QU ES EL CONTROL INTERNO?

Commission (COSO), en la que participan organizaciones tan prestigiosas y conocidas como el American Institute of Certified Public Accountants(AICPA), la American Accounting Association, el Institute of Internal Auditor, el Institute of anagement Accountants y el !inancial "#ecuti$e Institute, que encarg% la redacci%n del Informe a Coopers & 'ybrand( DEFINICIN DE CONTROL INTERNO "l control interno no tiene el mismo significado para todas las personas, lo cual causa confusi%n entre empresarios y profesionales, legisladores, reguladores, etc( "n consecuencia, se originan problemas de comunicaci%n y di$ersidad de e#pectati$as, lo cual da origen a problemas dentro de las empresas( "l informe COSO nos da una definici%n integradora de control interno con el ob)eti$o de facilitar un modelo en base al cual las empresas y otras entidades puedan e$aluar sus sistemas de control y decidir c%mo me)orarlos* "l control interno es un proceso que lle$a a cabo el Conse)o de Administraci%n, la direcci%n y los dem+s miembros de una entidad, con el ob)eto de proporcionar un grado razonable de confianza en la consecuci%n de ob)eti$os en los siguientes +mbitos o categor,as* - Eficacia y eficiencia de las ope aciones! - Fia"ilidad de la info #aci$n financie a! - C%#pli#ien&o de las leyes y no #as aplica"les! 'a anterior definici%n refle)a ciertos conceptos fundamentales* - El con& ol in&e no es %n p oceso! "s un con)unto de acciones estructuradas y coordinadas dirigidas a la consecuci%n de un fin, no es un fin en s, mismo( - El con& ol in&e no lo lle'an a ca"o las pe sonas! -o se trata solamente de manuales de pol,ticas e impresos, sino de personas en cada ni$el de la organizaci%n( - El con& ol in&e no s$lo p%ede apo &a %n ( ado a)ona"le de se(% idad* no la seguridad total, a la direcci%n y al Conse)o de Administraci%n de la entidad( - El con& ol in&e no es&+ pensado pa a facili&a la consec%ci$n de o",e&i'os en uno o m+s +mbitos independientes, pero con elementos comunes( "n segundo lugar, da cabida a los subgrupos de control interno( As,, uno puede centrarse en, por e)emplo, los controles sobre la informaci%n financiera o los relacionados con el cumplimiento de la legislaci%n aplicable en el +rea operati$a( Asimismo permite centrarse en los controles sobre unas unidades o acti$idades determinadas de una entidad( 'os conceptos fundamentales descritos arriba se analizan en los siguientes p+rrafos* Un p oceso

'os procesos de negocios, que se lle$an a cabo dentro de las unidades y funciones de la organizaci%n o entre las mismas, se coordinan en funci%n de los procesos de gesti%n b+sicos de planificaci%n, e)ecuci%n y super$isi%n( "l control interno es parte de dic.os procesos y est+ integrado en ellos, permitiendo su funcionamiento adecuado y super$isando su comportamiento y aplicabilidad en cada momento( Constituye una .erramienta /til para la gesti%n, pero no un sustituto de 0sta( "sta conceptuaci%n del control interno dista muc.o de la antigua perspecti$a, que $e,a el control interno como un elemento a1adido a las acti$idades de una entidad o como una carga ine$itable impuesta por los organismos reguladores o por los dictados de bur%cratas e#cesi$amente celosos( 'os controles internos deben ser incorporados a la infraestructura de una entidad, no deben ser a1adidos, de manera que no deben entorpecer, sino fa$orecer la consecuci%n de los ob)eti$os de la entidad( Al ser incorporados y no a1adidos, podremos identificar des$iaciones en costes en acti$idades operati$as b+sicas y adem+s agilizaremos el tiempo de respuesta para solucionar estas des$iaciones o costes innecesarios( -e sonas "l control interno lo lle$an a cabo el Conse)o de Administraci%n, la direcci%n y los dem+s miembros de la entidad( 'o realizan los miembros de una organizaci%n, mediante sus actuaciones concretas( Son las personas quienes establecen los ob)eti$os de la entidad e implantan los mecanismos de control( Se(% idad a)ona"le "l sistema de control interno aporta una seguridad razonable (pero no completa) al Conse)o de Administraci%n, ya que e#isten limitaciones que son in.erentes a todos los sistemas de control interno( "stas limitaciones se deben a que* las opiniones en que se basan las decisiones pueden ser err%neas, los empleados encargados del establecimiento de controles tienen que analizar la relaci%n coste2beneficios de los mismos, y pueden producirse problemas en el funcionamiento del sistema como consecuencia de fallos .umanos, aunque se trate de un simple error o equi$ocaci%n( CO.-ONENTES DEL CONTROL INTERNO "l control interno consta de cinco componentes interrelacionados( "stos se deri$an del estilo de direcci%n del negocio y est+n integrados en el proceso de gesti%n( 'os componentes son los siguientes* /! En&o no de con& ol 0! E'al%aci$n de ies(os 1! 2c&i'idades de con& ol 3! Info #aci$n y co#%nicaci$n

4! S%pe 'isi$n /! ENTORNO DE CONTROL "l entorno de control constituye la base de todo sistema de control interno, ya que determina las pautas de comportamiento y tienen una influencia fundamental en el ni$el de conciencia del personal respecto del control( 'os elementos que componen el entorno de control son* /!/! La in&e( idad y la 5&ica Por muy eficaces que pudieran ser los controles interno, 0stos no pueden estar por encima de las personas que los lle$an a cabo( 'a 0tica no consiste solo en el cumplimiento de las leyes( "s fundamentalmente un compromiso de ad.esi%n a unos $alores y la capacidad de lle$arlos a la pr+ctica de forma permanente( "l impacto negati$o que pueden llegar a tener los comportamientos empresariales dirigidos /nicamente a conseguir resultados a corto plazo pasando por encima de los intereses leg,timos de pro$eedores, clientes, empleados,((( etc( puede llegar a ser muy importante para la empresa( 'a transmisi%n de los $alores y reglas de comportamiento 0tico a una organizaci%n se realiza de $arias formas complementarias* 3 Con el e)emplo( 'a direcci%n y el Conse)o de Administraci%n deben ser los primeros que asuman en la pr+ctica los comportamientos 0ticos que $an a intentar imponer en la organizaci%n( 3 "stableciendo normas escritas (c%digos de conducta) que los miembros de la organizaci%n deben conocer y aceptar, debiendo quedar constancia escrita sobre ello peri%dicamente( 3 4espuestas eficientes y contundentes en caso de actuaciones no conformes con las reglas establecidas, a/n cuando las mismas puedan no tener un efecto significati$o( /!0! Co#pe&encia p ofesional Para poder cubrir cada puesto de traba)o por personas capaces de realizar las labores correspondientes de una forma competente, es necesaria la e#istencia de procesos de definici%n de puestos y acti$idades, de selecci%n de personal, de formaci%n, de e$aluaci%n y de promoci%n( /!1! La esponsa"ilidad del Conse,o de 2d#inis& aci$n "s muy importante que el Conse)o de Administraci%n sea capaz de de)ar sentir su presencia en el control y direcci%n de la organizaci%n( 'as capacidades del Conse)o para demostrar que la autoridad de la direcci%n deri$a de una delegaci%n por su parte, la e#istencia de miembros no e)ecuti$os independientes dentro del mismo y la e#istencia de organismos tales como el Comit0 de Auditor,a dentro del Conse)o con capacidad de comunicaci%n directa con elementos de control como los auditores internos y e#terno son elementos fundamentales para crear un entorno propicio para un desarrollo adecuado del control interno( /!3! El es&ilo y filosof6a (e encial

'os estilos gerenciales marcan el ni$el de riesgo empresarial y pueden afectar al control interno( 5n planteamiento empresarial orientado e#cesi$amente al riesgo, unas actitudes poco propicias a la prudencia, o la falta de tomar en cuenta a los aspectos de control o administrati$os al emprender negocios son indicati$os de riesgos de control interno( 5na gerencia que sin de)ar de afrontar los riesgos empresariales toma en cuenta todos los elementos necesarios para su seguimiento, e$itando riesgos improcedentes y que consideran los aspectos positi$os y negati$os de cada alternati$a crea una actitud positi$a de control interno en la organizaci%n( /!4! Es& %c&% a o (ani)a&i'a Cada entidad desarrolla la estructura organizati$a mas con$eniente a sus necesidades( 6ay estructuras m+s )er+rquicas que otras, m+s centralizadas que otras, ((( etc( "l adecuar la estructura organizati$a de cada entidad a su tama1o, tipo de acti$idad y ob)eti$os es fundamental para el control interno pueda desarrollarse en forma adecuada, ya que ello define las l,neas de responsabilidad y autoridad, as, como los canales por los que fluye la informaci%n( /!7! Dele(aci$n de pode es y esponsa"ilidades Consiste en las facultades y responsabilidades concedidas a los diferentes miembros de la organizaci%n para que desarrollen sus funciones( "l problema reside en saber cu+l es el grado adecuado de delegaci%n de poderes, ya que deben /nicamente delegarse poderes en la medida necesaria para lograr los ob)eti$os de la entidad( 'a delegaci%n de poderes debe ir acompa1ada de un conocimiento y asunci%n claros e indudables de los ob)eti$os de la entidad por parte de quien recibe los poderes y de un ni$el de super$isi%n adecuado( /!8! -ol6&icas y p +c&icas de ec% sos 9%#anos 7esde los procedimientos de contrataci%n, .asta la formaci%n, pasando por las e$aluaciones, promociones y asesoramiento y control de personal, pueden de)ar muy claro cu+l es el ni$el m,nimo que se e#ige y las pautas de comportamiento en materia de integridad y comportamiento 0tico( 8ambi0n deber,a quedar claro que el incumplimiento tendr+ una respuesta( 0! E:2LU2CIN DE RIES;OS 8oda entidad tiene que .acer frente a riesgos del m+s di$erso estilo que pueden afectar a los m+s di$ersos aspectos de la acti$idad de la empresa( Cualquier entidad debe determinar cu+les son los ni$eles de riesgo aceptables y tratar de e$itar que los riesgos sobrepasen esos l,mites( Pre$iamente a determinar los riesgos .ay que determinar los ob)eti$os( Cada entidad debe determinar sus ob)eti$os, sus puntos fuertes y d0biles y las oportunidades y amenazas del entorno( 7e esta manera obtendr+ un plan estrat0gico que identificar+ los factores de 0#ito o condiciones pre$ias para que la entidad consiga sus ob)eti$os( 'os ob)eti$os pueden clasificarse entre ob)eti$os operacionales, ob)eti$os relacionados con la informaci%n financiera y ob)eti$os de cumplimiento( Aunque aqu, .ablamos un poco de cada grupo de ob)eti$os, no se intenta

establecer ning/n tipo de separaci%n estricta entre ellos y debe reconocerse que muc.os de los ob)eti$os de diferentes categor,as se interrelacionan y entrecruzan entre s,( 0!/! O",e&i'os de las ope aciones "ste tipo de ob)eti$os son la raz%n de ser de las empresas y $an dirigidos a la consecuci%n del ob)eto social( "ste grupo de ob)eti$os constituye un elemento de gesti%n y no un elemento de control interno, adem+s cada entidad tendr+ sus propios ob)eti$os de las operaciones, mientras que los otros dos grupos de ob)eti$os a pesar de tener distintos matices para cada entidad, son aplicables a todas las entidades( 0!0! O",e&i'os elacionados con la info #aci$n financie a 'a informaci%n financiera es un elemento importante para la gesti%n interna, aunque aqu, nos ocuparemos de la informaci%n financiera e#terior, dirigida a "ntidades de cr0dito, in$ersores, pro$eedores, clientes(((( Para que unos estados financiaron sean fiables deben cumplir unos requisitos* 3 Principios contables aceptados y apropiados a las circunstancias( 3 Informaci%n financiera suficiente y apropiada, resumida y clasificada en forma adecuada( 3 Presentaci%n de .ec.os, transacciones y acontecimientos de tal forma que los estados financieros refle)en adecuadamente la situaci%n financiera, los resultados de las operaciones y los flu)os de or,genes y aplicaciones de recursos en forma apropiada y razonable(

"stos requisitos se cumplir+n siempre que se den las siguientes condiciones* - E<is&encia= 'os acti$os y pasi$os e#isten a la fec.a del balance( - To&alidad= 8odas las transacciones y acontecimientos ocurridos durante un per,odo determinado .an sido efecti$amente refle)adas en los registros contables( - De ec9os y o"li(aciones= 'os acti$os son los derec.os y los pasi$os las obligaciones efecti$as de la entidad( - :alo aci$n= "l importe de los acti$os y pasi$os y el de los ingresos y gastos .ab,an sido determinados con criterios adecuados de conformidad con principios contables generalmente aceptados( - - esen&aci$n= 'a informaci%n financiera presentada en los estados financieros es suficiente, adecuada y est+ correctamente clasificada( 0!1! O",e&i'os de c%#pli#ien&o 8oda entidad debe desarrollar su acti$idad dentro del marco de una legalidad y unos reglamentos que regulan los m+s di$ersos aspectos de las relaciones sociales ( normati$a mercantil, o ci$il, laboral, financiera, medio ambiente, seguridad,((( etc()

5na $ez identificados los ob)eti$os de la entidad, ya podemos pasar a la identificaci%n y el an+lisis de riesgos( 'a direcci%n debe identificar los riesgos e#istentes a todos los ni$eles de la empresa, .ay muc.os procedimientos para proceder a su identificaci%n pero no es rele$ante cu+l de ellos se use( 5na $ez identificados, la direcci%n debe realizar un an+lisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los mismos, e$aluar la probabilidad de que se den y analizar c%mo .an de gestionarse (estableciendo medidas que tiendan a limitarlos o reducirlos)( 6ay que tener en cuenta que los cambios producidos en la econom,a, el sector de acti$idad, la reglamentaci%n y las acti$idades de las empresas .acen que un sistema de control interno que se considera eficaz en un conte#to determinado quiz+s no lo ser+ en otro( "l an+lisis de riesgos es, por tanto, una acti$idad que debe reno$arse de forma continuada( 'a direcci%n debe estar permanentemente alerta para detectar las circunstancias que $an modificando el entorno y por consiguiente los riesgos a enfrentar( 1! L2S 2CTI:ID2DES DE CONTROL 'as acti$idades de control )unto con ciertas acti$idades de gesti%n nos ayudar+n a e$itar que los riesgos a los que est+ su)eta la entidad se lleguen a materializar y producir efectos negati$os en 0sta( 'as acti$idades de control se traducen en pol,ticas (lo que debe de .acerse) y procedimientos (mecanismos concretos de control)( 'as acti$idades de control constituyen un elemento importante del proceso mediante el que una entidad consigue sus ob)eti$os( Algunos de los posibles mecanismos de control utilizables (con las comple)idades que se requiera en cada momento)* - Se( e(aci$n de f%nciones "l riesgo de que se puedan producir errores o irregularidades en el desarrollo y registro de las transacciones disminuye si las diferentes partes que componen el proceso se e)ecutan por diferentes persona( 'as responsabilidades de autorizar, e)ecutar, registrar y comprobar una transacci%n deben de quedar en la medida de lo posible segregadas y diferenciadas( "ste es uno de los mecanismos de control interno m+s importante y efecti$o( - 2n+lisis eali)ados po la di ecci$n 'a direcci%n analiza los resultados obtenidos compar+ndolos con per,odos anteriores, con los presupuestos( "ste tipo de actuaci%n es una acti$idad de control muy importante para la consecuci%n de ob)eti$os, puesto que la informaci%n oportuna y apropiada constituye en la mayor,a de los casos la primera base para la correcta toma de decisiones(

- Con& oles f6sicos "l conteo f,sico de los acti$os (e#istencias, t,tulos negociables, tesorer,a, etc((() y la comprobaci%n de los resultados con los registros de control constituye una medida de control que puede resultar significati$a para conseguir ob)eti$os tanto de informaci%n financiera como de operaciones( - .ecanis#os de se(%i#ien&o del p oceso de info #aci$n Se trata de comprobaciones realizadas para asegurarse de la e#istencia, e#actitud, totalidad y autorizaci%n de las transacciones registradas( - ;es&i$n de f%nciones de ac&i'idad "ste tipo de controles est+ constituido por las re$isiones de los resultados obtenidos en una acti$idad por parte de los responsables correspondientes y a ni$eles sucesi$amente m+s altos( - Indicado es de endi#ien&o Incluye el an+lisis combinado de diferentes con)untos de datos (operati$os o financieros) y la puesta en marc.a de acciones correcti$as( 1!/! Con& oles de los sis&e#as de info #aci$n Aunque cuando se .abla de sistemas de informaci%n se piensa casi autom+ticamente en sistemas inform+ticos, se incluye tambi0n la parte de los sistemas que corresponde a operaciones manuales( 'os controles de los sistemas de informaci%n los podemos clasificar en* 3 Controles generales, que incluyen lo siguiente* > Se(% idad f6sica de los e?%ipos y la info #aci$n= Son programas de emergencia que permitan operar en equipos de emergencia o e#teriores cuando se produzcan situaciones catastr%ficas( > Con& oles de acceso= Se trata de determinar quien es el posible usuario de la informaci%n y qu0 se puede .acer con la misma( > Con& oles so" e el @sof&Aa e@= Incluye los controles sobre la adquisici%n, implantaci%n y mantenimiento del sistema y la e)ecuci%n de aplicaciones( > Con& oles de ope aciones de p oceso de da&os= Controles sobre la inter$enci%n de los operadores en la planificaci%n de los traba)os, la soluci%n de las incidencias, la realizaci%n y mantenimiento de bac93ups,((( etc( > Con& oles so" e el desa ollo y #an&eni#ien&o de aplicaciones= uc.as empresas desarrollan sus propias aplicaciones o utilizan paquetes est+ndar que deben ser adaptados e implantados, esto requiere controles espec,ficos sobre su selecci%n, adaptaci%n e implantaci%n( > Con& oles de las aplicaciones= "ste tipo de controles $an incorporados dentro de las propias

aplicaciones y tienen la finalidad de garantizar la totalidad y e#actitud en el proceso de las transacciones, su autorizaci%n y su $alidez( 3! INFOR.2CIN B CO.UNIC2CIN 3!/! Info #aci$n "s necesario identificar cual es la informaci%n rele$ante y, disponer de los mecanismos oportunos para recogerla y comunicarla en forma y tiempo oportunos, de tal forma que la misma pueda cumplir los ob)eti$os pre$istos( 'a informaci%n se recoge de fuentes internas y e#ternas y se comunica a destinatarios tanto internos como e#ternos( 'os flu)os de informaci%n pueden ser tanto $erticales como .orizontales o trans$ersales a lo largo y anc.o por la estructura organizati$a de la entidad y pueden tener car+cter tanto formal como informal( Cada entidad debe $alorar sus necesidades de sistemas de informaci%n en funci%n de sus ob)eti$os( Para responder a estas necesidades, debe de atenderse a los siguientes aspectos relati$os a la calidad de la informaci%n* - Con&enido! 'a informaci%n debe ser necesaria y rele$ante( - Tie#po( 'a informaci%n debe de transmitirse en tiempo oportuno y adecuado( - 2c&%alidad! 'a informaci%n debe ser la m+s reciente posible( - 2ccesi"ilidad! 'os miembros de la organizaci%n que necesiten utilizar informaci%n, deben poder acceder a la misma con facilidad( 3!0! Co#%nicaci$n 'a comunicaci%n en general es la transmisi%n de informaci%n (interna y e#terna)( Para ser m+s espec,ficos, aqu, no $amos a tratar, de la informaci%n que los miembros de cualquier organizaci%n utilizan para el desarrollo de sus funciones, sino de la parte del proceso de comunicaci%n que afecta a las responsabilidades y e#pectati$as de los miembros de las organizaciones( 'os canales de comunicaci%n .abituales que determina la estructura )er+rquica de una entidad, deben ser la f%rmula .abitual de comunicaci%n( Sin embargo, es preciso mantener siempre otros posibles canales de comunicaci%n independientes, que act/en de mecanismo de seguridad en el caso de que los canales .abituales no funcionen o pudieran no funcionar( 'o mismo que con el personal, la direcci%n tiene que tener canales de comunicaci%n abiertos con el e#terior (clientes, pro$eedores, bancos, reguladores, (((etc()( Otro aspecto significati$o a tomar en cuenta es la comunicaci%n con el Conse)o de Administraci%n( : finalmente, algunos elementos e#ternos especiales tienen que tener canales apropiados de comunicaci%n* auditores e#ternos, asesores legales, analistas financieros, organismos reguladores, ((( etc(

4! SU-ER:ISIN "l ob)eti$o de la super$isi%n es asegurar que el sistema est+ funcionando adecuadamente y de que $a adapt+ndose a las necesidades y cambios de circunstancias( 'a direcci%n debe disponer de los instrumentos necesarios para asegurarse de que esto es realmente as,( 'a super$isi%n puede lle$arse a cabo de dos formas* a tra$0s de acti$idades y e$aluaciones recurrentes o bien a tra$0s de acti$idades y e$aluaciones espec,ficas( Cuanto m+s importantes sean las acti$idades recurrentes, menos necesidad .abr+ de acti$idades espec,ficas y espor+dicas( 4!/! 2c&i'idades de s%pe 'isi$n ec% en&es 3 "#istencia de canales abiertos para que la gerencia reciba ideas e informaci%n de los empleados referente a los sistemas en s, mismo o sobre su funcionamiento( 3 4e$isi%n sistem+tica por parte del departamento de auditor,a interna de aspectos tanto puramente administrati$os de cumplimiento como operati$os, con manifestaci%n de las debilidades obser$adas, recomendaciones de me)ora y seguimiento de su implantaci%n( 3 4e$isi%n anual de los sistemas de control interno por parte de los auditores e#ternos con el alcance requerido a efectos de una auditor,a e#terna( 3 Comunicaci%n sistem+tica o espor+dica con terceros* clientes, pro$eedores, entidades financieras, (((etc( 4!0! 2c&i'idades de s%pe 'isi$n espec6ficas Aunque las acti$idades de e$aluaci%n continua son esenciales, es muy con$eniente realizar de $ez en cuando e$aluaciones de los sistemas de control interno dirigidas fundamentalmente a e$aluar su efecti$idad( Con frecuencia los departamentos, unidades de negocio, ((etc( realizan ;autoe#+menes; de control interno, otras $eces las re$isiones se realizan intercambiando personal al mismo ni$el, otras $eces se utiliza a los auditores internos o a los auditores e#ternos, ((((etc( 4!1! Info #aci$n so" e deficiencias de con& ol in&e no "l t0rmino ;deficiencia; se define como cualquier situaci%n o condici%n del sistema de control interno digna de atenci%n( Con ello se est+n incluyendo no solo las posibles insuficiencias del sistema, sino tambi0n los puntos susceptibles de me)ora(