El control interno , tal como lo definen la contabilidad y la auditoría , es un proceso para asegurar los objetivos de una organización en cuanto a eficacia y eficiencia operativa , informes financieros confiables y cumplimiento de las leyes, regulaciones y políticas. Un concepto amplio, el control interno implica todo lo que controla los riesgos para una organización.
Es un medio por el cual se dirigen, monitorean y miden los recursos de una organización. Desempeña un papel importante en la detección y prevención del fraude y en la protección de los recursos de la organización, tanto físicos (por ejemplo, maquinaria y propiedad) como intangibles (por ejemplo, reputación o propiedad intelectual como marcas).
A nivel organizacional, los objetivos de control interno se relacionan con la confiabilidad de los informes financieros, la retroalimentación oportuna sobre el logro de metas operativas o estratégicas y el cumplimiento de las leyes y regulaciones. En el nivel de transacción específica, los controles internos se refieren a las acciones tomadas para lograr un objetivo específico (por ejemplo, cómo garantizar que los pagos de la organización a terceros sean por servicios válidos prestados). Los procedimientos de control interno reducen la variación del proceso, lo que conduce a resultados más predecibles. El control interno es un elemento clave de la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977 y la Ley Sarbanes-Oxley de 2002, que requirieron mejoras en el control interno en las corporaciones públicas de Estados Unidos. Los controles internos dentro de las entidades comerciales también se conocen como controles operativos . Los principales controles establecidos a veces se denominan "controles financieros clave" (KFC). [1]
Los controles internos han existido desde la antigüedad. En el Egipto helenístico había una administración dual, con un conjunto de burócratas encargados de recaudar impuestos y otro de supervisarlos. En la República de China , la Autoridad Supervisora (检察院; pinyin : Jiǎnchá Yùan), una de las cinco ramas del gobierno, es una agencia de investigación que supervisa las otras ramas del gobierno.
Existen muchas definiciones de control interno, ya que afecta a los diversos constituyentes (partes interesadas) de una organización de diversas maneras y en diferentes niveles de agregación.
Según el Marco Integrado de Control Interno COSO , un marco ampliamente utilizado no sólo en los Estados Unidos sino en todo el mundo, el control interno se define ampliamente como un proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, diseñado para proporcionar seguridad razonable respecto del logro de los objetivos relacionados con las operaciones, la presentación de informes y el cumplimiento.
COSO define el control interno como si tuviera cinco componentes:
La definición de COSO se relaciona con el sistema de control agregado de la organización, que se compone de muchos procedimientos de control individuales.
La SEC define los procedimientos de control discretos, o controles , como: "...un conjunto específico de políticas, procedimientos y actividades diseñadas para cumplir un objetivo. Puede existir un control dentro de una función o actividad designada en un proceso. El impacto de un control ... pueden ser de toda la entidad o específicos de un saldo de cuenta, clase de transacciones o aplicación. Los controles tienen características únicas; por ejemplo, pueden ser: conciliaciones automatizadas o manuales; autorización de revisión y aprobación; responsabilidad de los activos; prevenir o detectar errores o fraudes. Los controles dentro de un proceso pueden consistir en controles de información financiera y controles operativos (es decir, aquellos diseñados para lograr objetivos operativos)". [2]
De manera más general, el establecimiento de objetivos, presupuestos, planes y otras expectativas establece criterios de control. El control en sí existe para mantener el desempeño o un estado de cosas dentro de lo esperado, permitido o aceptado. El control construido dentro de un proceso es de naturaleza interna. Se lleva a cabo con una combinación de componentes interrelacionados, como el entorno social que afecta el comportamiento de los empleados, la información necesaria para el control y las políticas y procedimientos. La estructura de control interno es un plan que determina cómo el control interno consta de estos elementos. [3]
Los conceptos de gobierno corporativo también dependen en gran medida de la necesidad de controles internos. Los controles internos ayudan a garantizar que los procesos funcionen según lo diseñado y que se lleven a cabo respuestas al riesgo (tratamientos de riesgo) en la gestión de riesgos (COSO II). Además, es necesario que existan circunstancias que garanticen que los procedimientos antes mencionados se realizarán según lo previsto: actitudes correctas, integridad y competencia, y seguimiento por parte de los gerentes.
Según el Marco COSO, todos en una organización tienen responsabilidad por el control interno hasta cierto punto. Prácticamente todos los empleados producen información utilizada en el sistema de control interno o toman otras acciones necesarias para afectar el control. Además, todo el personal debe ser responsable de comunicar a los niveles superiores problemas en las operaciones, incumplimiento del código de conducta u otras violaciones de políticas o acciones ilegales. Cada entidad importante en el gobierno corporativo tiene un papel particular que desempeñar:
El director ejecutivo (el máximo directivo) de la organización tiene la responsabilidad general de diseñar e implementar un control interno eficaz. Más que cualquier otro individuo, el director ejecutivo establece el " tono en la cima " que afecta la integridad y la ética y otros factores de un ambiente de control positivo. En una empresa grande, el director ejecutivo cumple con este deber brindando liderazgo y dirección a los altos directivos y revisando la forma en que controlan el negocio. Los altos directivos, a su vez, asignan la responsabilidad del establecimiento de políticas y procedimientos de control interno más específicos al personal responsable de las funciones de la unidad. En una entidad más pequeña, la influencia del director ejecutivo, a menudo un propietario-gerente, suele ser más directa. En cualquier caso, en una responsabilidad en cascada, un gerente es efectivamente el director ejecutivo de su esfera de responsabilidad. De particular importancia son los funcionarios financieros y su personal, cuyas actividades de control atraviesan, así como hacia arriba y hacia abajo, las unidades operativas y otras unidades de una empresa.
La administración rinde cuentas ante la junta directiva, que proporciona gobernanza, orientación y supervisión. Los miembros eficaces de la junta directiva son objetivos, capaces e curiosos. También tienen conocimiento de las actividades y el entorno de la entidad y dedican el tiempo necesario para cumplir con sus responsabilidades en el directorio. La dirección puede estar en condiciones de anular los controles e ignorar o reprimir las comunicaciones de los subordinados, lo que permite que una dirección deshonesta que tergiversa intencionalmente los resultados cubra sus huellas. Una junta fuerte y activa, particularmente cuando se combina con canales de comunicación ascendentes efectivos y funciones financieras, legales y de auditoría interna capaces, suele ser la más capacitada para identificar y corregir dicho problema.
Los auditores internos y auditores externos de la organización también miden la eficacia del control interno a través de sus esfuerzos. Evalúan si los controles están diseñados e implementados adecuadamente y funcionan de manera efectiva, y hacen recomendaciones sobre cómo mejorar el control interno. También podrán revisar los controles de tecnología de la información , que se relacionan con los sistemas de TI de la organización. Para proporcionar una seguridad razonable de que los controles internos involucrados en el proceso de presentación de informes financieros son efectivos, son probados por el auditor externo (los contadores públicos de la organización), a quienes se les exige opinar sobre los controles internos de la empresa y la confiabilidad de sus informes financieros.
El papel y las responsabilidades del comité de auditoría, en términos generales, son: (a) Discutir con la gerencia, los auditores internos y externos y las principales partes interesadas la calidad y adecuación del sistema de controles internos y el proceso de gestión de riesgos de la organización, y su efectividad y resultados y reunirse periódicamente y en privado con el Director de Auditoría Interna; (b) Revisar y discutir con la gerencia y los auditores externos y aprobar los estados financieros auditados de la organización y hacer una recomendación con respecto a la inclusión de esos estados financieros en cualquier archivo público. También revisar con la gerencia y el auditor independiente el efecto de las iniciativas regulatorias y contables, así como las cuestiones fuera de balance en los estados financieros de la organización; (c) Revisar y discutir con la gerencia los tipos de información que se divulgarán y los tipos de presentaciones que se realizarán con respecto al comunicado de prensa de ganancias de la compañía y la información financiera y la guía de ganancias proporcionada a analistas y agencias de calificación; (d) Confirmar el alcance de las auditorías que deben realizar los auditores externos e internos, monitorear el progreso y revisar los resultados y revisar los honorarios y gastos. Revisar hallazgos significativos o informes de auditoría interna insatisfactorios, o problemas o dificultades de auditoría encontrados por el auditor externo independiente. Monitorear la respuesta de la gerencia a todos los hallazgos de la auditoría; (e) Gestionar quejas relativas a contabilidad, controles contables internos o cuestiones de auditoría; (f) Recibir informes periódicos del director ejecutivo, del director financiero y de los demás comités de control de la empresa sobre deficiencias en el diseño u operación de los controles internos y cualquier fraude que involucre a la gerencia u otros empleados con un papel importante en los controles internos; y (g) Apoyar a la gerencia en la resolución de conflictos de intereses. Supervisar la idoneidad de los controles internos de la organización y garantizar que se actúe en todos los casos de fraude.
Las funciones y responsabilidades de los beneficios del personal, en términos generales, son: (a) Aprobar y supervisar la administración del Programa de Compensación de Ejecutivos de la empresa; (b) Revisar y aprobar asuntos de remuneración específicos para el director ejecutivo, el director de operaciones (si corresponde), el director financiero, el asesor general, el funcionario superior de recursos humanos, el tesorero, el director, las relaciones corporativas y la gestión, y los directores de la empresa; (c) Revisar, según corresponda, cualquier cambio en cuestiones de compensación para los funcionarios enumerados anteriormente con la junta; y (d) Revisar y monitorear todas las actividades e informes de desempeño y cumplimiento relacionados con los recursos humanos, incluido el sistema de gestión del desempeño. También garantizan que la dirección de la organización utilice adecuadamente las medidas de desempeño relacionadas con los beneficios.
Todos los miembros del personal deben ser responsables de informar problemas de operaciones, monitorear y mejorar su desempeño, y monitorear el incumplimiento de las políticas corporativas y diversos códigos profesionales, o violaciones de políticas, estándares, prácticas y procedimientos. Sus responsabilidades particulares deben documentarse en sus archivos personales individuales. En las actividades de gestión del desempeño, participan en todas las actividades de recopilación y procesamiento de datos de cumplimiento y desempeño, ya que son parte de varias unidades organizativas y también pueden ser responsables de diversas actividades relacionadas con el cumplimiento y las operaciones de la organización.
El personal y los gerentes subalternos pueden participar en la evaluación de los controles dentro de su propia unidad organizacional mediante una autoevaluación de controles .
Los avances en tecnología y análisis de datos han llevado al desarrollo de numerosas herramientas que pueden evaluar automáticamente la eficacia de los controles internos. Utilizado junto con la auditoría continua , el monitoreo continuo de los controles proporciona seguridad sobre la información financiera que fluye a través de los procesos comerciales.
Existen leyes y regulaciones sobre control interno relacionado con la información financiera en varias jurisdicciones. En EE.UU. estas regulaciones están específicamente establecidas por las Secciones 404 y 302 de la Ley Sarbanes-Oxley . La orientación sobre la auditoría de estos controles se especifica en
El control interno puede proporcionar una seguridad razonable, no absoluta, de que se cumplirán los objetivos de una organización. El concepto de seguridad razonable implica un alto grado de seguridad, limitado por los costos y beneficios de establecer procedimientos de control incrementales.
Un control interno eficaz implica que la organización genera informes financieros confiables y cumple sustancialmente con las leyes y regulaciones que le aplican. Sin embargo, el hecho de que una organización alcance sus objetivos operativos y estratégicos puede depender de factores externos a la empresa, como la competencia o la innovación tecnológica. Estos factores están fuera del alcance del control interno; por lo tanto, un control interno eficaz sólo proporciona información o retroalimentación oportuna sobre el progreso hacia el logro de los objetivos operativos y estratégicos, pero no puede garantizar su logro.
Los controles internos pueden describirse en términos de:
a) el objetivo pertinente o aseveración de los estados financieros
b) la naturaleza de la propia actividad de control.
Las afirmaciones son representaciones de la administración plasmadas en los estados financieros. Por ejemplo, si un estado financiero muestra un saldo de $1000 en activos fijos , esto implica que la administración afirma que los activos fijos realmente existen en la fecha de los estados financieros, cuya valoración vale exactamente $1000 (basado en el costo histórico). o valor razonable dependiendo del marco y las normas de presentación de informes) y la entidad tiene pleno derecho/obligación que surge de dichos activos (por ejemplo, si están arrendados, debe revelarse en consecuencia). Además, dichos activos fijos deben revelarse y representarse correctamente en el estado financiero de acuerdo con el marco de información financiera aplicable a la empresa.
Los controles pueden definirse contra la afirmación particular del estado financiero con la que se relacionan. Hay cinco afirmaciones de este tipo que forman el acrónimo "PERCV" (pronunciado "percibir"):
Por ejemplo, un objetivo de control de validez podría ser: "Los pagos se realizan únicamente por los productos y servicios recibidos autorizados". Un procedimiento de control típico sería: "El sistema de pagos compara la orden de compra, el registro de recepción y la factura del proveedor antes de autorizar el pago". La gerencia es responsable de implementar controles apropiados que se apliquen a todas las transacciones en sus áreas de responsabilidad.
Las actividades de control también pueden explicarse por el tipo o naturaleza de la actividad. Estos incluyen (pero no se limitan a):
La precisión del control describe la alineación o correlación entre un procedimiento de control particular y un objetivo o riesgo de control determinado. Se dice que un control con impacto directo en el logro de un objetivo (o mitigación de un riesgo) es más preciso que uno con impacto indirecto en el objetivo o riesgo. La precisión es distinta de la suficiencia; es decir, pueden estar involucrados múltiples controles con distintos grados de precisión para lograr un objetivo de control o mitigar un riesgo.
La precisión es un factor importante al realizar una evaluación de riesgos de arriba hacia abajo SOX 404 . Después de identificar riesgos específicos de incorrección material en los informes financieros, la administración y los auditores externos deben identificar y probar controles que mitiguen los riesgos. Esto implica emitir juicios sobre la precisión y la suficiencia de los controles necesarios para mitigar los riesgos.
Los riesgos y controles pueden ser a nivel de entidad o de afirmación según la guía de la PCAOB. Los controles a nivel de entidad se identifican para abordar los riesgos a nivel de entidad. Sin embargo, normalmente se identifica una combinación de controles a nivel de entidad y a nivel de aseveración para abordar los riesgos a nivel de aseveración. La PCAOB estableció una jerarquía de tres niveles para considerar la precisión de los controles a nivel de entidad. [4] La orientación posterior de la PCAOB con respecto a las pequeñas empresas públicas proporcionó varios factores a considerar al evaluar la precisión. [5]
El control interno juega un papel importante en la prevención y detección del fraude . [6] Según la Ley Sarbanes-Oxley, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Por lo general, esto implica identificar escenarios en los que podría ocurrir robo o pérdida y determinar si los procedimientos de control existentes gestionan efectivamente el riesgo a un nivel aceptable. [7] El riesgo de que la alta dirección pueda anular importantes controles financieros para manipular la información financiera también es un área clave de atención en la evaluación del riesgo de fraude. [8]
La AICPA, el IIA y la ACFE también patrocinaron una guía publicada durante 2008 que incluye un marco para ayudar a las organizaciones a gestionar su riesgo de fraude. [9]
Los controles se pueden evaluar y mejorar para que una operación comercial funcione de manera más efectiva y eficiente. Por ejemplo, automatizar controles que son de naturaleza manual puede ahorrar costos y mejorar el procesamiento de transacciones. Si los ejecutivos consideran que el sistema de control interno es sólo un medio para prevenir el fraude y cumplir con las leyes y regulaciones, se puede perder una oportunidad importante. Los controles internos también se pueden utilizar para mejorar sistemáticamente las empresas, particularmente en lo que respecta a la eficacia y la eficiencia.
{{cite web}}
: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )