Mario Rizo Rivas
Contador Público Certificado y
Maestro en
Impuestos. Socio Director
de Salles, Sainz–Grant
Thornton, S.C., oficina de
Guadalajara y Presidente
del Colegio de
Contadores Públicos de
Guadalajara, A.C.

“He descubierto que las empresas familiares más exitosas hacen un adecuado trabajo de planeación al anticipar situaciones futuras, hablar y definir reglas de cómo manejarlas antes de que se conviertan en problemas o conflictos” – Mario Rizo.

Los riesgos que se materializan obligan a repasar e insistir en la importancia y necesidad de contar con un adecuado control interno, en cualquier organización que desee sobrevivir a un entorno vigoroso, difícil y turbulento, como el de hoy en día.

Unos paradigmas se agotan, pero surgen otros, en todo caso el control interno es la respuesta al imperativo de lograr objetivos, elevar el desempeño y consolidar la rendición de cuentas.

Por lo anterior, se está obligado a hacer un repaso acerca de los aspectos relacionados con el control interno y sus componentes, en este caso, basados en el Modelo COSO, así como un estudio de las consideraciones que deben hacerse para implantarlo adecuadamente.

Empecemos con los objetivos del control interno. Éste se orienta hacia el cumplimiento de la misión de la organización; desde luego, es esencial que la organización tenga bien definida su misión y que sea conocida por su personal. También, es importante entender que el buen control interno proporcionará una seguridad razonable en cuanto al logro de las metas y objetivos, aunque el buen control interno no puede garantizar por sí solo que la organización logre tales metas y objetivos. Sin embargo, el cumplimiento de las metas y objetivos es más probable si el control interno es efectivo.

Objetivos y propósitos del control interno

Además de que el propósito general del control interno es ayudar a la organización a cumplir su misión, también contribuye a:

  • Lograr que las operaciones se lleven a cabo de forma eficaz, eficiente y económica, así como producir productos y servicios de acuerdo con la misión.
  • Obtener información financiera y operacional en condiciones de integridad, calidad y oportunidad.
  • Cumplir con el mandato de las leyes, reglamentos, normas y políticas administrativas.
  • Salvaguardar los recursos contra desperdicios o pérdidas, abuso, errores y fraudes.

Responsabilidades en relación con el control interno

Todo el personal tiene participación en el sistema de control interno, el cual es desarrollado y ejecutado por las personas, además de que los guía y provee de una base para la rendición de cuentas. Las responsabilidades individuales varían a través de toda la organización.

La eficacia del sistema de control interno dependerá de la actitud de respaldo de los mandos directivos y demás personal. La alta dirección establece el “tono” de la organización en relación con el control interno. Cuando los mandos directivos se esfuerzan en lograr que el sistema de control interno sea adecuado y se comprometa con su buen funcionamiento, el resto del personal se hace más responsable en sus respectivos ámbitos. Todo el personal tiene un papel y una responsabilidad en cuanto a su establecimiento y, sobre todo, en su aplicación. Para asegurar que el control interno funcione como se propuso, la organización debe supervisar continuamente las actividades del personal y destacar la importancia de este control.

En la medida en que el personal en una organización sea consciente del funcionamiento de los controles, el sistema será efectivo. La alta dirección y los mandos medios tienen la obligación de asegurarse de que los empleados, que ejecutan los trabajos, cuentan con las habilidades y capacidad para hacerlo, además de brindar una correcta supervisión y capacitarlos en el desarrollo de sus obligaciones, y así asegurar que la organización tiene la capacidad para realizar correctamente su trabajo. En este sentido, la alta dirección tiene la responsabilidad más importante al respecto. Cabe mencionar que es la principal responsable de ejercer una revisión al sistema de control interno, y asegurar que las políticas y lineamientos estén actualizados, así como promover la capacitación sobre el control interno y su evaluación.

Gobierno corporativo y el sistema de control interno

El gobierno corporativo se refiere al establecimiento, por parte de los órganos de gobierno, de los mecanismos para alcanzar la misión y los objetivos estratégicos.

Las responsabilidades de este gobierno se derivan del mandato expresado en las actas constitutivas, en los estatutos y en los acuerdos de la creación de las organizaciones establecidas por la Junta de Gobierno; o bien, en las leyes o reglamentos que las rigen.

El liderazgo, las estrategias y las prácticas societarias, éticas y de transparencia, establecidas por el órgano gubernamental tendrán un impacto relevante entre el personal.

Ambos controles están interrelacionados. Los generales apoyan el funcionamiento de los de aplicación, y ambos son necesarios para asegurar el procesamiento completo y exacto de la información.

A estos órganos de gobierno les corresponden, entre otros, los siguientes aspectos:

  • Establecimiento, autorización y supervisión de la misión y el plan estratégico de la organización.
  • Establecimiento del tono ético y el impulso a la integridad.
  • Vigilancia de las decisiones, acciones y resultados logrados por la alta dirección.
  • Establecimiento de políticas generales y la estructura de la organización.
  • Establecer y asegurar el funcionamiento del proceso de rendición de cuentas a los accionistas.
  • Establecimiento del estilo y filosofía de la administración, en cuanto a la forma de tomar decisiones y riesgos.

El sistema de control interno debe estar presente y funcionar adecuadamente, en todos los elementos anteriores.

Valores éticos e integridad

Los valores éticos e institucionales son las normas de comportamiento para la conducta de todos los miembros de una organización. Los valores deben estar presentes en la mente del personal durante el transcurso normal de sus actividades. Lo anterior implica:

  • Compromiso con la honestidad.
  • Respeto a las leyes y a las políticas.
  • Liderazgo basado en el ejemplo.
  • Compromiso con el desempeño.
  • Fomento a la transparencia y a la rendición de cuentas.
  • Respeto al personal.
  • Compromiso con el ambiente.

Estilo administrativo y filosofía

La alta dirección debe asegurarse de reflejar sus valores éticos y de que éstos afecten, de manera positiva, la moral de su personal. La administración debe practicar, comunicar y demostrar  claramente estas convicciones al personal, así como evaluar con periodicidad si el estilo y filosofía, son efectivos y cumplidos consistentemente.

La filosofía y el estilo de la administración pueden ser demostrados en la forma en que la administración enfrenta y da respuesta a los riesgos, en la aceptación del riesgo residual, en el uso de principios contables conservadores o agresivos, en la actitud con respecto a la tecnología de la información y las funciones contables, y en el apoyo de la administración para las auditorías, tanto internas como externas, así como en las evaluaciones independientes.

Competencia

El desempeño, especialmente el alto desempeño, requiere de personal con capacidades alineadas a los objetivos. La responsabilidad de la administración para asegurar la competencia de sus empleados, debe comenzar en el establecimiento de políticas apropiadas de los recursos humanos, así como de las prácticas que reflejen su compromiso para:

  • Establecer niveles de conocimiento y talento necesarios para cada nivel.
  • Contratar y promover a aquéllos con los conocimientos y el talento requerido.
  • Establecer programas de capacitación que ayuden al personal a incrementar sus conocimientos y talento.

Moral

La actitud de las personas con respecto al trabajo, al ambiente laboral y a la organización, afecta la forma en la que desempeñan su trabajo. Por ello, la administración debe monitorear la moral del equipo de trabajo para asegurar que los empleados están comprometidos con la organización y así ayudarla a cumplir con su misión.

La alta dirección debe establecer los medios para:

  • Evaluar el clima laboral.
  • Mejorar su nivel de competencia.
  • Dar oportunidad para la innovación y la mejora continua.
  • Implementar sistemas de evaluación del desempeño.
  • Tener líneas de comunicación abiertas.

Actitud de apoyo organizacional

La alta dirección, debe dar una muestra ostensible respecto a que todo el personal es responsable de establecer sus controles internos. Por su parte, la administración ejecutiva debe establecer un tono que enfatice  la importancia del control interno. Este tono es caracterizado por:

  • La estrategia debe ser afín al control y a la administración de los riesgos.
  • Apoyar la evaluación y autoevaluación de control.
  • Atender los resultados de las evaluaciones y auditorías.
  • Brindar capacitación continua acerca del sistema de control interno.

Misión

Debe ser una declaración aprobada por el órgano de gobierno y la alta administración. Esta última debe comunicar a los empleados la misión de la organización y explicarles cómo es que su trabajo contribuye al logro de esta gestión. La declaración de una misión será más efectiva si todos los empleados se sienten como una parte importante de ella.

Estructura

La estructura orgánica proporciona una idea clara de la autoridad y de la rendición de cuentas alrededor de las funciones. Este modelo de organización debe difundirse a todos los empleados para ayudarles a entender a la organización como un todo, así como las relaciones entre sus múltiples componentes y la manera en cómo se integran en ésta. La administración debe revisar la estructura orgánica periódicamente para asegurar que refleje la situación real.

Con el aumento en la delegación de autoridad y responsabilidad, hay una necesidad de otorgar una supervisión adecuada y continua, y así fortalecer el control interno. La supervisión, por medio de la organización ayuda a asegurar que los empleados estén conscientes de sus obligaciones y responsabilidades, y que conozcan el tramo en el cual deben rendir cuentas de sus actividades.

Comunicación

La información debe ser comunicada a la administración y a los demás empleados que la necesiten, en la forma y el tiempo requerido para ayudarlos a culminar sus responsabilidades. La comunicación con los clientes, proveedores, reguladores y otros que intervengan, también es esencial para un efectivo control interno.

Ahora bien, un adecuado sistema de comunicación es esencial para que una organización  mantenga un sistema de control interno efectivo. Es decir, un sistema de comunicación consiste en métodos y registros establecidos para identificar, capturar, clasificar y presentar información importante para la realización de las actividades y la toma de decisiones. Por ello, la información es útil cuando es oportuna para el usuario.

  • La alta dirección debe establecer canales de comunicación para que:
  • Fluya información oportuna.
  • Sea útil para llevar a cabo las actividades.
  • Comunique a los empleados de sus obligaciones y responsabilidades.
  • Ayude a los empleados.
  • Comunique el mensaje de la alta dirección, acerca de que la responsabilidad de los controles internos es importante y deben ser tomados en serio.
  • Ayude a la organización a cumplir con sus obligaciones con instancias externas.

Evaluación y control de riesgos

Los riesgos deben ser evaluados y administrados por medio de la identificación, evaluación y monitoreo de dichos eventos, los cuales pueden amenazar el cumplimiento de la misión y los objetivos de la organización.

Los acontecimientos recientes ponen en duda la efectividad de la administración de los riesgos; sin embargo, es necesario continuar madurando el proceso de administración de riesgos. Es decir, la administración debe establecer los objetivos a lo largo de la organización, y estos objetivos de control son producto, generalmente, de los cuatro propósitos del control interno, los cuales están establecidos en los términos que reflejan las responsabilidades de las unidades de la organización.

Después de identificar los objetivos de control y de operación, es necesario identificar todos los riesgos asociados con cada objetivo. La administración de los riesgos implica la toma de decisiones de acuerdo con lo siguiente:

  • Aceptar el riesgo.
  • Prevenir el riesgo.
  • Transferir el riesgo.
  • Evitar el riesgo (no llevar a cabo la actividad).

En la práctica, lo anterior resulta en la combinación de los tipos de decisiones que se pueden tomar.

Actividades de control

Son medios o mecanismos (manuales y automatizadas) que  ayudan a identificar, prevenir o reducir omisiones o desviaciones, que impidan el cumplimiento de los objetivos de una organización en cualquier nivel. La administración debe establecer actividades de control efectivas y eficientes.

Las actividades de control (controles internos) pueden clasificarse según el tiempo y la forma en que funcionan, de acuerdo con lo siguiente:

  • Controles preventivos. Son los más eficaces, por lo tanto, rentables, debido a que se anticipan en grado razonable a la ocurrencia de eventos indeseables o inesperados.
  • Controles detectivos. Son menos efectivos que los preventivos, pero mejores que los correctivos.
  • Controles correctivos. Son necesarios, pero debe procurarse privilegiar los preventivos y detectivos.
  • Controles directivos. Tienden a fomentar o establecer condiciones o un ambiente que favorezca el sistema de control en su conjunto.

Actividades de control interno aplicadas a las Tecnologías de Información

Las actividades de control en las Tecnologías de Información (TI) pueden ser catalogadas como generales y de aplicación. Es decir, las generales aplican a la forma en que son administrados los recursos humanos, técnicos y financieros en los ambientes de las Tecnologías de Información y Comunicación (TIC).

Controles generales en las Tecnologías de Información y Comunicación

Éstos, se centran en seis grandes grupos de actividades de control: un programa de seguridad en toda la entidad, controles de acceso, desarrollo y modificación de aplicaciones, controles de programas del sistema, división de funciones y continuidad de servicio.

1.    Un programa de seguridad que incluya un plan que describa el programa y las políticas de seguridad, así como los procedimientos para ello, donde considerará aquellos procesos de almacenamiento y de eliminación de información importante. También, deben implementar y administrar el programa de seguridad con responsabilidades definidas. En adición, deben probarse los programas de seguridad y hacer los cambios necesarios.

2.    Los controles de acceso de seguridad física y lógica, a procesos de software, para prevenir o detectar el acceso no autorizado a sistemas y datos.

3.    El desarrollo y mantenimiento de aplicaciones y el control de cambios, con respecto a nuevos sistemas y a la modificación de los actuales. Las actividades de control deben incluir: documentación de los requerimientos; autorización para la realización de proyectos; y revisión, prueba y aprobación de actividades de desarrollo y modificación, antes de poner los sistemas a trabajar.

4.    El control del software del sistema es el control y monitoreo del acceso para la utilización y cambio de las aplicaciones del sistema.

5.    La segregación de funciones en un ambiente computacional, es el mismo que en un proceso manual. Las tareas y las responsabilidades clave deben ser divididas entre varios empleados y en subunidades de las operaciones de la computadora.

6.    La continuidad del servicio es importante para sostener o restablecer las actividades o la calidad del servicio proporcionado, en caso de desastre. Es fundamental que la organización cuente con un respaldo y los procedimientos de recuperación, así como con los planes de contingencia y desastre.

Controles de aplicación

Estos controles ayudan a asegurar que las transacciones son válidas, autorizadas, procesadas e informadas,  de forma completa y exacta. Éstos se dividen en controles de insumo, proceso y producto, que a continuación se definen:

  • Los controles de insumo, incluyen los procesos para verificar la confiabilidad y exhaustividad de los datos ingresados a un sistema.
  • Los controles de proceso, ayudan a asegurar que la información se mantiene completa y exacta durante la actualización, y que los programas de la aplicación se desempeñan según lo previsto.
  • Los controles de producto, ayudan a asegurar que la información generada por el sistema es exacta, grabada adecuadamente y recibida o revisada, sólo por el personal autorizado.

Supervisión de la efectividad del sistema de control interno

Es la revisión de las actividades y transacciones de una organización para evaluar la calidad de su desempeño en el tiempo, y determinar qué controles son efectivos. Para que el monitoreo sea más efectivo, todos los empleados necesitan entender la misión de la organización, sus objetivos, los niveles de tolerancia a riesgos y sus propias responsabilidades.

Todos los empleados de una organización tienen alguna responsabilidad en la supervisión. La posición que una persona tiene en la organización no ayuda a determinar el enfoque y medida de las responsabilidades, por lo tanto, la supervisión llevada a cabo por el personal, los supervisores, los mandos medios y la alta dirección, no tendrá la misma perspectiva.

Existen otras instancias que también tienen responsabilidad en cuanto a la efectividad del sistema de control interno. Por ejemplo, el caso del auditor externo en el ámbito de la dictaminación de los estados financieros;  o bien, del auditor interno y, en su caso, de terceros con atribuciones para ello.

Cada uno tiene el interés de evaluar la efectividad del control interno y comunicar las deficiencias identificadas, para que los mandos directivos y los responsables directos de las operaciones los subsanen.

Finalmente, el control interno sigue siendo el medio adoptado por las organizaciones públicas y privadas de todo el mundo para: alcanzar sus objetivos de manera eficaz, eficiente y económica; lograr información confiable y oportuna; cumplir con el marco legal y normativo, y proteger los recursos institucionales.

Print Friendly, PDF & Email

Dejar respuesta

Please enter your comment!
Please enter your name here