. El riesgo inherente es aqul al que se enfrenta una entidad en ausencia de acciones de la direccin para modificar su probabilidad e impacto. Y el Riesgo Residual es aquel que permanece despus de que la direccin desarrolle sus respuestas a los riesgos. El riesgo residual refleja el riesgo remanente una vez se han implantado de manera eficaz las acciones planificadas por la direccin para mitigar el riesgo inherente. En la definicin que da la Price acerca de la Evaluacin de riesgos, habla acerca de mtodos y tcnicas cualitativas y cuantitativas, a continuacin un detalle de lo que es cada una de ellas. La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de tcnicas cualitativas y cuantitativas. La direccin aplica a menudo tcnicas cualitativas cuando los riesgos no se prestan a la cuantificacin o cuando no estn disponibles datos suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte eficaz para su costo. Las tcnicas cuantitativas tpicamente aportan ms precisin y se san en actividades ms complejas y sofisticadas, para complementar las tcnicas cualitativas. Si bien algunas evaluaciones cualitativas de riesgos se establecen en trminos subjetivos y otras en trminos objetivos, la calidad de estas evaluaciones depende principalmente del conocimiento y juicio de las personas implicadas, su comprensin de los acontecimientos posibles y del contexto y dinmica que los rodea. Las tcnicas cuantitativas pueden utilizarse cuando existe la suficiente informacin para estimar la probabilidad o el impacto del riesgo empleando mediciones de intervalo o razn. Los mtodos cuantitativos incluyen tcnicas probabilsticas, no probabilsticas, y de benchmarking. Una consideracin importante en esta evaluacin es la disponibilidad de informacin precisa, ya sea de fuentes internas o externas. Y uno de los retos que plantean el uso de estas tcnicas es el de obtener suficientes datos vlidos.

o o

Tcnicas Probabilsticas: Las tcnicas de este tipo miden la probabilidad e impacto de un determinado nmero de resultados basndose en premisas del comportamiento de los eventos en forma de distribucin estadstica. Tcnicas No Probabilsticas: Las tcnicas no probabilsticas se emplean para cuantificar el impacto de un posible evento sobre una hiptesis de distribuciones estadsticas, pero sin asignar una probabilidad de ocurrencia al acontecimiento. De este modo, estas tcnicas requieren, por parte de la direccin, la determinacin por separado de esta probabilidad. Algunas tcnicas no probabilsticas ampliamente utilizadas son el anlisis de sensibilidad, el anlisis de escenarios y las pruebas de tolerancia a situaciones lmite. Benchmarking: Algunas empresas utilizan tcnicas de benchmarking para evaluar un riesgo especfico en trminos de probabilidad e impacto, en el caso de que la direccin aspire a mejorar sus decisiones de respuesta al riesgo. La informacin as obtenida puede proporcionar a la direccin un conocimiento profundo de probabilidad e impacto de riesgos, basndose en las experiencias de otras organizaciones. Tambin se emplea el benchmarking con respecto a actividades de un proceso de negocio, para intentar identificar oportunidades de mejora del mismo.

5. Respuesta al Riesgo Una vez evaluados los riesgos relevantes, la direccin determina cmo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la direccin evala su efecto sobre la probabilidad e impacto del riesgo, as como los costos o beneficios, y selecciona aquella que site el riesgo residual dentro de las tolerancias al riesgo establecidas. La direccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad. Cuando la gerencia haya evaluado el riesgo, identifica y evala posibles respuestas al riesgo en relacin al apetito de riesgo de la entidad. Las respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido. Como ya lo haba mencionado hay varias respuestas del riesgo, a continuacin un breve detalle: o Evitarlo: Supone salir de las actividades que generen riesgos porque no se identific alguna opcin de respuesta que redujera el impacto y la probabilidad hasta un nivel aceptable. Evitar el riesgo puede implicar el cese de una lnea de producto o de actividad, frenar la expansin hacia un nuevo mercado geogrfico o a la venta de una divisin. o Reducir: Implica llevar a cado acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Significa reducir el riesgo residual para ubicarle en la lnea con la tolerancia de riesgo deseada. o Compartir: La probabilidad o el impacto del riesgo se reduce trasladando o, de otro modo, compartiendo una parte del riesgo. Igual que la opcin de compartir, significa reducir el riesgo residual para ubicarlo en lnea con la tolerancia de riesgo deseada. Las tcnicas comunes incluyen la contratacin de seguros, la tercerizacin de una actividad sustantiva o adjetiva como una parte de la gestin del recurso humano. o Aceptar: No se emprende ninguna accin que afecte la probabilidad o el impacto del riesgo. El COSO ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. Le permite desarrollar sta visin de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad y as poder determinar si el perfil de riesgo residual de la entidad est acorde con su apetito de riesgo global. El ERM tambin propone que para decidir la respuesta a los riesgos, la direccin debera tener en cuenta lo siguiente: o Los costos y beneficios de las respuestas potenciales. o Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto. Prcticamente todas las respuestas al riesgo implican algn tipo de coste directo e indirecto que se debe medir en relacin con el beneficio que genera. Se ha de considerar el costo inicial del diseo e implantacin de una respuesta (proceso, personal y tecnologa), as como el costo de mantener la respuesta de manera continua. Los costos y beneficios asociados pueden medirse cuantitativa o cualitativamente, empleando normalmente una unidad de medida coherente con la empleada para establecer el objetivo y las tolerancias al riesgo relacionadas. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin a las nuevas oportunidades para la entidad. Una vez que la direccin selecciona una respuesta, es posible que se necesite desarrollar un plan de implementacin para ejecutarla. Como dira el escritor chino SUN TZU La estrategia sin tctica es el camino ms lento a la victoria 6. Actividades de Control Las actividades de control son las polticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la direccin a los riesgos. Las actividades de control tienen lugar a travs de la organizacin, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregacin de funciones. Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la entidad con la que estn relacionadas: estratgicos, operativos, de reporte y cumplimiento. Aunque algunas actividades de control corresponden exclusivamente a una sola categora, a menudo se traslapan. Segn circunstancias, una determinada actividad de control podra ayudar a alcanzar los objetivos de la entidad en ms de una categora. Despus de haber seleccionado las respuestas al riesgo, la direccin identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a los riesgos se lleven a cabo adecuada y oportunamente. Las actividades de control incluyen controles preventivos, para detener ciertas transacciones riesgosas ante su ejecucin, y, controles de deteccin, para identificar aquellas que tienen posibles errores o irregularidades . Las actividades de control combinan controles automticos y manuales, incluyendo aquellos automatizados que aseguran la captacin correcta de la informacin, y procedimientos de autorizacin y aprobacin de las decisiones de inversin por parte de las personas responsables. Existen diferentes descripciones de tipos de actividades de control que van desde controles preventivos a detectivos, manuales, informticos y controles de direccin. A continuacin se ejemplifican la gama y variedad de actividades de control:

Anlisis efectuados por la direccin: Los resultados obtenidos se analizan con los presupuestos, con el fin de evaluar en qu medida se estn alcanzando los objetivos. Las acciones de la direccin relacionadas con el anlisis y el seguimiento representan actividades de control. Gestin directa de funciones por actividades: Los responsables de diversas funciones o actividades revisan los informes sobre los resultados logrados. Proceso de informacin: Realizacin de controles para comprobar la exactitud, totalidad y autorizacin de las transacciones. Controles fsicos: Los ms conocidos son los inventarios o recuentos fsicos en los cuales se comprueba su existencia fsica con los registros de la compaa. Indicadores de rendimiento: Los indicadores pueden actuar como control de las operaciones o puede ser relativo a la informacin financiera. Por ejemplo fluctuaciones de los precios de compra (operacional) o dicha informacin se utiliza para seguir los resultados financieros, el anlisis de los indicadores contribuye al control relativo a la informacin financiera. Segregacin de funciones: Hace al reparto de las tareas entre los empleados para que existe un control por oposicin, un ejemplo sencillo sera que un vendedor no pueda modificar y aprobar los precios de ventas o los porcentajes de las comisiones recibidas por las ventas. Las actividades de control se respaldan en dos elementos importantes: polticas y procedimientos. Las polticas determinan que es lo que se debera hacer, y los procedimientos determinan las acciones a llevar a cabo para cumplir las polticas. Integracin de las actividades de control con la evaluacin de riesgos La direccin debera establecer los planes de accin necesarios para afrontar los riesgos evaluados. Las acciones determinadas tambin resultarn tiles para la definicin de las operaciones de control, dado que su aplicacin se encuentra orientada a garantizar su ejecucin correcta. Para clarificar el concepto un ejemplo sera el siguiente: Un empresa tiene como objetivo mantener un x nivel de inventarios para hacer frente a la demanda. Un riesgo asociado est dado por no obtener las mercancas con el tiempo suficiente. Una accin que podra tomar la direccin es hacerse de informacin histrica sobre la evolucin de ventas y los tiempos de entrega de los proveedores de dichas mercancas. Esta accin tambin sirve para el desarrollo de una actividad de control. Las actividades de control no son un fin en s mismo, sino que sirven como mecanismos para que la organizacin alcance sus objetivos. Siguiendo el ejemplo mencionado precedentemente, una actividad de control incluira el seguimiento de los tiempos de respuesta de los proveedores, comparndolo con la evolucin de las ventas y obligaciones asociadas a sus productos. En tal sentido el control es un elemento integrado en el proceso de gestin.

7. Informacin y Comunicacin La informacin pertinente se identifica, captura y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de informacin usan datos generados internamente y fuentes externas de informacin para la administracin de riesgos y la toma de decisiones relativas a los objetivos. Tambin existe una comunicacin efectiva que fluye hacia abajo, a travs y hacia arriba de la organizacin. Todo el personal recibe un mensaje claro desde la alta direccin que debe considerar seriamente las responsabilidades de administracin de los riesgos corporativos. Las personas entienden su rol en la administracin de riesgos corporativos y cmo las actividades individuales se relacionan con el trabajo de otros. Asimismo, deben tener unos medios para comunicar hacia arriba la informacin significativa. Tambin debe haber una comunicacin efectiva con terceros, tales como los clientes, proveedores, reguladores y accionistas. Este componente ilustra el modo en que se obtiene y fluye la informacin en una organizacin y cmo sta se utiliza y presenta para apoyar la gestin de riesgos corporativos. Tambin se dan a conocer tcnicas que facilitan la comunicacin y apoyan a una gestin eficaz de riesgos corporativos. Informacin As como es necesario que todos los agentes conozcan el papel que les corresponde desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten con la informacin peridica y oportuna que deben manejar para orientar sus acciones en consonancia con los dems, hacia el mejor logro de los objetivos. La informacin relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La informacin operacional, financiera y de cumplimiento conforma un sistema para posibilitar la direccin, ejecucin y control de las operaciones. Est conformada no slo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. Los sistemas de informacin permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisin a travs de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de informacin acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rpidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratgicas, a travs de la evolucin desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas. Ya que el sistema de informacin influye sobre la capacidad de la direccin para tomar decisiones de gestin y control, la calidad de aqul resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. Los sistemas de informacin pueden ser: Formales: Por ejemplo la informacin obtenida en un seminario, congreso, etc. Informales: Por ejemplo aquella que surge de conversaciones con los clientes, proveedores, etc. Dado que las empresas se mueven en un entorno cada vez ms cambiante, resulta importante que los sistemas de informacin puedan adaptarse en forma oportuna y gil a las condiciones del entorno, es por ello que la flexibilidad de los mismos resulta fundamental. Muchas empresas deben su xito a la utilizacin de los sistemas de informacin con fines estratgicos, utilizado stos para lograr una ventaja competitiva y obtener rendimientos superiores al resto. Un ejemplo son los sistemas que interconectan a los proveedores con sus clientes (Intercambio electrnico de datos), permitiendo a los proveedores chequear el nivel de stock de sus clientes a efectos de reaprovisionarlos oportunamente, sin necesidad de esperar el pedido del cliente. Realizar el seguimiento del stock del cliente permite al proveedor planificar mejor su produccin y logstica de entrega. Este ejemplo resulta claro para mostrar las ventajas competitivas que pueden obtenerse con la utilizacin adecuada de los sistemas de informacin. En la medida que se vayan utilizando estos sistemas, las empresas podrn identificar mejor las necesidades del mercado, facilitando entonces la implementacin de estrategias empresariales proactivas en vez de reactivas.

Los sistemas normalmente evolucionan configurndose a partir de muchas tecnologas diferentes, con el fin de satisfacer las necesidades de las empresas. La adquisicin de una nueva tecnologa constituye una decisin estratgica empresarial, por lo tanto su obtencin representa un factor clave para la consecucin de los objetivos de crecimiento. La seleccin de la tecnologa depender de muchos factores que la organizacin deber analizar, por ejemplo el soporte tcnico, las necesidades del mercado, exigencias competitivas, etc. La toma de decisiones acertadas y adecuadas depender de la calidad de la informacin utilizada. Resulta necesario que los informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. La calidad de la informacin depender, entre otros, de los siguientes factores: Contenido: Est toda la informacin necesaria. Oportunidad: Tiempo de obtencin adecuado. Actualidad: Informacin reciente. Exactitud: Contiene datos correctos. Accesibilidad: Fcil obtencin por las personas adecuadas Resulta esencial para la implementacin de los controles, disponer de informacin (adecuada, oportuna y accesible), adems la calidad de la informacin va a depender del desarrollo de las actividades de control efectuadas que garantizan en principio dicha calidad. 49 Comunicacin La direccin proporciona comunicaciones especficas y orientadas que se dirigen a las expectativas de comportamiento y las responsabilidades del personal. Este incluye una exposicin clara de la filosofa y enfoque de la gestin de riesgos corporativos de la entidad y una delegacin clara de autoridad. La comunicacin sobre procesos y procedimientos debera alinearse con la cultura deseada y reforzarla. La comunicacin resulta clave para crear el entorno adecuado y para apoyar el resto de los componentes de la gestin de riesgos corporativos. Los sistemas de informacin deben proporcionar informacin a las personas adecuadas, entonces podemos decir que lgicamente la comunicacin es inherente a los sistemas de informacin. La informacin no comunicada a las personas adecuadas pierde efecto y sentido, dado que sta debe servir para que puedan cumplir con sus responsabilidades operacionales, de informacin financiera o de cumplimiento. Comunicacin interna El personal debe recibir el mensaje claro desde la alta direccin, es por ello que la claridad y la eficacia de la comunicacin del mensaje son importantes. Cada persona miembro de la organizacin debe entender los aspectos relevantes del sistema de control interno, como funcionan y saber cul es su papel y responsabilidad en el sistema, de no ser as es muy probable la consecucin de problemas y violaciones a los controles establecidos. El personal de una empresa debe conocer, adems de sus responsabilidades, como stas se relacionan con el trabajo de los dems, y como afecta cualquier desvo de sus actividades en el resto con el fin de tomar las medidas correctivas adecuadas. Los empleados de una organizacin necesitan disponer de mecanismos para la comunicacin de la informacin relevante a los niveles superiores. Para que la informacin llegue a los niveles superiores deben existir lneas abiertas de comunicacin y obviamente la voluntad de escucha por parte de los directivos. La actividad comunicativa apunta a mejorar el ambiente de control, permitiendo al personal informar las incidencias y preocupaciones. Cabe aclarar que el personal debe entender que no habr represalias como consecuencia de la comunicacin de informacin relevante, fomentando as que los empleados se animen a realizar denuncias ante posibles infracciones del cdigo de conducta de la empresa. Comunicacin externa No slo existe la comunicacin interna entre los miembros de una organizacin, tambin resulta importante aquella comunicacin que se lleva con los clientes y proveedores. Esta comunicacin externa puede aportar un gran valor a la organizacin, por ejemplo servir para mejorar la calidad de los productos en funcin a las exigencias y preferencias de los clientes. Las comunicaciones recibidas de terceros a veces brindan informacin importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo seran los reclamos por envos defectuosos que revelan problemas de tipo operativos o denuncias de proveedores a los que se les exigi algn tipo de "favor" para poder acceder a la empresa. 8. Monitoreo La administracin de riesgos corporativos se monitorea revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de monitoreo, evaluaciones independientes o una combinacin de ambas tcnicas. Son los directivos de lnea o funcin de apoyo quienes llevan a cabo las actividades de monitoreo, estas estn integradas en las operaciones normales y recurrentes de la entidad realizadas durante el transcurso normal del negocio. Se llevan a cabo en tiempo real y reaccionan dinmicamente ante las condiciones cambiantes. En cambio las evaluaciones independientes se centran directamente en la efectividad de la administracin de riesgos corporativos y proporciona una oportunidad para considerar la efectividad de las actividades de monitoreo permanente. El evaluador entiende cada una de las actividades de la entidad y cada componente de la administracin de riesgos corporativos que est siendo abordado. El evaluador analiza el diseo de la administracin de riesgos corporativos de la entidad y los resultados de las pruebas realizadas frente al trasfondo de normas establecidas por la direccin, determinando si dicha gestin proporciona una seguridad razonable respecto a los objetivos fijados. Durante el transcurso normal de las actividades de gestin, tiene lugar un monitoreo permanente. El alcance y frecuencia de las evaluaciones independientes depender fundamentalmente de las evaluaciones de riesgo y la eficacia de los procedimientos de monitoreo permanente. Las deficiencias en la administracin de riesgos corporativos se comunican de forma ascendente, reportando los temas ms importantes a la alta direccin y al consejo de administracin. Resulta fundamental que la direccin revea y actualice peridicamente el sistema de control interno a efectos de adecuar el mismo a la nueva realidad y nuevos eventuales riesgos. El proceso de monitoreo asegura que el control interno continua funcionando adecuadamente. Las operaciones de monitoreo se materializan de dos formas: actividades continuadas o evaluaciones puntuales. Cuanto mayor sea el nivel y eficacia de la supervisin continuada menor ser la necesidad de evaluaciones puntuales. La frecuencia de las evaluaciones puntuales efectuadas para que la direccin tenga una seguridad razonable de la eficacia del sistema de control interno quedan a criterio de la direccin, la cual deber considerar la naturaleza e importancia de los cambios y riesgos asociados a stos, la competencias y experiencia del personal que aplica los controles, etc. Actividades Continuas: Existen varias actividades que permiten efectuar el seguimiento de la eficacia del control interno como por ejemplo: Actividades corrientes de gestin que permiten la comunicacin interdisciplinaria, con lo cual cualquier discrepancia ser cuestionada. Comunicaciones recibidas de terceros, las cuales podran permitir determinar la existencia de problemas internos. Supervisin rutinaria de las tareas administrativas, permitiendo comprobar las funciones de control e identificar las deficiencias existentes. Comprobacin fsica de los datos registrados en el sistema de informacin. Recomendaciones peridicamente efectuadas por los auditores internos y externo para mejorar los controles internos.

 Concurrir a seminarios de formacin permitiendo obtener informacin importante para mejorar los controles. Solicitar manifestaciones explcitas de comprobacin del entendimiento y cumplimiento del cdigo de tica de la organizacin. Evaluaciones Puntuales: Las evaluaciones puntuales de la gestin de riesgos corporativos se llevan cabo peridicamente. En algunos casos, son originadas por un cambio de estrategia, procesos clave o estructura de la entidad. Estas evaluaciones son llevadas a cabo por la direccin, el departamento de auditora interna, especialistas externos o por alguna combinacin de estas funciones. Las evaluaciones puntuales tienen a veces un alcance amplio, incluyendo toda la entidad y todos los componentes de la gestin de riesgos corporativos. En otros casos, la evaluacin se limita u una unidad de negocio, proceso o departamento especfico, abordando otras reas del negocio ms adelante. La evaluacin de riesgos corporativos constituye un proceso en s misma. Aunque los enfoques o tcnicas varan, hay que aportar al proceso una disciplina, con ciertos fundamentos a ella. Un proceso metdico proporciona una base slida para una evaluacin. Se utilizan los ms diversos enfoques y tcnicas, en general dependiendo de las circunstancias de la empresa y la naturaleza y alcance de la evaluacin a realizar. En el 2009 COSO emiti la Gua para la Supervisin del Sistema de Control Interno, con el propsi to de apoyar a las organizaciones en la supervisin de la efectividad de sus sistemas de control interno y en tomar las acciones correctivas de forma oportuna cuando sea necesario. Esta gua es una referencia til para los involucrados en la evaluacin y Seguimiento de los Sistemas de Control, ayudndoles a identificar, entender y aprovechar los beneficios de las actividades de supervisin y monitoreo. Teniendo como propsito: Proporcionar una orientacin prctica para aplicar la supervisin como una parte ms de los procesos de control interno. Ayudar a las organizaciones a mejorar la calidad y efectividad de sus sistemas de control interno ya que si existe una adecuada supervisin se pueden detectar fallos en el sistema y tomar medidas a tiempo HERRAMIENTAS DE EVALUACIN Se dispone de una variedad de metodologas y herramientas de evaluacin, incluyendo listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas de flujo. Los evaluadores identifican las metodologas y herramientas necesarias para apoyar el proceso de evaluacin. Existen diversas de ellas bien estructuradas, que se emplean para documentar y evaluar aspectos especficos de la gestin de riesgos corporativos. Los factores de gestin de dichas metodologas y herramientas de evaluacin son los de su facilidad de uso por parte personal asignado, su relevancia para el alcance dado y su adecuacin a la naturaleza y frecuencia esperada de la evaluacin. Por ejemplo, cuando el alcance incluye la comprensin y documentacin de diferencias entre el diseo del proceso de negocio y su comportamiento real, el equipo de evaluacin podra revisar o desarrollar diagramas de flujo del proceso y matrices de control, mientras que un alcance limitado a evaluar la presencia de determinadas actividades de control obligatorias podra sugerir el uso de un cuestionario preestablecido. Entre los mtodos que ms se utilizan tenemos a los siguientes: Muestreo estadstico. Mtodo narrativo. Entrevistas. Cuestionario. Flujograma. Hallazgos. Matriz de riesgos y control.

Muestreo Estadstico: Son aquellos que se basan en el principio de equiprobabilidad. Es decir, aquellos en los que todos los individuos tienen la misma probabilidad de ser elegidos para formar parte de una muestra y, consiguientemente, todas las posibles muestras de tamao tienen la misma 1 probabilidad de ser elegidas. El muestreo estadstico es importante en auditoria, porque le permite realizar su trabajo con menor costo y en menor tiempo. Se requieren conocimientos especiales, sobre todo de estadstica matemtica. En estadstica a partir de un reducido nmero de elementos, permite extraer conclusiones de un colectivo ms amplio (poblacin). Es de aplicacin en todos aquellos casos que por razones no es posible examinar la totalidad de los elementos de la poblacin. Toda operacin de toma de una muestra va dirigida a la estimacin de un valor expresado en valor absoluto, cantidad, o en valor relativo porcentaje. Toda estimacin o inferencia puede coincidir o no con el verdadero, y de ah que el auditor tenga que echar mano de la teora de la probabilidad para medir el grado de precisin. Las muestras ms importantes son aleatorias y no aleatorias. - Aleatorias sin que en su composicin influya la opinin o preferencia de las personas que la selecciona. Es el nico verdaderamente cientfico. - En las no aleatorias la seleccin de las unidades mustrales no es nunca completamente independiente de las preferencias. El posible error cometido al estimar un valor poblacional por medio del correspondiente valor de una muestra ser tanto menor cuanto ms representativa sea la muestra, no todos los elementos de la poblacin son iguales. Una muestra ser tanto ms representativa de la poblacin cuanto mayor sea su tamao.

http://www.monografias.com/muestreo estadstico/

En toda auditoria de una empresa se utilizan procedimientos de muestreo. No sera posible por el tiempo o el costo analizar uno por uno todos los documentos de la empresa, en una auditoria que a lo mejor comprende adems varios ejercicios econmicos; se efectan las comprobaciones que el auditor juzga de mayor inters. Es visto por eso simplemente como la expresin de una opinin profesional, y no como la certificacin de la razonabilidad o veracidad absoluta de los estados financieros. El riesgo de error puede medirse y controlarse. Para ello tanto la seleccin de los elementos muestrales como la determinacin del tamao de la muestra tienen que hacerse siguiendo criterios tcnicos. En otro caso, cuando no se hacen en funcin de criterios objetivos, sino segn la facultad, la intuicin o la experiencia de auditor, el muestreo se llama discrecional, intencional, estimativo, para diferenciarlo de muestreo aleatorio o muestreo estadstico propiamente dicho, que es el nico tipo de muestreo verdaderamente cientfico. Un ejemplo de muestreo estadstico par lo que es el proceso de pagos puede ser: La poblacin estar conceptualmente constituida por los pagos realizados a proveedores de mercaderas durante el segundo semestre del ao anterior. A los fines prcticos tendremos que elegir un elemento fsico asociado a cada pago realizado, como podra ser una orden de pago. De esta forma, podramos definir nuestra poblacin a analizar como el conjunto de rdenes de pago con fecha de emisin entre el 1 de julio y el 31 de diciembre del ao pasado, correspondientes a cuentas de proveedores de mercaderas. Ahora bien, si suponemos que podran haberse realizado pagos sin la correspondiente orden de pago, nuestra definicin de poblacin estara excluyendo transacciones que no cumplen con las normas de autorizacin establecida. En tal caso quizs sera preferible definir la poblacin a analizar sobre la base de los movimientos de egresos de caja. Por ejemplo podemos definir la poblacin como el conjunto de transacciones del archivo histrico de movimientos de caja con cdigo de movimiento de egreso, tipo de cuenta de proveedor de mercadera, y fecha de pago comprendida entre el 1 de julio y el 31 de diciembre del ao pasado.

Mtodo Narrativo: Consiste en la narracin de los procedimientos relacionados con el control interno, los cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y cargos o por registros contables. Una descripcin adecuada de un sistema de contabilidad y de los 2 procesos de control relacionados incluye por lo menos cuatro caractersticas : Origen de cada documento y registro en el sistema. Cmo se efecta el procesamiento. Disposicin de cada documento y registro en el sistema. Indicacin de los procedimientos de control pertinentes a la evaluacin de los riesgos de control.

Entrevista: La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular. El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas . Se deben planificar las entrevistas a efectuar, y as aprovechar mas el tiempo. La respuesta a una sola pregunta es una parte minscula en la formacin de la opinin, las respuestas a muchas preguntas, relacionadas entre s, pueden suministrar elementos de juicio muy satisfactorios. El nico problema de planificar las entrevistas es que pueden mecanizar la informacin. Tambin si el auditor no desea tener un cuestionario en la entrevista, hace la entrevista ms amena y puede tener un clima ms grato, adems si hace esto debe tomar buenas notas resumidas que despus le ayuden en su labor. Cuestionario: Bsicamente consiste en un listado de preguntas a travs de las cuales se pretende evaluar las debilidades y fortalezas del sistema de control interno. Estos cuestionarios se aplican a cada una de las reas en las cuales el auditor dividi los rubros a examinar. Para elaborar las

2 3

http://fccea.unicauca.edu.co/old/tgarf/tgarfse90.html http://www.mitecnologico.com/Main/MetodosTecnicasYHerramientasDeAuditoria

preguntas, el auditor debe tener el conocimiento pleno de los puntos donde pueden existir deficiencias para as formular la pregunta clave que 4 permita la evaluacin del sistema en vigencia en la empresa. Generalmente el cuestionario se disea para que las respuestas negativas indiquen una deficiencia de control interno. Algunas de las preguntas pueden ser de tipo general y aplicable a cualquier empresa, pero la mayora deben ser especficas para cada organizacin en particular y se deben relacionar con su objeto social. Flujograma: Es una representacin grfica de la secuencia de actividades de un proceso. Adems de la secuencia de actividades, el Flujograma muestra lo que se realiza en cada etapa, los materiales o servicios que entran y salen del proceso, las decisiones que deben ser tomadas y las 5 personas involucradas. En la actualidad los Flujograma son considerados en la mayora de las empresas, como uno de los principales instrumentos para la explicacin grfica, en la realizacin de mtodos o sistemas que tenga como fin la optimizacin o mejora de los procesos particulares que la misma desarrolla. Funciones principal: Permitir al analista asegurarse que ha desarrollado todos los aspectos del procedimiento. Dar las bases para escribir un informe claro y lgico. Es un medio para establecer un enlace con el personal que eventualmente operar el nuevo procedimiento (induccin). La diagramacin, se elabora con rapidez y no requiere de recursos sofisticados. Tipos de Flujograma Formato Vertical: En l el flujo o la secuencia de las operaciones, va de arriba hacia abajo. Es una lista ordenada de las operaciones de un proceso con toda la informacin que se considere necesaria, segn su propsito. Formato Horizontal: En l el flujo o la secuencia de las operaciones, va de izquierda a derecha. Formato Panormico: El proceso entero est representado en una sola carta y puede apreciarse de una sola mirada mucho ms rpidamente que leyendo el texto, lo que facilita su comprensin, aun para personas no familiarizadas. Registra no solo en lnea vertical, sino tambin horizontal, distintas acciones simultneas y la participacin de ms de un puesto o departamento que el formato vertical no registra. Formato Arquitectnico: Describe el itinerario de ruta de una forma o persona sobre el plano arquitectnico del rea de trabajo. El primero de los flujo gramas es eminentemente descriptivo, mientras que los ltimos son fundamentalmente representativos. Smbolos del Flujograma

Se puede concluir diciendo que hoy en da los Flujograma son de vital importancia dentro de una organizacin ya que permiten ejemplificar de una manera ms conveniente como se produce o desarrolla una actividad o proceso dentro de la misma.

Hallazgos: Los hallazgos se refiere a debilidades en el control interno detectadas por el auditor, por lo que merecen ser comunicados a los funcionarios de la entidad auditada y a otras personas interesadas, ya que representan deficiencias importantes que podran afectar en forma negativa, su capacidad para registrar, procesar, resumir y reportar informacin confiable y consistente, en relacin con las aseveraciones efectuadas por la administracin. Se elaborarn las hojas resumen de hallazgos significativos por cada componente examinado, expresados en los comentarios y se indicar para cada hallazgo la condicin, criterio, causa, efecto o conclusin y la recomendacin que resulta del hallazgo. Las recomendaciones son medidas que a juicio del grupo de auditora permitirn al ente lograr ms eficaz, econmica y eficientemente sus objetivos, solucionando sus actuales problemas, previendo otros y aprovechando al mximo las posibilidades que el medio externo y sus propios recursos le ofrecen. Atributos del hallazgo: 1. 2. 3. 4. Condicin: la realidad encontrada Criterio: cmo debe ser (la norma, la ley, el reglamento, lo que debe ser) Causa: qu origin la diferencia encontrada. Efecto: qu efectos puede ocasionar la diferencia encontrada.

Al plasmar el hallazgo el auditor primeramente indicar el ttulo del hallazgo, luego los atributos, a continuacin indicarn la opinin de las personas auditadas sobre el hallazgo encontrado, posteriormente indicarn su conclusin sobre el hallazgo y finalmente har las recomendaciones pertinentes. Es conveniente que los hallazgos sean presentados en hojas individuales.

Matriz de Control y Riesgos: La matriz de riesgo de un proceso, es una descripcin organizada y calificada de sus actividades, de sus riesgos y de sus controles, que permite registrar los mismos en apoyo al gerenciamiento diario de los riesgos.
4 5

http://fccea.unicauca.edu.co/old/tgarf/tgarfse90.html http://www.auditoria.uady.mx/arts/evaluacion%20cinterno.pdf

Cobra real importancia cuando los datos a incorporar tienen un grado aceptable de confiabilidad, para ello hay que realizar algunos trabajos previos sobre: La arquitectura de procesos y anlisis de la criticidad de los mismos; La revisin de los objetivos y metas de cada proceso; La asignacin de responsabilidades en el proceso; El entrenamiento de los participantes; Contar con un diccionario de riesgos para clasificarlos; Contar con un mtodo que permita calificarlos; Evaluacin de los controles mitigantes de cada riesgo Nivel de apetito de riesgos. 6 Culturizacin en riesgos y controles internos. La matriz de riesgo por proceso, constituye un elemento de gestin muy importante para el responsable de ese proceso permitindole una visin clara y fcilmente actualizable de sus riesgos. Forma parte de la documentacin de procesos, brindando a los usuarios un mayor conocimiento de los mismos, de sus actividades, riesgos y controles. Para el Auditor, es una fuente de informacin que le permitir ahorrar muchas horas de trabajo, reconvirtiendo parte de sus tareas hacia funciones de mayor anlisis y, obviamente mayor exigencia. Al mismo tiempo la revisin especializada del Auditor brinda el necesario monitoreo y posibilidad de mejoras de esta parte importante de la gestin de riesgos de la organizacin. Uno de los formatos que se utiliza para representar una matriz de control y riesgos puede ser el siguiente:

RESUMEN: La Gua para la Implementacin del Sistema de Control Interno de las entidades del Estado tiene como objetivo principal proveer de lineamientos, herramientas y mtodos a las entidades del Estado para la implementacin de los componentes que conforman el Sistema de Control Interno (SCI) establecido en las Normas de Control Interno (NCI). As tambin se pueden sealar los objetivos siguientes: Servir de referencia para la implementacin o adecuacin del Sistema de Control Interno, y Promover la aplicacin de una estructura de control interno uniforme que se adapte a cada entidad

La Contralora General de la Repblica (CGR) ha elaborado la presente gua con la finalidad que este constituya un documento que permita una adecuada implementacin del Sistema de Control Interno (SCI), as como dar orientacin sobre herramientas de gestin que se podran implementar de acuerdo con la naturaleza y recursos de las entidades. Con la finalidad de fortalecer la organizacin y contribuir al logro de sus objetivos, la gua considera tres fases para el proceso de implementacin del Sistema de Control Interno (SCI):

La primera fase es la Planificacin, la cual tiene como objetivo la formulacin de un Plan de Trabajo que incluya los procedimientos orientados a implementar adecuadamente el SCI, en base a un diagnstico previamente elaborado. Son aspectos inherentes a esta fase asegurar el compromiso de la Alta Direccin y la conformacin de un comit de Control Interno; La segunda fase es la Ejecucin, en la que se implantar el SCI en sus procesos, actividades, recursos, operaciones y actos institucionales, para lo cual la entidad procede al desarrollo del Plan de Trabajo para la implantacin del SCI; La tercera fase es la Evaluacin, en la que se evalan los avances logrados y las limitaciones encontradas en el proceso de implementacin como parte de la autoevaluacin mencionada en el componente de Supervisin.

1. PLANIFICACIN En esta fase se considera la importancia de establecer el compromiso de todos los niveles organizacionales de la entidad y se plantea la formalizacin de dicho compromiso mediante documentos que reflejen las acciones a seguir para la implementacin. Entre las acciones sugeridas en esta fase, estn la formulacin de un Diagnstico de la situacin actual del SCI de la entidad, lo que facilitar la posterior elaboracin de un Plan de Trabajo. Este comprende las acciones apropiadas que deben seguirse para la implementacin del SCI que asegure razonablemente su efectivo

funcionamiento. Para ello se plantean como condiciones previas la necesidad de contar con el Compromiso formal y por escrito de la Alta Direccin con el proceso de implementacin y la constitucin de un Comit de Control Interno responsable del mismo. 1.1. COMPROMISO DE LA ALTA DIRECCIN Es importante que el Titular y la Alta Direccin se comprometan formalmente en la implementacin del SCI, as como velar por su eficaz funcionamiento. Para ello se sugiere que las entidades cuenten con un documento que evidencie dicho compromiso en relacin con el proceso de implementacin, para lo cual se sugiere elaborar un Acta de Compromiso u otro documento similar, as como la designacin formal de los responsables. En tal sentido el comit constituye una instancia a travs de la cual se monitorea el proceso de implementacin del SCI. 1.1.1. Acta de compromiso La Alta Direccin deber suscribir y difundir en toda la entidad el Acta de Compromiso, la que pone de manifiesto la necesidad e importancia de implementar un SCI eficaz. En dicho documento se deber invocar a todos los servidores y funcionarios, que conforman la entidad, para que participen activamente en la implementacin del SCI. El Acta deber incluir la conformacin de un comit encargado de dirigir la adecuada implementacin del SCI. 1.1.2. Constitucin del Comit Un paso importante para implementar un SCI eficaz es la constitucin de un Comit de Control Interno encargado de poner en marcha las acciones necesarias para la adecuada implementacin del SCI y su eficaz funcionamiento, a travs de la mejora continua. 1.2. DIAGNSTICO El Diagnstico se presenta como un medio de anlisis para determinar el estado situacional actual del SCI, con respecto a lo establecido por las NCI aprobadas por la CGR. Habindose establecido los compromisos de la Alta Direccin para el proceso de implementacin del SCI, el Comit de Control Interno tendr a su cargo la realizacin de un Diagnstico que, mediante la recopilacin, estudio y anlisis del sistema de control interno existente en la entidad, permitir tomar conocimiento de su situacin actual y de su grado de desarrollo. El Diagnstico que constituye una etapa previa al proceso de implementacin del SCI en todos los niveles de la organizacin, debe ser realizado bajo el enfoque conocido como top down (descendente, de lo general hacia lo particular), esto quiere decir que se empieza con un diagnstico de los controles que estn a un nivel general de la entidad, para luego pasar de manera progresiva a los controles que estn a nivel de procesos o actividades. Los resultados del Diagnstico deben permitir a la entidad conocer las acciones necesarias a seguir para dar inicio a la etapa de implementacin del SCI. Para ello, como parte del diagnstico, se deber evaluar, entre otros aspectos: (i) (ii) (iii) (iv) (v) (vi) (vii) (viii) el nivel de desarrollo y organizacin del SCI; los elementos de control que conforman el sistema existente; las deficiencias, vacos y oportunidades de mejora que presenta el sistema; los ajustes o modificaciones que deben desarrollarse; los componentes y normas de control que deben ser implementados; las prioridades en la implementacin (identificacin de los principales procesos crticos); una estimacin de los recursos econmicos, materiales y de personal requeridos para la implementacin, los lineamientos a considerar por el equipo institucional para su plan de trabajo.

Los resultados deben ser plasmados en un informe que ser presentado a la Alta Direccin de la entidad, el mismo que contendr conclusiones y recomendaciones, producto del anlisis realizado. Tal informacin constituir la base para la formulacin del Plan de Trabajo para la implementacin del SCI. 1.2.1. Programa de trabajo Para dar inicio al proceso de diagnstico, ser necesario que el Comit elabore y apruebe un programa de trabajo, el cual contendr las actividades a desarrollar y su cronograma. El programa contemplar, entre otros, lo siguiente: Objetivos del diagnstico Alcance del diagnstico: Controles a nivel entidad o general bajo el marco de las NCI Descripcin de las actividades a desarrollar Cronograma de trabajo (con fechas programadas de inicio y trmino) Responsable de cada actividad. 1.2.2. Recopilacin de informacin Se deber identificar, clasificar y seleccionar la informacin interna de tipo documental que regule o contenga informacin relacionada con los controles establecidos en la entidad, as como sobre sus procesos. Algunos de los documentos ms comunes a consultar son: Organigrama Manuales (de organizacin y funciones, de procedimientos, entre otros) Polticas institucionales Acuerdos, oficios, circulares y lineamientos internos Principales metas y objetivos Reportes estadsticos e indicadores Informacin financiera y presupuestal Evaluaciones, diagnsticos, informes situacionales, entre otros Observaciones, y recomendaciones de auditora interna y externa. Asimismo, existen tcnicas (verbales, oculares, documentales y escritas) que permitirn obtener mayor informacin.

1.

Verbales: Consisten en obtener informacin oral mediante averiguaciones o indagaciones dentro o fuera de la entidad, sobre posibles debilidades en la aplicacin de los procedimientos, prcticas de control interno u otras situaciones que el evaluador considere relevantes. Algunas tcnicas verbales pueden ser: a) Indagacin: consiste en la averiguacin mediante la aplicacin de entrevistas directas al personal de la entidad o a terceros. b) Encuestas, cuestionarios o listas de verificacin: es la aplicacin de preguntas, relacionadas con las acciones realizadas por la entidad, para conocer la verdad de los hechos, situaciones u operaciones.

2.

Oculares: Consisten en verificar en forma directa y paralela, la manera cmo los responsables desarrollan y documentan los procesos o procedimientos, mediante los cuales la entidad ejecuta sus actividades. Algunas tcnicas oculares pueden ser: a) Observacin: consiste en la contemplacin a simple vista, que realiza el equipo de trabajo durante la ejecucin de una actividad o proceso. b) Comparacin o confrontacin: es cuando se fija la atencin en las operaciones realizadas por la entidad y se contrastan con los lineamientos normativos de control establecidos para ello, pudiendo descubrir sus relaciones e identificar sus diferencias. c) Revisin selectiva: radica en el examen de ciertas caractersticas importantes que debe cumplir una actividad, informes o documentos, seleccionndose as parte de las operaciones que sern evaluadas o verificadas.

3.

Documentales: Consisten en obtener informacin escrita para soportar las afirmaciones, anlisis o estudios realizados por el evaluador. Estas pueden ser: a) Comprobacin: consiste en verificar la evidencia que apoya o sustenta las operaciones evaluadas, con el fin de corroborar su autoridad, legalidad, integridad, propiedad, veracidad. b) Revisin analtica: consiste en el anlisis de ndices, indicadores, tendencias y la investigacin de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o se desven de las operaciones pronosticadas.

4.

Escritas: Consisten en reflejar informacin importante para el trabajo del evaluador, tal como las que se sealan a continuacin: a) Anlisis: consiste en la separacin de los elementos o partes que conforman una operacin, actividad, o proceso, con el propsito de establecer sus propiedades y conformidad con los criterios de orden normativo y tcnico; permite identificar y clasificar para su posterior anlisis, todos los aspectos de mayor significacin y que en un momento dado pueden afectar la operatividad de la entidad; por ejemplo, el anlisis de las NCI versus las polticas normativas internas establecidas por la entidad b) Confirmacin: radica en corroborar la verdad, certeza o probabilidad de hechos, situaciones, sucesos u operaciones, mediante datos o informacin obtenidos de manera directa y por escrito de los funcionarios o terceros que participan o ejecutan las operaciones; por ejemplo, se puede confirmar a travs de encuestas que el personal de la entidad desconoce el accionar del control interno en las operaciones que realiza c) Tabulacin: se realiza mediante la agrupacin de los resultados importantes obtenidos en las reas y elementos analizados para arribar o sustentar las conclusiones; por ejemplo, las encuestas realizadas al personal de la entidad pueden ser tabuladas con la finalidad de cuantificar los resultados.

1.2.3. Anlisis de informacin El Comit de Control interno efectuar el anlisis a la informacin obtenida como resultado de la aplicacin del programa de trabajo, con el fin de identificar las debilidades de control que presente el SCI de la entidad, en relacin con las NCI. Para ello se recomiendan algunas herramientas que van a facilitar el anlisis de la informacin, las cuales podrn ser utilizadas en forma individual o combinada, tales como las que se sealan a continuacin. 1. Pruebas selectivas. Permiten simplificar la labor total de evaluacin mediante la seleccin de muestras que a juicio del evaluador sean representativas del alcance total de la revisin. Es factible tambin que se puedan aplicar tcnicas de muestreo con la finalidad de obtener una seleccin adecuada. A la muestra seleccionada se le aplicarn pruebas con la finalidad de identificar las debilidades de control respectivas. Por ejemplo, de todos los procesos que tiene la entidad se debern seleccionar algunos. De existir debilidades en stos, se podr concluir sobre el resto del universo. Entrevistas La entrevista es una de las fuentes primarias de informacin para la obtencin de informacin sobre polticas de control que podran estar pendientes de implementacin. Las entrevistas podrn ser desarrolladas a nivel personal o grupal. Encuestas Las encuestas son tiles para obtener informacin estadstica sobre una muestra representativa de las unidades de informacin seleccionadas (personal, jefes, gerentes, directores, entre otros) que componen el universo de evaluacin. La informacin que se obtenga como resultado de su aplicacin podr ser organizada de forma cuantitativa y cualitativa. El anlisis de esta informacin permitir obtener debilidades de control interno que no se hayan podido identificar mediante pruebas o revisiones selectivas. Por ejemplo, se puede desarrollar encuestas de percepcin al personal de la entidad sobre el funcionamiento del SCI en la entidad; los mismos que podran brindar informacin sobre el deficiente funcionamiento de algunos controles establecidos por la entidad. Cuestionarios y listas de verificacin

2.

3.

4.

El desarrollo de cuestionarios y listas de verificacin ser con base en criterios, normas de control, buenas prcticas y otros aspectos adicionales que el evaluador considere que la entidad deba cumplir. La informacin que se obtenga como resultado de la aplicacin de estas herramientas podr ser: Validada a travs de pruebas de verificacin, Analizada a travs de tcnicas cualitativas y cuantitativas. Los cuestionarios y listas de verificacin debern ser desarrollados con apoyo de todas las unidades, gerencias y jefaturas de la entidad. 1.2.4. Anlisis Normativo

Como parte del diagnstico se realizar un anlisis de la normativa interna que existe con respecto de las NCI. ste consistir en elaborar una concordancia del marco normativo interno de la entidad (resoluciones, directivas, reglamentos entre otros) con las NCI. La normativa interna viene dada por aquellos procedimientos, actividades, tareas y controles que regulan las operaciones de la entidad para el logro de los objetivos institucionales. El anlisis de la normativa interna deber ser realizado considerando los objetivos de cada uno de los componentes de las NCI. A continuacin se presenta en el Cuadro 1 un modelo de Concordancia Normativa del SCI. 1.2.5. Identificacin de Debilidades y Fortalezas Finalmente, tomando en consideracin el anlisis efectuando a la entidad con respecto a las NCI, se podr mostrar los resultados de forma agrupada, por cada componente, identificando las debilidades (con sus causas) y las fortalezas del SCI. *Elaboracin: Comisin de elaboracin de la Gua para la implementacin del SCI. 1.2.6. Informe Diagnstico Es el documento que contiene los resultados del diagnstico al SCI, el cual se presentar al titular o a quien haga sus veces. Su objetivo es proporcionar informacin a la Direccin para su toma de decisiones en lo que respecta a la adecuada implementacin y mejora del SCI. Previo a su presentacin, debe haber sido discutido por el equipo de trabajo responsable del diagnstico y puesto a consideracin de la Direccin de la entidad para su validacin. Entre otros aspectos, el Informe de Diagnstico permitir establecer: El nivel de desarrollo, organizacin y vigencia del SCI actual Los elementos de control que conforman el SCI existente Las deficiencias, vacos y oportunidades de mejora que presenta el SCI en operacin Los ajustes o modificaciones que deben efectuarse Los componentes y normas de control que deben ser implementados, y su priorizacin Identificacin de los principales procesos y reas crticas Las normas internas pendientes a implementar o actualizar Una estimacin de los recursos econmicos, materiales y de personal requeridos para la Los lineamientos a considerar por el Comit de Control Interno para su plan de trabajo.

implementacin

1.3. PLAN DE TRABAJO El Plan de Trabajo es el documento por el cual se definir el curso de accin a seguir para la implementacin del SCI. Como insumo principal para la elaboracin del Plan de Trabajo, se considerarn los resultados proporcionados del Informe de Diagnstico conducentes a la implementacin de las NCI. Las acciones consideradas en el Plan de Trabajo deben guardar correlacin con los planes operativos de la entidad, con el fin de asegurar los recursos necesarios y la sostenibilidad del mismo. Se debe considerar dos (2) fases en la elaboracin del Plan de Trabajo: Descripcin de actividades y cronograma. Desarrollo del Plan de Trabajo. Descripcin De Actividades Y Cronograma Se deber identificar las acciones conducentes a implementar del SCI. En ese sentido, los pasos a seguir sern: (a) Identificar y designar a las personas responsables para el diseo del plan, quienes a su vez debern definir las herramientas o medios necesarios que les permitan alcanzar los objetivos a trazar en el plan; (b) Determinar los tiempos y plazos a considerar; (c) Elaborar un cronograma de ejecucin de las actividades incluyendo la fecha de culminacin. Es necesario sealar que adicionalmente al Plan de Trabajo, se deberan considerar otros documentos de coordinacin tales como: un cronograma general, la estructura organizativa, los roles y responsabilidades y el plan de comunicacin. Desarrollo del Plan de Trabajo Para su desarrollo de considerarn los siguientes aspectos: (a) Estructura organizativa

Establecer los niveles de autoridad y responsabilidad para el desarrollo y ejecucin del plan de trabajo en concordancia con la planeacin. Dichas responsabilidades y autoridades se deben definir claramente. A modo de ejemplo, se puede asumir la estructura mostrada en el Cuadro siguiente. (b) Elaboracin del cronograma general Documento por el cual se organiza de manera resumida el Plan de Trabajo en sus diversas etapas y en los tiempos programados para su ejecucin. Dicha informacin, adicional al conocimiento del desarrollo de la implementacin de las NCI, brindar un mecanismo de control con respecto del cumplimiento de los tiempos y grados de avance. (c) Elaboracin detallada del Plan de Trabajo. Presentacin de las diversas fases que componen las etapas del plan de trabajo, en la cual se describen las actividades a desarrollarse para la consecucin del objetivo de implementar el SCI. El Plan de Trabajo debe contemplar aspectos definidos por la Alta Direccin y debe contener bsicamente: Reglamento de Funciones Se elabora y formaliza sus objetivos y las funciones de sus integrantes, estableciendo la metodologa y documentacin a emplear, as como el lugar, periodicidad y horario de sus reuniones de trabajo. Provisin de recursos El equipo de trabajo debe determinar objetivamente para cada una de las actividades programadas los recursos que requerir para su ejecucin. Al respecto, considerar que el costo de los insumos, actividades e implementacin en general debe ser lo mnimo posible y no mayor a los resultados o beneficios previstos.

Capacitacin El equipo de trabajo debe definir las necesidades de capacitacin para dar cumplimiento a los objetivos y actividades del Plan. La capacitacin abordar los conceptos, caractersticas y dems aspectos necesarios para el adecuado diseo, implementacin y evaluacin de la estructura de control interno.

2. EJECUCIN En esta etapa se sealaran pautas y buenas prcticas para la implementacin o adecuacin de SCI de acuerdo a lo sealado por la normativa vigente. Aqu se desarrollan detalladamente cada uno de los componentes sealados en las NCI y se proponen herramientas que pueden ayudar a la gestin de las entidades del Estado su implementacin. El Comit o equipo encargado de la implementacin o adecuacin del SCI empezar tomando en cuenta el Plan de Trabajo elaborado en la etapa de planificacin. La implementacin se desarrollar de manera progresiva tomando en cuenta las siguientes fases: 1. Implementacin a nivel entidad 2. Implementacin a nivel de proceso. 2.1. IMPLEMENTACIN A NIVEL DE ENTIDAD En esta fase se iniciar con el diseo e implementacin de aquellos controles que estn a nivel entidad o general, estos afectan al mismo tiempo a toda la entidad es decir a todos los procesos, actividades y unidades de la organizacin. En esta fase del proceso de implementacin, se establecer las polticas y normativas de control necesarias para la salvaguarda de los objetivos institucionales, bajo el marco de las NCI. Asimismo, esta fase ser previa a la implementacin a nivel de procesos o actividades, ya que si no se disean e implementan los controles adecuados que afectan al funcionamiento organizacional de la entidad no tendr sentido querer establecer o disear controles que afecten a las actividades de los procesos ya que los mismos no garantizarn el cumplimiento de los objetivos institucionales; por ejemplo: Si no se cuenta con un adecuado plan estratgico que defina claramente los objetivos institucionales en cumplimiento de la misin, no se podrn establecer procesos y actividades eficaces que produzcan logros y metas El no establecer polticas que fomenten y controlen los actos tica e integridad en el personal, no se podr garantizar la disminucin actos de corrupcin en las operaciones No se podr establecer y disear controles en las actividades y tareas si previamente no se tiene identificado y documentados los procesos de la institucin. De esta manera el anlisis propuesto comienza con implementar primero el SCI a nivel entidad para luego descender a implementar los controles que regulan a los procesos y actividades. De otro lado los resultados obtenidos en la etapa de planificacin sern de utilidad para definir las polticas y disposiciones de control necesarias a implementar, tomando en cuenta los lineamientos establecidos en las NCI.

Componentes sealados en las NCI: Implementacin del componente ambiente de control De acuerdo con las NCI, la importancia de este componente radica en el establecimiento de una cultura de control interno mediante el ejercicio de lineamientos y conductas apropiadas. El ambiente de control es la base que sostiene a los dems componentes del control interno. Sin un slido ambiente de control el adecuado establecimiento de los dems componentes resulta ineficaz, tal como en toda buena construccin es fundamental colocar buenos cimientos, ya que sin ellos sera imposible que una construccin sea estable y duradera. Es preciso sealar que los controles que se establecern en este componente son aquellos que afectarn a toda la organizacin (nivel de entidad). Implementacin del componente evaluacin de riesgos

Para implementar el presente componente se disear y aplicar una metodologa para la administracin de riesgos, identificando, analizando, valorando y dando respuesta a los riesgos que est expuesta la institucin, optimizando los recursos disponibles a travs de la minimizacin de las prdidas que pudieran presentarse como por la no consecucin de sus objetivos. Es preciso sealar que el presente componente permitir la identificacin de riesgos a nivel de entidad y a nivel de procesos, para el primer caso estarn en funcin a los objetivos institucionales de carcter general y el segundo en funcin de los objetivos de cada proceso. Implementacin del componente actividades de control gerencial La implementacin del componente actividades de control gerencial estar relacionada con el anterior componente de evaluacin de riesgos y deber ser aplicada de manera conjunta y en forma continua. Asimismo, las actividades de control gerencial que se presentan en la NCI podrn ser implementados tanto a nivel de entidad como a nivel de procesos. Implementacin del componente de informacin y comunicacin

El presente componente busca implementar los mecanismos y soportes de la informacin y comunicacin dentro de una entidad. Implementacin del componente supervisin

El presente componente permitir cerrar el proceso de control interno dentro de una entidad buscando garantizar la adecuada implantacin de los controles y su funcionamiento. 2.2 IMPLEMENTACIN A NIVEL DE PROCESOS La adecuacin a una gestin por procesos por parte de la entidad, ser fundamental para el desarrollo de una implementacin o mejoramiento de controles a este nivel. El tener identificados los procesos contribuye a que la entidad pueda identificar debilidades y aportar en la eficiencia de las operaciones. El hecho de contribuir a mejoras en la entidad, constituye el mejoramiento continuo a travs del cual se logra ser ms productivo y competitivo. Dado que un proceso tiene la capacidad de cruzar horizontal y verticalmente a toda la entidad nos va a permitir conocer a toda la entidad y focalizarnos en:

Identificar los puntos crticos de riesgo operativo del proceso Evaluar las tres E (eficiencia, eficacia y economa) de la entidad sobre la base de objetivos estratgicos institucionales Identificar y proponer acciones preventivas de la ocurrencia de eventos no deseados (riesgos) y que sean preponderantes sobre los correctivos Promover la adopcin de mejoras evitando su proliferacin

Promover la adopcin de mejoras evitando su proliferacin

Aplicar las NCI para evitar la discrecionalidad en el ejercicio de facultades o en la aplicacin de recursos

 Proponer mecanismos de autocontrol y autoevaluacin.

Para la implementacin del SCI a nivel de procesos se requiere que al menos la entidad realiza los siguientes pasos:

a) La entidad debe tener pleno conocimiento de las condiciones que identifican un proceso: Debe describir las entradas y salidas El proceso cruza uno varios lmites organizativos funcionales Una caracterstica de los procesos es que son capaces de cruzar vertical y horizontalmente toda la organizacin Un proceso responde a la pregunta del qu? y no al cmo? Debe ser fcilmente comprendido por cualquier persona de la entidad El nombre asignado a cada proceso debe estar relacionado con los conceptos y actividades que se realizan. b) Identificacin de los procesos Se debe contar con una lista de los procedimientos, actividades y tareas que realiza la empresa, tomando en consideracin: El nombre asignado al proceso debe ser representativo de lo que conceptualmente representa; la totalidad de las actividades que desarrolla la empresa deben estar incluidas en alguno de los procesos listados; la forma ms sencilla de identificar procesos propios es tomar como referencia otras listas afines al sector en el cual se mueven y trabajan sobre la misma aportando las particularidades de cada uno. Es conveniente que el equipo de trabajo a cargo identifique en el mismo proceso los ciclos de Planificar-Hacer-Verificar-Actuar (Ciclo de mejora continua). c) Diagrama de Flujo De acuerdo a las actividades identificadas en el proceso, ests debern representarse a travs de un diagrama, en el que se puedan identificar con claridad los subprocesos y flujos de informacin. Los diagramas debern validarse por parte de los responsables de dichos proceso. El diagrama de flujo es una descripcin grfica del proceso, que puede ser entendida por todos los niveles de la entidad; se debe cuidar que reflejen fielmente las actividades, nivel de personal responsable, tiempos de ejecucin tipo de actividad, formato de la informacin y controles existentes, entre otros aspectos. d) Priorizacin de procesos Una vez establecido la lista de los procesos de la entidad por el equipo de trabajo se deber identificar los procesos crticos. Para la determinacin de los procesos crticos, el equipo de trabajo debe calcular el impacto del proceso, para cada proceso a revisar, se debe determinar una valoracin de la importancia del proceso tomando en cuenta cuan involucrados se encuentran con los objetivos estratgicos y las metas institucionales.

La entidad implementar esta fase progresivamente, comenzando con sus procesos crticos, para luego seguir con los restantes, para esto el comit o equipo encargado de implementar realizara lo siguiente:

Efectuar el seguimiento al proceso seleccionado, identificando primero, los objetivos que estn involucrados en todo el proceso. Seguidamente se identificar y evaluar los riesgos o eventos negativos que dificulten el logro de los objetivos del proceso. El anlisis de los riesgos consiste en la identificacin y anlisis de los puntos crticos que podran afectar la consecucin de las metas y objetivos de los procesos, se realizar sobre informacin registrada en el diagrama de flujo, adems de la obtenida por observacin directa. Asimismo, los elementos de control y los riesgos que se identifiquen, sern sealados en los diagramas de flujo.

El desempeo de una entidad puede verse amenazado tanto por factores internos como externos; dichos factores, a su vez, pueden incidir en las metas y objetivos.

La evaluacin de riesgos de una entidad debe tener en cuenta eventos adversos que puedan surgir, siendo esencial que los riesgos ms relevantes sean identificados. Despus de que se hayan identificado los riesgos del proceso deben llevarse a cabo un anlisis y administracin de los mismos a travs de matrices y mapas de riesgos. Una vez clasificados y cuantificados los riesgos se deben identificar los controles que permitiran mitigar los riesgos, para esto se debe efectuar una evaluacin a la suficiencia de estos mediante pruebas de cumplimiento, lo cual permitir implementar, disear y establecer los controles necesarios. Asimismo, se deber tener en cuenta las caractersticas y el cumplimiento de cada actividad de control con los objetivos de control interno. El equipo o comit de implementacin deber determinar criterios y parmetros para medir el nivel del control en cuanto a criterios de eficiencia, eficacia y economa. A continuacin se presenta un ejemplo de matriz para la evaluacin, diseo y determinacin de los controles necesarios.

e) Diagnstico al proceso Es el resultado de la evaluacin de los controles actuales y de los riesgos del proceso, los mismos que deben describirse en forma precisa y clara. El diagnstico describe los aspectos especficos de la problemtica detectada, las debilidades del sistema de control interno, as como los riesgos que pudieran afectar el cumplimiento de las metas y objetivos establecidos para el proceso evaluado. Como punto final del diagnstico es la incorporacin de las acciones de mejoras a juicio del equipo de trabajo acorde a la normativa correspondiente, sean las ms convenientes para prevenir o dar solucin de raz a la problemtica y minimizar los riesgos detectados.

3. EVALUACIN DEL PROCESO DE IMPLEMENTACIN Siguiendo el proceso de implementacin del SCI, la fase de evaluacin se presenta de forma alternada y posterior a la evolucin de las fases de planificacin y ejecucin. Este proceso de evaluacin deber ser efectuado en concordancia con las necesidades y consideraciones que la entidad establezca como pertinentes, las cuales tendrn como objetivo principal determinar con certeza que los procedimientos y mecanismos establecidos se desarrollen de forma adecuada. En los casos que como producto de esta evaluacin se detecten desviaciones o incumplimientos sustanciales, se deber tomar las medidas que modifiquen los procedimientos para reorientar el cumplimiento del objetivo programado. El resultado de esta evaluacin busca obtener informacin que aporte a la retroalimentacin en el proceso de implementacin del SCI. Para ello se sugiere que el informe contenga como mnimo lo siguiente: 1. Objetivos: Se identificarn aquellos objetivos que se quiere lograr en la presente Evaluacin; 2. Alcance: Estar determinado por el periodo de evaluacin; 3. Cumplimiento del plan de trabajo: Se evaluar la utilidad que se le ha dado, y cmo se han desarrollado las actividades en el proceso de implementacin, as mismo, se examinar si es conveniente cambiar, agregar o retirar alguna actividad que no sea indispensable. Tambin se podr sealar sobre las dificultades o inconvenientes ocasionados durante la ejecucin de las actividades y dems situaciones que deban ser mencionadas; 4. Cronograma de actividades: Es necesario revisar los plazos de ejecucin de las actividades que fueron programadas, si estas fueron realizadas acorde al cronograma y si el tiempo fue suficiente para llevarlas a cabo; 5. Recursos necesarios: Es importante determinar si los recursos (humanos, logsticos y de informacin) han sido suficientes; 6. Desempeo de los equipos de trabajo y participantes: Se evaluar el trabajo de los equipos designados o participantes en el desarrollo de las diferentes actividades; se tendr en cuenta si se requiere de una mayor participacin de la organizacin, con la finalidad de apoyar labores especficas; 7. Limitaciones o debilidades: Aquellas que hayan sido detectadas durante la ejecucin de la implementacin; 8. Conclusiones y recomendaciones: Se incluirn aquellas acciones correctivas que es necesario implementar para la mejora del proceso de implementacin. Asimismo, en forma resumida se determinar el nivel de implementacin alcanzado.