El control interno , tal como lo definen la contabilidad y la auditoría , es un proceso para asegurar los objetivos de una organización en cuanto a eficacia y eficiencia operativa , informes financieros confiables y cumplimiento de leyes, regulaciones y políticas. El control interno es un concepto amplio que involucra todo aquello que controla los riesgos de una organización.
Es un medio por el cual se dirigen, monitorean y miden los recursos de una organización. Desempeña un papel importante en la detección y prevención del fraude y en la protección de los recursos de la organización, tanto físicos (por ejemplo, maquinaria y propiedad) como intangibles (por ejemplo, reputación o propiedad intelectual como marcas registradas).
A nivel organizacional, los objetivos de control interno se relacionan con la confiabilidad de los informes financieros, la retroalimentación oportuna sobre el logro de los objetivos operativos o estratégicos y el cumplimiento de las leyes y regulaciones. A nivel de transacción específica, los controles internos se refieren a las acciones tomadas para lograr un objetivo específico (por ejemplo, cómo asegurar que los pagos de la organización a terceros sean por servicios válidos prestados). Los procedimientos de control interno reducen la variación del proceso, lo que conduce a resultados más predecibles. El control interno es un elemento clave de la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977 y la Ley Sarbanes-Oxley de 2002, que exigieron mejoras en el control interno en las corporaciones públicas de los Estados Unidos. Los controles internos dentro de las entidades comerciales también se conocen como controles operativos . Los principales controles establecidos a veces se denominan "controles financieros clave" (KFC). [1]
Los controles internos existen desde la antigüedad. En el Egipto helenístico existía una administración dual, con un grupo de burócratas encargados de recaudar impuestos y otro de supervisarlos. En la República de China , la Autoridad de Supervisión (检察院; pinyin : Jiǎnchá Yùan), una de las cinco ramas del gobierno, es un organismo de investigación que supervisa a las demás ramas del gobierno.
Existen muchas definiciones de control interno, ya que afecta a los distintos grupos de interés (partes interesadas) de una organización de diversas maneras y en diferentes niveles de agregación.
Según el Marco Integrado de Control Interno COSO , un marco ampliamente utilizado no sólo en los Estados Unidos sino en todo el mundo, el control interno se define ampliamente como un proceso, efectuado por la junta directiva, la gerencia y otro personal de una entidad, diseñado para proporcionar una seguridad razonable respecto del logro de los objetivos relacionados con las operaciones, los informes y el cumplimiento.
COSO define el control interno como un conjunto de cinco componentes:
La definición de COSO se relaciona con el sistema de control agregado de la organización, que se compone de muchos procedimientos de control individuales.
La SEC define los procedimientos de control discretos, o controles , como: "...un conjunto específico de políticas, procedimientos y actividades diseñadas para cumplir un objetivo. Un control puede existir dentro de una función o actividad designada en un proceso. El impacto de un control... puede ser a nivel de toda la entidad o específico para un saldo de cuenta, una clase de transacciones o una aplicación. Los controles tienen características únicas; por ejemplo, pueden ser: automatizados o manuales; conciliaciones; segregación de funciones; autorizaciones de revisión y aprobación; salvaguarda y rendición de cuentas de activos; prevención o detección de errores o fraudes. Los controles dentro de un proceso pueden consistir en controles de informes financieros y controles operativos (es decir, aquellos diseñados para lograr objetivos operativos)". [2]
En términos más generales, la fijación de objetivos, presupuestos, planes y otras expectativas establece criterios para el control. El control en sí mismo existe para mantener el desempeño o una situación dentro de lo esperado, permitido o aceptado. El control integrado en un proceso es de naturaleza interna. Se lleva a cabo con una combinación de componentes interrelacionados, como el entorno social que afecta el comportamiento de los empleados, la información necesaria para el control y las políticas y procedimientos. La estructura de control interno es un plan que determina cómo se compone el control interno de estos elementos. [3]
Los conceptos de gobierno corporativo también dependen en gran medida de la necesidad de controles internos. Los controles internos ayudan a garantizar que los procesos funcionen según lo previsto y que se lleven a cabo las respuestas a los riesgos (tratamientos de riesgos) en la gestión de riesgos (COSO II). Además, deben existir circunstancias que garanticen que los procedimientos antes mencionados se llevarán a cabo según lo previsto: actitudes correctas, integridad y competencia, y supervisión por parte de los gerentes.
Según el marco COSO, todos los miembros de una organización tienen alguna responsabilidad por el control interno. Prácticamente todos los empleados producen información que se utiliza en el sistema de control interno o toman otras medidas necesarias para afectar el control. Además, todo el personal debería ser responsable de comunicar a los directivos superiores los problemas en las operaciones, el incumplimiento del código de conducta u otras violaciones de políticas o acciones ilegales. Cada entidad importante en la gobernanza corporativa tiene un papel particular que desempeñar:
El director ejecutivo (el gerente superior) de la organización tiene la responsabilidad general de diseñar e implementar un control interno eficaz. Más que cualquier otra persona, el director ejecutivo marca el " tono desde arriba " que afecta a la integridad, la ética y otros factores de un entorno de control positivo. En una gran empresa, el director ejecutivo cumple con este deber proporcionando liderazgo y dirección a los gerentes superiores y revisando la forma en que controlan el negocio. Los gerentes superiores, a su vez, asignan la responsabilidad de establecer políticas y procedimientos de control interno más específicos al personal responsable de las funciones de la unidad. En una entidad más pequeña, la influencia del director ejecutivo, a menudo un gerente propietario, suele ser más directa. En cualquier caso, en una responsabilidad en cascada, un gerente es efectivamente un director ejecutivo de su esfera de responsabilidad. De particular importancia son los directores financieros y su personal, cuyas actividades de control se extienden a lo largo y ancho de las unidades operativas y de otro tipo de una empresa.
La dirección es responsable ante el consejo de administración, que se encarga de la gobernanza, la orientación y la supervisión. Los miembros eficaces del consejo son objetivos, capaces e inquisitivos. También conocen las actividades y el entorno de la entidad y dedican el tiempo necesario para cumplir con sus responsabilidades en el consejo. La dirección puede estar en posición de pasar por alto los controles e ignorar o reprimir las comunicaciones de los subordinados, lo que permite una gestión deshonesta que tergiversa intencionalmente los resultados para ocultar sus huellas. Un consejo fuerte y activo, en particular cuando se combina con canales de comunicación ascendentes eficaces y funciones financieras, legales y de auditoría interna competentes, suele ser el más capacitado para identificar y corregir este tipo de problemas.
Los auditores internos y externos de la organización también miden la eficacia del control interno a través de sus esfuerzos. Evalúan si los controles están diseñados adecuadamente, implementados y funcionando de manera eficaz, y hacen recomendaciones sobre cómo mejorar el control interno. También pueden revisar los controles de tecnología de la información , que se relacionan con los sistemas de TI de la organización. Para proporcionar una seguridad razonable de que los controles internos involucrados en el proceso de presentación de informes financieros son efectivos, son probados por el auditor externo (los contadores públicos de la organización), quienes deben opinar sobre los controles internos de la empresa y la confiabilidad de sus informes financieros.
El papel y las responsabilidades del comité de auditoría, en términos generales, son: (a) Discutir con la administración, auditores internos y externos y partes interesadas principales la calidad y adecuación del sistema de control interno y el proceso de gestión de riesgos de la organización, y su eficacia y resultados, y reunirse regularmente y en privado con el Director de Auditoría Interna; (b) Revisar y discutir con la administración y los auditores externos y aprobar los estados financieros auditados de la organización y hacer una recomendación sobre la inclusión de esos estados financieros en cualquier presentación pública. También revisar con la administración y el auditor independiente el efecto de las iniciativas regulatorias y contables, así como las cuestiones fuera de balance en los estados financieros de la organización; (c) Revisar y discutir con la administración los tipos de información que se deben divulgar y los tipos de presentaciones que se deben hacer con respecto al comunicado de prensa de ganancias de la compañía y la información financiera y la guía de ganancias proporcionada a los analistas y agencias de calificación; (d) Confirmar el alcance de las auditorías que deben realizar los auditores externos e internos, monitorear el progreso y revisar los resultados y revisar los honorarios y gastos. Revisar los hallazgos significativos o los informes insatisfactorios de auditoría interna, o los problemas o dificultades de auditoría encontrados por el auditor externo independiente. Monitorear la respuesta de la gerencia a todos los hallazgos de auditoría; (e) Gestionar las quejas relacionadas con contabilidad, controles contables internos o asuntos de auditoría; (f) Recibir informes regulares del director ejecutivo, director financiero y otros comités de control de la empresa sobre deficiencias en el diseño u operación de los controles internos y cualquier fraude que involucre a la gerencia u otros empleados con un papel significativo en los controles internos; y (g) Apoyar a la gerencia en la resolución de conflictos de interés. Monitorear la suficiencia de los controles internos de la organización y asegurar que se tomen medidas en todos los casos de fraude.
El rol y las responsabilidades del personal de beneficios, en términos generales, son: (a) Aprobar y supervisar la administración del Programa de Compensación Ejecutiva de la compañía; (b) Revisar y aprobar asuntos específicos de compensación para el director ejecutivo, director de operaciones (si corresponde), director financiero, asesor general, oficial superior de recursos humanos, tesorero, director, relaciones corporativas y administración, y directores de la compañía; (c) Revisar, según corresponda, cualquier cambio en asuntos de compensación para los funcionarios enumerados anteriormente con el directorio; y (d) Revisar y monitorear todas las actividades e informes de desempeño y cumplimiento relacionados con los recursos humanos, incluido el sistema de gestión del desempeño. También se aseguran de que las medidas de desempeño relacionadas con los beneficios sean utilizadas adecuadamente por la administración de la organización.
Todos los miembros del personal deben ser responsables de informar sobre los problemas de las operaciones, supervisar y mejorar su desempeño y controlar el incumplimiento de las políticas corporativas y los diversos códigos profesionales, o las violaciones de las políticas, normas, prácticas y procedimientos. Sus responsabilidades particulares deben estar documentadas en sus expedientes personales. En las actividades de gestión del desempeño, participan en todas las actividades de recopilación y procesamiento de datos sobre cumplimiento y desempeño, ya que forman parte de varias unidades organizativas y también pueden ser responsables de diversas actividades relacionadas con el cumplimiento y las operaciones de la organización.
El personal y los gerentes subalternos pueden participar en la evaluación de los controles dentro de su propia unidad organizacional utilizando una autoevaluación de controles .
Los avances en tecnología y análisis de datos han llevado al desarrollo de numerosas herramientas que pueden evaluar automáticamente la eficacia de los controles internos. Utilizado en conjunto con la auditoría continua , el monitoreo continuo de los controles brinda seguridad sobre la información financiera que fluye a través de los procesos de negocios.
Existen leyes y reglamentos sobre control interno relacionados con la presentación de informes financieros en varias jurisdicciones. En los EE. UU., estos reglamentos están establecidos específicamente en las Secciones 404 y 302 de la Ley Sarbanes-Oxley . La guía sobre auditoría de estos controles se especifica en
El control interno puede proporcionar una seguridad razonable, no absoluta, de que se cumplirán los objetivos de una organización. El concepto de seguridad razonable implica un alto grado de seguridad, limitado por los costos y beneficios de establecer procedimientos de control incrementales.
Un control interno eficaz implica que la organización genera información financiera fiable y cumple en gran medida con las leyes y regulaciones que le son aplicables. Sin embargo, el logro de los objetivos operativos y estratégicos por parte de una organización puede depender de factores externos a la empresa, como la competencia o la innovación tecnológica. Estos factores quedan fuera del alcance del control interno; por lo tanto, un control interno eficaz sólo proporciona información o retroalimentación oportuna sobre el progreso hacia el logro de los objetivos operativos y estratégicos, pero no puede garantizar su consecución.
Los controles internos pueden describirse en términos de:
a) el objetivo pertinente o la afirmación del estado financiero
b) la naturaleza de la propia actividad de control.
Las afirmaciones son manifestaciones de la dirección incorporadas en los estados financieros. Por ejemplo, si un estado financiero muestra un saldo de $1000 en activos fijos , esto implica que la dirección afirma que los activos fijos realmente existen a la fecha de los estados financieros, cuya valuación es exactamente de $1000 (según el costo histórico o el valor razonable, según el marco de información y las normas) y que la entidad tiene pleno derecho/obligación que surge de dichos activos (por ejemplo, si están arrendados, se debe revelar en consecuencia). Además, dichos activos fijos deben revelarse y representarse correctamente en el estado financiero de acuerdo con el marco de información financiera aplicable a la empresa.
Los controles pueden definirse en relación con la afirmación del estado financiero en particular a la que se refieren. Hay cinco afirmaciones de este tipo que forman el acrónimo "PERCV" (que se pronuncia "percibir"):
Por ejemplo, un objetivo de control de validez podría ser: "Los pagos se realizan únicamente por los productos y servicios autorizados recibidos". Un procedimiento de control típico sería: "El sistema de pagos compara la orden de compra, el registro de recepción y la factura del proveedor antes de autorizar el pago". La gerencia es responsable de implementar controles adecuados que se apliquen a todas las transacciones en sus áreas de responsabilidad.
Las actividades de control también pueden explicarse por el tipo o la naturaleza de la actividad. Estas incluyen (sin limitarse a ello):
La precisión del control describe la alineación o correlación entre un procedimiento de control particular y un objetivo de control o riesgo determinado. Se dice que un control con un impacto directo en el logro de un objetivo (o mitigación de un riesgo) es más preciso que uno con un impacto indirecto en el objetivo o riesgo. La precisión es distinta de la suficiencia; es decir, pueden estar involucrados múltiples controles con distintos grados de precisión en el logro de un objetivo de control o la mitigación de un riesgo.
La precisión es un factor importante a la hora de realizar una evaluación de riesgos descendente según SOX 404. Después de identificar riesgos específicos de inexactitudes materiales en los informes financieros, la dirección y los auditores externos deben identificar y probar los controles que mitiguen los riesgos. Esto implica emitir juicios sobre la precisión y la suficiencia de los controles necesarios para mitigar los riesgos.
Los riesgos y controles pueden ser a nivel de entidad o a nivel de afirmación, según las directrices del PCAOB. Los controles a nivel de entidad se identifican para abordar los riesgos a nivel de entidad. Sin embargo, normalmente se identifica una combinación de controles a nivel de entidad y a nivel de afirmación para abordar los riesgos a nivel de afirmación. El PCAOB estableció una jerarquía de tres niveles para considerar la precisión de los controles a nivel de entidad. [4] Las directrices posteriores del PCAOB con respecto a las pequeñas empresas públicas proporcionaron varios factores a considerar para evaluar la precisión. [5]
El control interno desempeña un papel importante en la prevención y detección del fraude . [6] Según la Ley Sarbanes-Oxley, las empresas deben realizar una evaluación del riesgo de fraude y evaluar los controles relacionados. Esto normalmente implica identificar escenarios en los que podrían producirse robos o pérdidas y determinar si los procedimientos de control existentes gestionan eficazmente el riesgo a un nivel aceptable. [7] El riesgo de que la alta dirección pueda pasar por alto importantes controles financieros para manipular los informes financieros también es un área clave en la que se centra la atención en la evaluación del riesgo de fraude. [8]
La AICPA, el IIA y la ACFE también patrocinaron una guía publicada durante 2008 que incluye un marco para ayudar a las organizaciones a gestionar su riesgo de fraude. [9]
Los controles se pueden evaluar y mejorar para que las operaciones de una empresa funcionen de manera más eficaz y eficiente. Por ejemplo, la automatización de controles que son manuales por naturaleza puede ahorrar costos y mejorar el procesamiento de transacciones. Si los ejecutivos consideran que el sistema de control interno es solo un medio para prevenir el fraude y cumplir con las leyes y regulaciones, pueden perder una oportunidad importante. Los controles internos también se pueden utilizar para mejorar sistemáticamente las empresas, en particular en lo que respecta a la eficacia y la eficiencia.
{{cite web}}
: CS1 maint: nombres numéricos: lista de autores ( enlace )