Control interno

Gestión de riesgos organizacionales

El control interno , tal como lo definen la contabilidad y la auditoría , es un proceso para asegurar los objetivos de una organización en cuanto a eficacia y eficiencia operativa , informes financieros confiables y cumplimiento de las leyes, regulaciones y políticas. Un concepto amplio, el control interno implica todo lo que controla los riesgos para una organización.

Es un medio por el cual se dirigen, monitorean y miden los recursos de una organización. Desempeña un papel importante en la detección y prevención del fraude y en la protección de los recursos de la organización, tanto físicos (por ejemplo, maquinaria y propiedad) como intangibles (por ejemplo, reputación o propiedad intelectual como marcas).

A nivel organizacional, los objetivos de control interno se relacionan con la confiabilidad de los informes financieros, la retroalimentación oportuna sobre el logro de metas operativas o estratégicas y el cumplimiento de las leyes y regulaciones. En el nivel de transacción específica, los controles internos se refieren a las acciones tomadas para lograr un objetivo específico (por ejemplo, cómo garantizar que los pagos de la organización a terceros sean por servicios válidos prestados). Los procedimientos de control interno reducen la variación del proceso, lo que conduce a resultados más predecibles. El control interno es un elemento clave de la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977 y la Ley Sarbanes-Oxley de 2002, que requirieron mejoras en el control interno en las corporaciones públicas de Estados Unidos. Los controles internos dentro de las entidades comerciales también se conocen como controles operativos . Los principales controles establecidos a veces se denominan "controles financieros clave" (KFC). ^[1]

Historia temprana del control interno

Los controles internos han existido desde la antigüedad. En el Egipto helenístico había una administración dual, con un conjunto de burócratas encargados de recaudar impuestos y otro de supervisarlos. En la República de China , la Autoridad Supervisora ​​(检察院; pinyin : Jiǎnchá Yùan), una de las cinco ramas del gobierno, es una agencia de investigación que supervisa las otras ramas del gobierno.

Definiciones

Existen muchas definiciones de control interno, ya que afecta a los diversos constituyentes (partes interesadas) de una organización de diversas maneras y en diferentes niveles de agregación.

Según el Marco Integrado de Control Interno COSO , un marco ampliamente utilizado no sólo en los Estados Unidos sino en todo el mundo, el control interno se define ampliamente como un proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, diseñado para proporcionar seguridad razonable respecto del logro de los objetivos relacionados con las operaciones, la presentación de informes y el cumplimiento.

COSO define el control interno como si tuviera cinco componentes:

1. Entorno de control: establece el tono de la organización, influyendo en la conciencia de control de su gente. Es la base de todos los demás componentes del control interno.
2. Evaluación de riesgos: la identificación y análisis de riesgos relevantes para el logro de objetivos, formando una base sobre cómo se deben gestionar los riesgos.
3. Información y comunicación: sistemas o procesos que apoyan la identificación, captura e intercambio de información en una forma y plazo que permitan a las personas llevar a cabo sus responsabilidades.
4. Actividades de control: las políticas y procedimientos que ayudan a garantizar que se lleven a cabo las directivas de gestión.
5. Procesos de seguimiento utilizados para evaluar la calidad del desempeño del control interno a lo largo del tiempo.

La definición de COSO se relaciona con el sistema de control agregado de la organización, que se compone de muchos procedimientos de control individuales.

La SEC define los procedimientos de control discretos, o controles , como: "...un conjunto específico de políticas, procedimientos y actividades diseñadas para cumplir un objetivo. Puede existir un control dentro de una función o actividad designada en un proceso. El impacto de un control ... pueden ser de toda la entidad o específicos de un saldo de cuenta, clase de transacciones o aplicación. Los controles tienen características únicas; por ejemplo, pueden ser: conciliaciones automatizadas o manuales; autorización de revisión y aprobación; responsabilidad de los activos; prevenir o detectar errores o fraudes. Los controles dentro de un proceso pueden consistir en controles de información financiera y controles operativos (es decir, aquellos diseñados para lograr objetivos operativos)". ^[2]

Contexto

De manera más general, el establecimiento de objetivos, presupuestos, planes y otras expectativas establece criterios de control. El control en sí existe para mantener el desempeño o un estado de cosas dentro de lo esperado, permitido o aceptado. El control construido dentro de un proceso es de naturaleza interna. Se lleva a cabo con una combinación de componentes interrelacionados, como el entorno social que afecta el comportamiento de los empleados, la información necesaria para el control y las políticas y procedimientos. La estructura de control interno es un plan que determina cómo el control interno consta de estos elementos. ^[3]

Los conceptos de gobierno corporativo también dependen en gran medida de la necesidad de controles internos. Los controles internos ayudan a garantizar que los procesos funcionen según lo diseñado y que se lleven a cabo respuestas al riesgo (tratamientos de riesgo) en la gestión de riesgos (COSO II). Además, es necesario que existan circunstancias que garanticen que los procedimientos antes mencionados se realizarán según lo previsto: actitudes correctas, integridad y competencia, y seguimiento por parte de los gerentes.

Roles y responsabilidades en el control interno

Según el Marco COSO, todos en una organización tienen responsabilidad por el control interno hasta cierto punto. Prácticamente todos los empleados producen información utilizada en el sistema de control interno o toman otras acciones necesarias para afectar el control. Además, todo el personal debe ser responsable de comunicar a los niveles superiores problemas en las operaciones, incumplimiento del código de conducta u otras violaciones de políticas o acciones ilegales. Cada entidad importante en el gobierno corporativo tiene un papel particular que desempeñar:

Gestión

El director ejecutivo (el máximo directivo) de la organización tiene la responsabilidad general de diseñar e implementar un control interno eficaz. Más que cualquier otro individuo, el director ejecutivo establece el " tono en la cima " que afecta la integridad y la ética y otros factores de un ambiente de control positivo. En una empresa grande, el director ejecutivo cumple con este deber brindando liderazgo y dirección a los altos directivos y revisando la forma en que controlan el negocio. Los altos directivos, a su vez, asignan la responsabilidad del establecimiento de políticas y procedimientos de control interno más específicos al personal responsable de las funciones de la unidad. En una entidad más pequeña, la influencia del director ejecutivo, a menudo un propietario-gerente, suele ser más directa. En cualquier caso, en una responsabilidad en cascada, un gerente es efectivamente el director ejecutivo de su esfera de responsabilidad. De particular importancia son los funcionarios financieros y su personal, cuyas actividades de control atraviesan, así como hacia arriba y hacia abajo, las unidades operativas y otras unidades de una empresa.

Junta Directiva

La administración rinde cuentas ante la junta directiva, que proporciona gobernanza, orientación y supervisión. Los miembros eficaces de la junta directiva son objetivos, capaces e curiosos. También tienen conocimiento de las actividades y el entorno de la entidad y dedican el tiempo necesario para cumplir con sus responsabilidades en el directorio. La dirección puede estar en condiciones de anular los controles e ignorar o reprimir las comunicaciones de los subordinados, lo que permite que una dirección deshonesta que tergiversa intencionalmente los resultados cubra sus huellas. Una junta fuerte y activa, particularmente cuando se combina con canales de comunicación ascendentes efectivos y funciones financieras, legales y de auditoría interna capaces, suele ser la más capacitada para identificar y corregir dicho problema.

Funciones y responsabilidades de auditoría

Auditores

Los auditores internos y auditores externos de la organización también miden la eficacia del control interno a través de sus esfuerzos. Evalúan si los controles están diseñados e implementados adecuadamente y funcionan de manera efectiva, y hacen recomendaciones sobre cómo mejorar el control interno. También podrán revisar los controles de tecnología de la información , que se relacionan con los sistemas de TI de la organización. Para proporcionar una seguridad razonable de que los controles internos involucrados en el proceso de presentación de informes financieros son efectivos, son probados por el auditor externo (los contadores públicos de la organización), a quienes se les exige opinar sobre los controles internos de la empresa y la confiabilidad de sus informes financieros.

Comité de Auditoría

El papel y las responsabilidades del comité de auditoría, en términos generales, son: (a) Discutir con la gerencia, los auditores internos y externos y las principales partes interesadas la calidad y adecuación del sistema de controles internos y el proceso de gestión de riesgos de la organización, y su efectividad y resultados y reunirse periódicamente y en privado con el Director de Auditoría Interna; (b) Revisar y discutir con la gerencia y los auditores externos y aprobar los estados financieros auditados de la organización y hacer una recomendación con respecto a la inclusión de esos estados financieros en cualquier archivo público. También revisar con la gerencia y el auditor independiente el efecto de las iniciativas regulatorias y contables, así como las cuestiones fuera de balance en los estados financieros de la organización; (c) Revisar y discutir con la gerencia los tipos de información que se divulgarán y los tipos de presentaciones que se realizarán con respecto al comunicado de prensa de ganancias de la compañía y la información financiera y la guía de ganancias proporcionada a analistas y agencias de calificación; (d) Confirmar el alcance de las auditorías que deben realizar los auditores externos e internos, monitorear el progreso y revisar los resultados y revisar los honorarios y gastos. Revisar hallazgos significativos o informes de auditoría interna insatisfactorios, o problemas o dificultades de auditoría encontrados por el auditor externo independiente. Monitorear la respuesta de la gerencia a todos los hallazgos de la auditoría; (e) Gestionar quejas relativas a contabilidad, controles contables internos o cuestiones de auditoría; (f) Recibir informes periódicos del director ejecutivo, del director financiero y de los demás comités de control de la empresa sobre deficiencias en el diseño u operación de los controles internos y cualquier fraude que involucre a la gerencia u otros empleados con un papel importante en los controles internos; y (g) Apoyar a la gerencia en la resolución de conflictos de intereses. Supervisar la idoneidad de los controles internos de la organización y garantizar que se actúe en todos los casos de fraude.

comité de beneficios al personal

Las funciones y responsabilidades de los beneficios del personal, en términos generales, son: (a) Aprobar y supervisar la administración del Programa de Compensación de Ejecutivos de la empresa; (b) Revisar y aprobar asuntos de remuneración específicos para el director ejecutivo, el director de operaciones (si corresponde), el director financiero, el asesor general, el funcionario superior de recursos humanos, el tesorero, el director, las relaciones corporativas y la gestión, y los directores de la empresa; (c) Revisar, según corresponda, cualquier cambio en cuestiones de compensación para los funcionarios enumerados anteriormente con la junta; y (d) Revisar y monitorear todas las actividades e informes de desempeño y cumplimiento relacionados con los recursos humanos, incluido el sistema de gestión del desempeño. También garantizan que la dirección de la organización utilice adecuadamente las medidas de desempeño relacionadas con los beneficios.

Personal operativo

Todos los miembros del personal deben ser responsables de informar problemas de operaciones, monitorear y mejorar su desempeño, y monitorear el incumplimiento de las políticas corporativas y diversos códigos profesionales, o violaciones de políticas, estándares, prácticas y procedimientos. Sus responsabilidades particulares deben documentarse en sus archivos personales individuales. En las actividades de gestión del desempeño, participan en todas las actividades de recopilación y procesamiento de datos de cumplimiento y desempeño, ya que son parte de varias unidades organizativas y también pueden ser responsables de diversas actividades relacionadas con el cumplimiento y las operaciones de la organización.

El personal y los gerentes subalternos pueden participar en la evaluación de los controles dentro de su propia unidad organizacional mediante una autoevaluación de controles .

Monitoreo continuo de controles

Los avances en tecnología y análisis de datos han llevado al desarrollo de numerosas herramientas que pueden evaluar automáticamente la eficacia de los controles internos. Utilizado junto con la auditoría continua , el monitoreo continuo de los controles proporciona seguridad sobre la información financiera que fluye a través de los procesos comerciales.

Normas de auditoría

Existen leyes y regulaciones sobre control interno relacionado con la información financiera en varias jurisdicciones. En EE.UU. estas regulaciones están específicamente establecidas por las Secciones 404 y 302 de la Ley Sarbanes-Oxley . La orientación sobre la auditoría de estos controles se especifica en

• SSAE No. 18 publicada por el Instituto Americano de Contadores Públicos Certificados (AICPA)
• Norma de Auditoría No. 5 publicada por la Junta de Supervisión de Contabilidad de Empresas Públicas (PCAOB)
• Orientación de la SEC que se analiza con más detalle en la evaluación de riesgos de arriba hacia abajo SOX 404 .

Limitaciones

El control interno puede proporcionar una seguridad razonable, no absoluta, de que se cumplirán los objetivos de una organización. El concepto de seguridad razonable implica un alto grado de seguridad, limitado por los costos y beneficios de establecer procedimientos de control incrementales.

Un control interno eficaz implica que la organización genera informes financieros confiables y cumple sustancialmente con las leyes y regulaciones que le aplican. Sin embargo, el hecho de que una organización alcance sus objetivos operativos y estratégicos puede depender de factores externos a la empresa, como la competencia o la innovación tecnológica. Estos factores están fuera del alcance del control interno; por lo tanto, un control interno eficaz sólo proporciona información o retroalimentación oportuna sobre el progreso hacia el logro de los objetivos operativos y estratégicos, pero no puede garantizar su logro.

Describir los controles internos

Los controles internos pueden describirse en términos de:

a) el objetivo pertinente o aseveración de los estados financieros

b) la naturaleza de la propia actividad de control.

Categorización de objetivos o afirmaciones.

Las afirmaciones son representaciones de la administración plasmadas en los estados financieros. Por ejemplo, si un estado financiero muestra un saldo de $1000 en activos fijos , esto implica que la administración afirma que los activos fijos realmente existen en la fecha de los estados financieros, cuya valoración vale exactamente $1000 (basado en el costo histórico). o valor razonable dependiendo del marco y las normas de presentación de informes) y la entidad tiene pleno derecho/obligación que surge de dichos activos (por ejemplo, si están arrendados, debe revelarse en consecuencia). Además, dichos activos fijos deben revelarse y representarse correctamente en el estado financiero de acuerdo con el marco de información financiera aplicable a la empresa.

Los controles pueden definirse contra la afirmación particular del estado financiero con la que se relacionan. Hay cinco afirmaciones de este tipo que forman el acrónimo "PERCV" (pronunciado "percibir"):

1. Presentación y divulgación: Las cuentas y divulgaciones se describen adecuadamente en los estados financieros de la organización.
2. Existencia/Ocurrencia/Validez: Sólo se procesan transacciones válidas o autorizadas.
3. Derechos y obligaciones: Los activos son los derechos de la organización y los pasivos son sus obligaciones a una fecha determinada.
4. Integridad: Todas las transacciones se procesan como debería ser.
5. Valoración: las transacciones se valoran con precisión utilizando la metodología adecuada, como un medio de cálculo o una fórmula específicos.

Por ejemplo, un objetivo de control de validez podría ser: "Los pagos se realizan únicamente por los productos y servicios recibidos autorizados". Un procedimiento de control típico sería: "El sistema de pagos compara la orden de compra, el registro de recepción y la factura del proveedor antes de autorizar el pago". La gerencia es responsable de implementar controles apropiados que se apliquen a todas las transacciones en sus áreas de responsabilidad.

Categorización de actividades

Las actividades de control también pueden explicarse por el tipo o naturaleza de la actividad. Estos incluyen (pero no se limitan a):

• Segregación de funciones : separar las funciones de autorización, custodia y mantenimiento de registros para evitar fraude o error por parte de una sola persona.
• Autorización de transacciones: revisión de transacciones particulares por parte de una persona adecuada.
• Retención de registros: mantener la documentación para fundamentar las transacciones.
• Supervisión o seguimiento de operaciones: observación o revisión de la actividad operativa en curso.
• Salvaguardias físicas: uso de cámaras, cerraduras, barreras físicas, etc. para proteger la propiedad, como el inventario de mercancías.
• Revisiones de alto nivel: análisis de los resultados reales versus objetivos o planes organizacionales, revisiones operativas periódicas y periódicas, métricas y otros indicadores clave de desempeño (KPI).
• Controles generales de TI – Controles relacionados con: a) Seguridad, para garantizar que el acceso a los sistemas y datos esté restringido al personal autorizado, como el uso de contraseñas y la revisión de los registros de acceso; y b) Gestión de cambios , para garantizar que el código del programa se controle adecuadamente, como la separación de los entornos de producción y prueba, pruebas de los cambios por parte del sistema y del usuario antes de su aceptación y controles sobre la migración del código a producción.
• Controles de aplicaciones de TI: controles sobre el procesamiento de información aplicados por aplicaciones de TI, como controles de edición para validar la entrada de datos, contabilidad de transacciones en secuencias numéricas y comparación de totales de archivos con cuentas de control.

Precisión de control

La precisión del control describe la alineación o correlación entre un procedimiento de control particular y un objetivo o riesgo de control determinado. Se dice que un control con impacto directo en el logro de un objetivo (o mitigación de un riesgo) es más preciso que uno con impacto indirecto en el objetivo o riesgo. La precisión es distinta de la suficiencia; es decir, pueden estar involucrados múltiples controles con distintos grados de precisión para lograr un objetivo de control o mitigar un riesgo.

La precisión es un factor importante al realizar una evaluación de riesgos de arriba hacia abajo SOX 404 . Después de identificar riesgos específicos de incorrección material en los informes financieros, la administración y los auditores externos deben identificar y probar controles que mitiguen los riesgos. Esto implica emitir juicios sobre la precisión y la suficiencia de los controles necesarios para mitigar los riesgos.

Los riesgos y controles pueden ser a nivel de entidad o de afirmación según la guía de la PCAOB. Los controles a nivel de entidad se identifican para abordar los riesgos a nivel de entidad. Sin embargo, normalmente se identifica una combinación de controles a nivel de entidad y a nivel de aseveración para abordar los riesgos a nivel de aseveración. La PCAOB estableció una jerarquía de tres niveles para considerar la precisión de los controles a nivel de entidad. ^[4] La orientación posterior de la PCAOB con respecto a las pequeñas empresas públicas proporcionó varios factores a considerar al evaluar la precisión. ^[5]

Tipos de políticas de control interno

El control interno juega un papel importante en la prevención y detección del fraude . ^[6] Según la Ley Sarbanes-Oxley, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Por lo general, esto implica identificar escenarios en los que podría ocurrir robo o pérdida y determinar si los procedimientos de control existentes gestionan efectivamente el riesgo a un nivel aceptable. ^[7] El riesgo de que la alta dirección pueda anular importantes controles financieros para manipular la información financiera también es un área clave de atención en la evaluación del riesgo de fraude. ^[8]

La AICPA, el IIA y la ACFE también patrocinaron una guía publicada durante 2008 que incluye un marco para ayudar a las organizaciones a gestionar su riesgo de fraude. ^[9]

Controles internos y mejora de procesos.

Los controles se pueden evaluar y mejorar para que una operación comercial funcione de manera más efectiva y eficiente. Por ejemplo, automatizar controles que son de naturaleza manual puede ahorrar costos y mejorar el procesamiento de transacciones. Si los ejecutivos consideran que el sistema de control interno es sólo un medio para prevenir el fraude y cumplir con las leyes y regulaciones, se puede perder una oportunidad importante. Los controles internos también se pueden utilizar para mejorar sistemáticamente las empresas, particularmente en lo que respecta a la eficacia y la eficiencia.

Ver también

• jefe ejecutivo de auditoria
• Tres líneas de defensa

Referencias

1. Barnet Council, Key Financial Controls, publicado en marzo de 2016, consultado el 29 de enero de 2020
2. "Orientación de la Comisión sobre el informe de la administración sobre el control interno de los informes financieros según la sección 13 (a) o 15 (d) de la Ley de Bolsa de Valores de 1934" (PDF) . Guía interpretativa de la SEC . Comisión Nacional del Mercado de Valores. 20 de junio de 2007.
3. Matti Mattila: el modelo ECAR Archivado el 31 de octubre de 2007 en Wayback Machine .
4. "Norma de auditoría n.º 5: una auditoría del control interno de los informes financieros que se integra con una auditoría de los estados financieros". Junta de Supervisión Contable de Empresas Públicas . Consultado el 24 de enero de 2014 .
5. "Orientación para auditores de empresas públicas más pequeñas" (PDF) . Junta de Supervisión Contable de las Empresas Públicas. 23 de enero de 2009.
6. Rezaee, Zabihollah. Fraude en estados financieros: prevención y detección. Nueva York: Wiley; 2002.
7. «Gestión de Programas y Controles Antifraude» (PDF) . Instituto Americano de Contadores Públicos Certificados. Archivado desde el original (PDF) el 28 de junio de 2007 . Consultado el 25 de junio de 2007 .
8. "Anulación de controles internos por parte de la administración" (PDF) . Instituto Americano de Contadores Públicos Certificados. 2005. Archivado desde el original (PDF) el 27 de septiembre de 2007 . Consultado el 25 de junio de 2007 .
9. "Gestión del riesgo empresarial de fraude: una guía práctica" (PDF) . Instituto Americano de Contadores Públicos Certificados . Consultado el 24 de enero de 2014 .^{[ enlace muerto permanente ]}

enlaces externos

• Organización de Entidades Fiscalizadoras Superiores (INTOSAI) ^{[ enlace muerto permanente ]}
• Comité de Organizaciones Patrocinadoras de la Comisión Treadway: Control Interno – Marco Integrado (1992)
• Asociación de Control Interno del Estado de Nueva York (NYSICA)
• Rafik Ouanouki1 y Alain April (2007). "Medición de la conformidad de los procesos de TI: un requisito de Sarbanes-Oxley" (PDF) . Actas de la IWSM - Mensura 2007 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )