Un control a nivel de entidad es un control que ayuda a garantizar que se lleven a cabo las directivas de gestión que afectan a toda la entidad. Estos controles son el segundo nivel [ aclaración necesaria ] para comprender los riesgos de una organización. En general, entidad se refiere a toda la empresa.
Regulación en torno a los controles a nivel de entidad
Ley Sarbanes-Oxley de 2002
Como resultado de varios escándalos contables y de auditoría, el Congreso aprobó la Ley Sarbanes-Oxley de 2002. La sección 404 de la ley exige que la dirección de la empresa evalúe e informe sobre la eficacia del control interno de la empresa . También exige que el auditor independiente de la empresa dé fe de las revelaciones de la dirección sobre la eficacia del control interno. La ley también creó la Junta de Supervisión Contable de Empresas Públicas (PCAOB). [1]
Norma de auditoría 2201 de la PCAOB
La Junta de Supervisión de Contabilidad de Empresas Públicas (PCAOB) se convirtió en el principal regulador de las auditorías de las empresas que cotizan en bolsa. [2] En junio de 2007, la PCAOB adoptó la Norma de Auditoría 2201 (reemplaza a la AS N.° 5). [3] Esta norma contiene los estándares para realizar una auditoría del control interno sobre los informes financieros que se integra con una auditoría de los estados financieros.
El auditor debe probar los controles a nivel de entidad que son importantes para su conclusión sobre si la empresa tiene un control interno eficaz sobre los informes financieros . Según la evaluación que haga el auditor sobre la eficacia de los controles a nivel de entidad, el auditor puede aumentar o disminuir la cantidad de pruebas que realizará.
Los controles a nivel de entidad varían mucho en naturaleza y precisión. Su efecto sobre el plan de auditoría varía según su precisión.
Controles comunes a nivel de entidad
Evaluación de controles a nivel de entidad
Evaluación del auditor
Los controles a nivel de entidad, junto con todos los demás controles internos, deben ser evaluados por auditores independientes de acuerdo con la norma SAS 109 (AU 314) emitida por el AICPA . La norma SAS 109 estipula que "los auditores deben obtener un conocimiento de los cinco componentes del control interno suficiente para evaluar el riesgo de incorrección material de los estados financieros, ya sea debido a error o fraude, y para diseñar la naturaleza, el momento y el alcance de los procedimientos de auditoría posteriores". [4]
La información obtenida al comprender los cinco componentes del control interno debe utilizarse para hacer lo siguiente:
- Identificar tipos de posibles inexactitudes
- Considere los factores que afectan los riesgos de incorrección material
- Pruebas de diseño de controles, cuando corresponda, y procedimientos sustantivos
Los controles a nivel de entidad generalmente se incluyen en las pruebas.
Marco integrado de control interno COSO
Los cinco componentes del control interno mencionados anteriormente se refieren a las cinco partes del marco COSO . [5] El marco ofrece a los auditores una forma de evaluar los controles de una entidad.
Los cinco componentes son:
- Entorno de control
- Evaluación de riesgos
- Información y comunicación
- Actividades de control
- Escucha
Los controles a nivel de entidad a menudo encajan en uno o más de los cinco componentes COSO.
Evaluación de la dirección
Hay cuatro pasos básicos que la administración puede utilizar para evaluar los controles a nivel de entidad: [ cita requerida ]
- Identificar riesgos
- Utilice un enfoque de arriba hacia abajo para identificar y categorizar el riesgo.
- Identificar controles a nivel de entidad y vincularlos con los riesgos
- Examine los controles actuales a nivel de entidad para determinar qué controles se han puesto en funcionamiento. Además, identifique los controles importantes a nivel de entidad que pueden faltar en el marco actual. Luego, vincule los controles a nivel de entidad que mejor se adapten a los riesgos identificados.
- Evaluar el diseño y la eficacia operativa de los controles a nivel de entidad
- Determinar la eficacia con la que cada control a nivel de entidad aborda los riesgos identificados considerando, entre otras cosas: la sensibilidad; la competencia del revisor, la frecuencia y la consistencia de la operación del control; si el control es confiable y repetible; y si se están llevando a cabo medidas apropiadas de revisión y seguimiento.
- Aprovechar los controles a nivel de entidad según corresponda para mitigar los riesgos
- Al aprovechar controles sólidos a nivel de entidad, la administración podrá desarrollar una estrategia de evaluación de controles más efectiva y eficiente.
Definiciones de controles a nivel de entidad seleccionados organizados en el marco COSO
Entorno de control
- Código de conducta
- Normas que la organización acepta voluntariamente cumplir. Por ejemplo, el código de conducta de la empresa podría incluir una política que prohíba a los empleados aceptar regalos de los proveedores.
- Gobernancia
- Un mecanismo para supervisar cómo la dirección utiliza eficientemente los recursos de una organización, con énfasis en la transparencia y la rendición de cuentas.
- Asignación de autoridad y responsabilidad
- El término "autoridad" se refiere al derecho de realizar las actividades de la organización. El término "responsabilidad" se refiere a la obligación de realizar las actividades asignadas. Es importante para el logro de los objetivos de control que las autoridades y responsabilidades sean coherentes con los objetivos de sus actividades comerciales y se asignen al personal apropiado.
- Prácticas de contratación y retención
- La contratación y retención de recursos calificados es fundamental para el éxito de una organización. Las políticas y los procedimientos en torno a la definición de puestos, el reclutamiento, la capacitación, la evaluación del desempeño, los programas de retención de empleados y la gestión de las salidas de empleados son componentes importantes de la gestión de los recursos humanos.
- Prevención de fraudes Prevención/Detección Controles y procedimientos analíticos
- Se refiere a los controles y procedimientos antifraude que utiliza la dirección para prevenir, detectar y mitigar el fraude. Algunos ejemplos pueden ser la segregación de funciones, la creación de una línea directa de ética y la rotación periódica de puestos de trabajo.
Evaluación de riesgos
- Metodología de evaluación de riesgos
- Un enfoque sistemático para identificar, evaluar y priorizar los riesgos.
- Técnicas analíticas de evaluación de riesgos
- Las técnicas analíticas, si se utilizan adecuadamente, pueden servir como herramienta en el proceso de evaluación de riesgos. Dado que el riesgo es un resultado de la percepción, las técnicas analíticas ayudan a eliminar la subjetividad, hasta cierto punto mediante la recopilación y presentación de datos de manera sistemática para evaluar el impacto potencial y la probabilidad de ocurrencia de los riesgos.
Información y comunicación
- Comunicación interna y reportes de desempeño
- Se refiere a las líneas de comunicación que recorren la estructura de una organización, tanto de arriba hacia abajo como de abajo hacia arriba, incluida la comunicación entre pares. Los informes de desempeño son parte de la comunicación interna y, por lo general, implican un proceso bidireccional de establecimiento de expectativas y monitoreo del desempeño en relación con las expectativas acordadas.
- Ajuste de tono
- El establecimiento del tono se refiere a varios componentes del "tono desde arriba", que son los pilares que construyen el carácter de una organización. Una vez establecido el tono correcto, es igualmente importante tener canales de comunicación abiertos para que quienes están dentro y fuera de la organización lo comprendan y actúen en consecuencia. Algunos ejemplos de estos componentes del tono incluyen el código de ética y las prácticas de gobernanza corporativa.
- Informes del Comité de Auditoría y de la Junta Directiva
- Los miembros del directorio, incluidos los directores independientes, asumen responsabilidades fiduciarias que requieren que tengan acceso a información precisa y relevante. Si bien la mayoría de los países han promulgado leyes sobre la presentación de informes formales al directorio y al comité de auditoría del directorio, estas suelen constituir procedimientos y requisitos básicos. Las empresas tienen la libertad de adoptar medidas más estrictas en relación con la presentación de informes al directorio y al comité de auditoría, como celebrar reuniones formales del comité de auditoría con mayor frecuencia que la exigida por la ley.
- Comunicación externa
- Se refiere a la comunicación con los accionistas, el mercado de valores, los clientes, los reguladores, los proveedores y otras entidades fuera de los límites formales de la empresa. El informe anual es un ejemplo de comunicación externa sobre el desempeño de la empresa, los estados financieros, la visión, los objetivos y las metas.
Escucha
- Actividades de seguimiento continuo
- Revisión periódica de los procesos y controles utilizando herramientas de informes de gestión pertinentes. Por ejemplo, esto incluiría una revisión mensual de la antigüedad de las cuentas por cobrar para determinar el alcance de las reservas necesarias para las deudas de cobro dudoso.
- Mecanismo de evaluación independiente
- Utilización de especialistas o profesionales externos para revisar y evaluar los controles internos. Por ejemplo, esto podría incluir el uso de profesionales fiscales externos para revisar los controles en torno a las posiciones fiscales desarrollados por el equipo fiscal interno.
- Informes de análisis de varianza
- La comparación y la presentación de informes sobre el desempeño real en relación con parámetros de referencia predeterminados, si se utilizan adecuadamente, pueden servir como mecanismo de alerta temprana. Por ejemplo, un aumento constante de la rotación de deudores podría indicar distintos niveles de problemas relacionados con la cobranza.
- Mecanismo de remediación
- Se refiere a un enfoque sistemático para resolver problemas de control interno identificados. Si bien un problema puede identificarse mediante un mecanismo de monitoreo interno o externo, el mecanismo de solución generalmente es responsabilidad de la gerencia.
- Desencadenantes de gestión integrados en los sistemas de TI
- La mayoría de las aplicaciones empresariales configuran reglas de negocio de manera que se eviten, se requiera una aprobación previa o se alerte al personal de gestión pertinente en caso de que no se respeten determinados umbrales preestablecidos. Por ejemplo, una aplicación de ventas podría implementar un control que impida las transacciones de venta por encima del límite de crédito especificado de un cliente.
Importancia
Los controles a nivel de entidad tienen una influencia generalizada en toda la organización. Si son débiles, inadecuados o inexistentes, pueden producir debilidades materiales relacionadas con una auditoría de control interno y errores materiales en los estados financieros de la empresa. La presencia de errores materiales podría dar lugar a la recepción de una opinión adversa sobre los controles internos y una opinión con salvedades sobre los estados financieros. Los errores materiales son costosos de corregir y recibir una opinión adversa o con salvedades generalmente da como resultado una caída en el precio de las acciones de una empresa que cotiza en bolsa.
Beneficios
- Reducción de la probabilidad de un evento de riesgo negativo mediante el establecimiento y refuerzo de la infraestructura que fija la conciencia de control de la organización.
- Una amplia cobertura de riesgos sobre los informes financieros y las operaciones. Para las empresas que realizan evaluaciones de los controles internos, la presencia de controles efectivos a nivel de entidad puede contribuir a una estrategia de evaluación más eficaz y eficiente.
- Generación de eficiencias en otros procesos de negocio y operativos
- Refuerzo para todos los interesados de la importancia de los controles internos para el éxito del negocio
- Mejor comprensión de cómo se mitigan los riesgos identificados y redirigir la evaluación y otros recursos hacia áreas de riesgo prioritarias
- Mayor eficacia y eficiencia en la evaluación de riesgos y controles de la gestión.
Referencias
- ^ "Ley Sarbanes-Oxley de 2002" (PDF) . Consultado el 21 de abril de 2009 .[ enlace muerto permanente ]
- ^ "Descripción de la SEC del PCAOB". Archivado desde el original el 9 de abril de 2009. Consultado el 21 de abril de 2009 .
- ^ "Norma de auditoría n.º 5". Archivado desde el original el 2 de abril de 2019. Consultado el 5 de mayo de 2016 .
- ^ "AU 314 / SAS 109" (PDF) . Archivado desde el original (PDF) el 3 de diciembre de 2008. Consultado el 21 de abril de 2009 .
- ^ "COSO Internal Control-Integrated Framework". Archivado desde el original el 28 de febrero de 2009. Consultado el 21 de abril de 2009 .
- "Controles a nivel de entidad" (PDF) . Archivado (PDF) desde el original el 6 de julio de 2011 . Consultado el 21 de abril de 2009 .
Enlaces externos
- Sitio oficial de la PCAOB
- Comité de Organizaciones Patrocinadoras: COSO
- El Instituto Americano de Contadores Públicos Certificados
- Asociación Americana de Contabilidad
- Guía sobre la Ley Sarbanes-Oxley