You are on page 1of 57

Nuevos conceptos de Control Interno.

Informe C.O.S.O.

Maria Alejandra Marín de Guerrero

Facultad de Ciencias Económicas
Universidad Nacional de Cuyo
Mendoza
2002

PROLOGO

La finalidad del presente trabajo, que ha sido realizado en el marco de los subsidios a la
investigación científica y técnica que promueve la Asociación Cooperadora de la Facultad de
Ciencias Económicas de la Universidad Nacional de Cuyo, es brindar al alumno un marco
conceptual sobre aspectos generales del control interno, basados estos en el informe C.O.S.O.
Los cambios operados en materia de control como consecuencia de los nuevos lineamientos
dados por el informe mencionado, hacen que se presente la oportunidad de brindar a los
alumnos un texto de estudio, cuyo objetivo sea su iniciación en el uso de terminología propia de
esta temática, donde puedan apreciar el papel que juega el profesional en ciencias económica
en la implementación de procesos de control, y el aprendizaje de algunas herramientas de
control, sobre todo en materia de sistemas de información, sean éstos tradicionales ó
computadorizados.
Asimismo, se pretende que este material pueda servir de base para encarar aprendizajes más
avanzados, como es la evaluación de sistemas de control, cuyo desarrollo es responsabilidad
de otras asignaturas.
El tema desarrollado no pretende ser inédito en cuanto a su contenido, sino más bien, se trata
de lograr una recopilación de temas de una bibliografía dispersa, de carácter normativo en su
mayoría, para hacer de ella un texto de estudio.
En el capítulo I se conceptualiza el control interno, analizándose sus componentes y objetivos.
Se hace referencia a la evolución de las necesidades de la empresa en materia de control.
En el capítulo II se habla del entorno o ambiente de control. Se puntualiza aquí la importancia
de administraciones éticas y con altos valores morales. El papel protagónico de todas las
personas de la organización en su implementación y seguimiento.
El capítulo III se destina a explicar la importancia del “riesgo” como motor o impulsor de la
necesidad de control. Cómo afectan los riesgos la consecución de los objetivos de la empresa,
y la fuerte necesidad de minimizar la ocurrencia de los mismos.
Las actividades de control propiamente dichas se analizan en el Capítulo IV. Se pone especial
énfasis en aquellas involucradas al procesamiento electrónico de datos, entendiendo que el
sistema de información es un punto neurálgico en cualquier entidad.
En el capítulo V se habla de la información y comunicación como motores de identificación,
recolección, procesamiento y divulgación de datos relativos a los hechos internos y externos a
la empresa y su función como herramientas de supervisión.
En el último capítulo, y como corolario de esta temática, se hace referencia a la supervisión
como proceso destinado a evaluar que los mecanismos de control funcionen de acuerdo al
nivel de riesgo previsto. Se describe también, cómo se comunican las deficiencias detectadas
en esta materia.

2

Capítulo 1

CONTROL INTERNO

Temas que se estudian:



1.1.

Qué es el control interno
Necesidad de su aplicación
Definición y sus partes
Ventajas y limitaciones

Antecedentes. Evolución de las necesidades de la empresa en materia de
control
Si tuviésemos que caracterizar el entorno económico en el que se mueve la empresa en
la actualidad, lo podríamos hacer con una sola palabra: dinamismo. Los cambios que el
contexto está sufriendo son de tal magnitud que algunos autores hablan de una
segunda revolución industrial: el paso de la era informática a la digital. La nueva
situación a la que deben enfrentarse las empresas las obliga a desarrollar mecanismos
de adaptación y buscar nuevas maneras de operación que les permitan sobrevivir.
Los problemas y las soluciones de una empresa tienden a cambiar en la medida en que
se incrementan el número de empleados, las cifras de ventas y la complejidad de las
operaciones. Según Greiner (1972), las organizaciones que no crecen en tamaño
pueden conservar los mismos instrumentos de dirección y prácticas a lo largo de largos
periodos de tiempo. La implantación de un sistema de control interno ha adquirido
especial importancia y ha ido ampliando sus ámbitos de aplicación, en la medida en que
el incremento de la dimensión empresarial ha supuesto un distanciamiento por parte de
los propietarios, en el control día a día, de las operaciones que se producen en la
empresa.
Cuando la estructura organizativa de la empresa se caracterizaba porque propiedad y
dirección coincidían en la misma persona, tan sólo era necesaria la implantación de un
sistema de control interno en el ámbito contable con la finalidad de proteger a los
activos de pérdidas que se derivaban de errores intencionados (AICPA, 1973).
Posteriormente, y como consecuencia de una mayor complejidad de las operaciones, se
requirió la introducción de nuevas técnicas de dirección que provocaron el surgimiento

3

de directivos que conociesen e implementasen dichas técnicas. A partir de este
momento la implantación del sistema de control interno tiene como principal finalidad la
protección de los activos contra pérdidas que se deriven de errores intencionales o no
intencionales en el procesamiento de las transacciones y manejo de los activos
correspondientes.
Llegado a este punto se empieza a ver la necesidad de implantar el sistema de control
interno no sólo en el ámbito financiero-contable, sino también en el ámbito de la gestión
y dirección de manera que permita proporcionar, con una seguridad razonable, la
consecución de los objetivos específicos de la entidad (AICPA, 1988). Como
consecuencia del proceso de internacionalización, la implantación del sistema de control
interno está relacionada con aspectos particulares del management, tales como la
consecución de los objetivos, la planificación estratégica y la dirección del riesgo, así
como la realización de acciones correctivas (COCO, 1995).

1.2.

Conflicto entre propietario y directivos
El proceso de internacionalización ha significado una dispersión de la propiedad de la
empresa y la separación entre propiedad y dirección. La vinculación del propietario a la
empresa no es tan fuerte como antes, en la que los dueños estaban ligados a la
empresa a través de varias generaciones y en ella existían barreras de salida de tipo
emocional muy fuertes. La situación actual de las medianas y grandes empresas ha
hecho que en las mismas haya un proceso de despersonalización para poder atender al
volumen y complejidad de las mismas.
Existe un conflicto de intereses entre el propietario y el directivo. Los directivos tienen
una perspectiva temporal a corto plazo que se contrapone con la visión a largo plazo de
los propietarios. De esta manera, los propietarios están interesados en la obtención de
un máximo de beneficios con un nivel de riesgo razonable y en mantener las
condiciones de mercado que sean favorables para el inversionista. Los directivos, por su
parte, están interesados en la obtención del máximo beneficio durante el periodo en el
que participan en la gestión de la empresa.
Todo ello conlleva la necesidad de implantar mecanismos de control para y por la
seguridad de los propietarios y la sana gestión de los directores de la empresa.

1.3.

Nuevos modelos en el enfoque de control
Los nuevos modelos desarrollados en el campo del control, están definiendo una nueva
corriente de pensamiento, con una amplia concepción sobre la organización,
involucrando una mayor participación de la dirección, gerentes y personal en general de
los entes.
Asimismo, los modelos han sido diseñados con la esperanza de ser un fuerte soporte
del éxito de la organización, siempre que los mismos sean llevados con el criterio y la
perspicacia necesaria de parte del profesional y no mecánicamente.

4

Esto implica, a nuestro entender, un acabado conocimiento del contenido de los
modelos y una acabada comprensión del espíritu de los mismos, lo que compromete la
correcta preparación de directores, gerentes, jefes, resto de personal, auditores internos
y externos.

1.4.

Nuevas Normas
Los modelos a los cuales nos referiremos, son entre otros, el Informe COSO,
desarrollado por el “Commitee of Sponsoring Organizations of the Treadway Comisión”,
el Informe CADBURY, desarrollado por “The United Kingdom´s Cadbury Comisión” y el
Informe COCO, desarrollado por “The Canadian Criteria of Control Comité”.
Hay en sus contenidos puntos de identificación, entre los que podemos resaltar:
a) La amplitud de su definición, abarcando prácticamente todo el ámbito de la
organización.
b) Un círculo de mejoramiento continuo, comenzando por el marco ambiental, el
arco de objetivos, riesgos, controles, monitoreo y nuevamente un comienzo.
c) Se reconoce el valor del comportamiento y la actitud personal para mejorar el
esquema de funcionamiento del control.
d) Se atribuye una particular atención al concepto de responsabilidad para el
control, al ser considerada –dentro de los esquemas de control-, uno de los
conceptos que tienen mayor dificultad y mayor confusión al momento de su
definición.
e) Se valoriza la ética e integridad dentro de las organizaciones y fuera de ellas.
En su más extensa acepción, los diseños se basan fundamentalmente en:
a) Hacer lo que corresponde, cumpliendo las normas operativas diseñadas por la
empresa, lo cual tiene relación con el proceso operativo.
b) Hacer todo lo necesario para asegurar la supervivencia de la empresa,
proporcionando la factibilidad de su continuación.
c) Hacer las cosas correctas, dentro de un marco ético y de integridad.
Las diferencias se plantean en los puntos b) y c), que es donde mayores dificultades se
presentan para dar cumplimiento a los objetivos.
Con respecto a la supervivencia de las empresas, es quizás el más extraño al concepto
del control tradicional y donde se necesita el auxilio de especialidades de la
administración que hacen a la gestión de las empresas. Sin duda el control planteado
de esta manera resulta de gran similitud con muchas actividades realizadas en el ámbito
de la consultoría de administración de empresas.
También plantea dificultades al relacionarlo con el concepto de control interno
tradicional y en el marco de la responsabilidad, fuera del restringido territorio de las
auditorías, para extenderlo a territorios de las direcciones superiores y líneas
gerenciales.

5

Esta última instancia plantea la necesidad de capacitación, como una cuestión
fundamental, ya que no se podría trasladar responsabilidad sin dar la necesaria
instrucción sobre los esquemas pretendidos de control.

1.4.1. Normas IIA (Institute of Internal Auditors)

Las normas del IIA para la Práctica Profesional de Auditoría Interna hacen referencia a
un Sistema de Control Interno, definiendo:
Sistema: como un arreglo, conjunto o grupo de conceptos, partes, actividades y/o
personas que se conectan o interrelacionan para alcanzar objetivos y metas.
Control Interno: cualquier acción realizada por la gerencia para aumentar la
probabilidad de que se cumplan objetivos y metas establecidos. La gerencia libera sus
responsabilidades en materia de control interno planificando, organizando y dirigiendo el
desempeño de acciones suficientes para proporcionar una garantía razonable para el
logro de objetivos y metas.
Estas normas (IIA) establecen cinco objetivos primarios de control interno:




1.5.

La confiabilidad e integridad de la información.
Cumplimiento de políticas, planes, procedimientos, leyes y regulaciones.
El resguardo de los activos.
El uso económico y eficiente de recursos.
El logro de objetivos y metas establecidos para las operaciones o programas.

Informe COSO (Committee of Sponsoring Organizations of Treadway
Commission, National Commission on Fraudulent Financial Reporting)
A efectos de avanzar en el estudio de control interno, se ha escogido como marco de
desarrollo e investigación –de entre todos los informes y lineamientos conceptuales que
rigen esta materia- el Informe COSO.
A nivel organizacional, este documento destaca la necesidad de que la alta dirección y
el resto de la organización comprendan cabalmente la trascendencia del control interno,
la incidencia del mismo sobre los resultados de la gestión, el papel estratégico a
conceder a la auditoría y esencialmente la consideración del control como un proceso
integrado a los procesos operativos de la empresa y no como un conjunto pesado,
compuesto por mecanismos burocráticos.
A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee
cualquier discusión o problema de control interno, tanto a nivel práctico de las
empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o
legislativos, los interlocutores tengan una referencia conceptual común, lo cual hasta
ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes
que han existido sobre control interno.

6

1.5.1. ¿Quiénes elaboraron estas normas?
El grupo de trabajo estuvo constituido por representantes de:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
Financial Executive Institute (FAI)
Institute of Intenal Auditors
Institute of Management Accountants (IMA)
Las siglas COSO corresponden a Committee of Sponsoring Organizations of Treadway
Commission, National Commission on Fraudulent Financial Reporting, creada en
Estados Unidos en el año 1985, por las instituciones ya citadas, con la finalidad de
identificar los factores que originan la presentación de información falsa o fraudulenta y
emitir las recomendaciones que garantizasen la máxima transparencia informativa en tal
sentido.

1.5.2. Finalidad del informe
 Establecer una definición común de control interno que responda a las
necesidades de las distintas partes.
 Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera
sea su tamaño y naturaleza, puedan evaluar sus sistema de control interno

1.5.3. Definición de Control Interno según las normas COSO
En un sentido amplio, se define el control interno como:
Un proceso efectuado por el consejo de administración, la dirección y
el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la
consecución de objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones
 Fiabilidad de la información financiera
 Cumplimiento de las leyes y normas que sean aplicables

Análisis de la definición:

El control interno
es un proceso.

Es un conjunto de acciones estructuradas y coordinadas dirigidas
a la consecución de un fin, no es un fin en sí mismo.

7

Los procesos de negocios que se llevan a cabo dentro de las
unidades y funciones de la organización o entre las mismas, se
coordinan en función de los procesos de gestión básicos de
planificación, ejecución y supervisión. El control interno es parte
de dichos procesos y está integrado a los mismos, permitiendo su
funcionamiento adecuado y supervisando su comportamiento y
aplicabilidad en cada momento. Constituye una herramienta útil
para la gestión, pero no es un sustituto de ésta.
Esta conceptualización del control interno dista mucho de la
antigua perspectiva, que veía al control interno como un elemento
añadido a las actividades de una entidad o como una carga
inevitable impuesta por los organismos reguladores o por los
dictados de burócratas excesivamente celosos. Los controles
internos no deben ser añadidos sino incorporados a la
infraestructura de una entidad, de manera que no entorpezcan
sino que favorezcan la consecución de los objetivos de la entidad.
El hecho de “incorporarlos” permitiría identificar desviaciones en
costes en actividades operativas básicas, y además se agilizaría
el tiempo de respuesta para solucionar estas desviaciones o
costes innecesarios.

Lo llevan a cabo las
personas

Para llevar a cabo el control interno, no es suficiente poseer
manuales de políticas e impresos. Son las personas, en cada nivel
de organización, las que tienen la responsabilidad de realizarlo.
El Consejo de Administración, la dirección, y los demás miembros
de la entidad son los responsables de su implementación y
seguimiento. Lo realizan los miembros de una organización,
mediante sus actuaciones concretas. Son las personas quienes
establecen los objetivos de la entidad e implantan los mecanismos
de control.
El control interno sólo puede aportar un grado razonable de
seguridad, no la seguridad total a la dirección de una empresa, ya
que existen limitaciones que son inherentes a todos los sistemas
de control interno. Estas limitaciones se deben a que las opiniones
sobre las que se basan las decisiones en materia de control
pueden ser erróneas. Los empleados encargados del
establecimiento de controles tienen que analizar la relación
costo/beneficio de los mismos, y pueden producirse problemas en
el funcionamiento del sistema como consecuencia de fallos
humanos, aunque se trate de simples errores o equivocaciones.

8

Objetivos del
control

Tal como se analizara en la definición de control interno, existen
tres categorías de objetivos. La primera categoría se dirige a los
objetivos empresariales básicos de una entidad, incluyendo los
objetivos de rendimiento, de rentabilidad, y la salvaguarda de los
recursos.
La segunda está relacionada con la elaboración y publicación de
estados contables confiables, incluyendo estados intermedios y
abreviados, así como la información financiera extraída de dichos
estados, como por ejemplo las comunicaciones sobre resultados,
que sean publicados.
La tercera concierne al cumplimiento de aquellas leyes y normas a
las que está sujeta la entidad.
Estas distintas, pero en parte coincidentes categorías, tratan
diferentes necesidades y permiten un enfoque dirigido hacia la
satisfacción de necesidades individuales.
Los sistemas de control funcionan en tres niveles distintos de
eficacia. El control interno se puede considerar eficaz en cada
una de las tres categorías, si los responsables de la dirección
superior de la empresa, tienen una seguridad razonable de que:
 Disponen información adecuada sobre hasta qué punto se
están logrando los objetivos operacionales de la entidad.
 Los estados contables de exposición se preparan de
manera confiable.
 Se cumplen las leyes y normas aplicables.

Si bien el control interno es un proceso, su eficacia es
el estado de ese proceso en un momento dado.

1.6.

Componentes o elementos de control interno
El control interno consta de cinco componentes relacionados entre sí. Derivan del estilo
gerencial y están integrados en el proceso de dirección. Estos componentes, que se
presentan con independencia del tamaño o naturaleza de la organización, son:




Entorno de control.
Evaluación de riesgos.
Actividades de control.
Información y comunicación.
Supervisión.

Estos elementos -que serán explicados en los capítulos posteriores-, generan una
sinergia y forman un sistema integrado que responde de una manera dinámica a las
circunstancias cambiantes del entorno.

9

Existe una interrelación directa entre las tres categorías de objetivos, que
son lo que una entidad se esfuerza por conseguir, y los componentes,
que representan lo que se necesita para lograr dichos objetivos. Todos
los componentes son relevantes para cada categoría de objetivo.

El marco del control interno está conformado por el contenido descrito como definición
según las normas; la clasificación de los objetivos y los componentes y criterios para
lograr la eficacia.

o
pl
im
ie
nt
Cu
m

e
fo
rm
In

O

Evaluación de los Riesgos

Entorno de Control

10

Actividad 2

Actividades de Control

Unidad B

Información y Comunicación

Unidad A

Supervisión

Actividad 1

pe

Fi

ra
c

na

io
ne

s

nc
ie
ro

Relación entre objetivos y componentes

1.7.

Qué se puede lograr con el control interno
El control interno pude ayudar a que una organización:



Consiga sus objetivos de rentabilidad y rendimiento
Pueda prevenir pérdidas de recursos
Obtenga información contable confiable
Refuerce la confianza en que la empresa cumple las leyes y normas aplicables

Resumen: ayuda a que una entidad cumpla con su objetivo evitando o midiendo las
dificultades con que se puede encontrar en ese camino.

1.8.

Qué no se puede lograr con el control interno
 El éxito de la entidad, sólo asegura la consecución de objetivos básicos
empresariales o, como mínimo, la supervivencia de la entidad.
 Asegurar la fiabilidad de la información contable y el cumplimiento de las leyes y
normativa aplicable.

1.9.

Factores que suponen un freno a la implementación de un sistema de
control interno en la gestión empresarial.
 Resistencia natural que ofrecen los directivos debido a la visión que tienen del
sistema de control interno como factor cuya única consecuencia es el incremento de
la burocracia en la empresa.
 No desean alentar políticas de control que actúen sobre el ámbito de la gestión de
los propios directivos.
 El elevado costo que la implantación de mecanismos de control interno suponen
para la empresa.

11

Capítulo 2

ENTORNO DE CONTROL

Temas que se estudian:




2.1.

Las características del Entorno de Control en la organización.
Factores que lo determinan
Responsabilidad de su implementación
Consecuencia de su ausencia
Pautas de evaluación de cada uno de los factores

¿Qué es el entorno de control?

El entorno o ambiente de control es el conjunto de circunstancias y conductas que
enmarcan el accionar de una entidad desde la perspectiva del Control Interno.
Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la
gerencia, y por carácter reflejo el resto de los empleados, con relación a la importancia
del Control Interno y su incidencia sobre las actividades y resultados.

2.2.

Importancia
El entorno de control es la base o andamiaje de todo sistema de Control Interno.
Determina las pautas de comportamiento en la organización e influye en el nivel de
concientización del personal respecto del control. No obstante, su trascendencia radica
en que como conjunción de medios, operadores y reglas previamente definidas, traduce
la influencia de varios factores en el establecimiento, fortalecimiento, o debilidad de
políticas y procedimientos en una organización.

12

2.3.

Factores que lo constituyen
Los principales factores del ambiente de control son:







Integridad y valores éticos.
Competencia profesional.
Atmósfera de confianza mutua.
Filosofía y estilo de dirección.
Estructura, plan organizacional, reglamentos y manuales de procedimiento.
Delegación de autoridad y asignación de responsabilidades.
Políticas y prácticas en materia de Recursos Humanos.
Consejo de Administración, comité de auditoría, etc.

Este listado es meramente enunciativo, es decir que existen otros factores que afectan
el ambiente de control. Tampoco el orden en que han sido expuestos indica la
importancia relativa de cada uno de ellos respecto del resto.
A partir de aquí, se describirán brevemente algunos de los factores antes mencionados
y a continuación se indicarán algunos aspectos a tener en cuenta al momento de
evaluar estos valores que conforman el ambiente de control. Cabe aclarar que la
evaluación de estos factores, conlleva una dosis de subjetividad, hecho que determina
que se formule una opinión subjetiva de los mismos. Como esta opinión incidirá en
forma significativa en la eficacia del control, es aconsejable considerar de la forma más
exhaustiva posible todos los aspectos relacionados a éste.
Consejo de
Administracióny
Comité de
Auditoría

Filosofía y estilo
de dirección

Integridad y valores
éticos

Competencia
Profesional

Entorno de
Control

Atmósfera de
confianza mutua

Estructura. Plan
organizacional
Políticas y
prácticas de
Recursos
Humanos

Delegación de
autoridad

2.3.1. Los valores éticos
Los valores éticos fomentan la buena reputación de una entidad. Tales valores
deben enmarcar la conducta de funcionarios y empleados, orientando su
integridad y compromiso personal hacia la organización. Para afianzar esta
reputación no basta el mero respeto a la ley, es decir, la eficacia de un sistema
de control no puede estar por encima de la moral y la integridad de las personas
que administran y supervisan estos controles, ya que estos valores constituyen
el basamento de toda la estructura de control.
La Comisión Treadway estableció: “un clima ético vigoroso dentro de la empresa
y en todos los niveles de la misma, es esencial para el bienestar de la
organización, de todos los componentes y del público en general. Un clima así

13

contribuye en forma significativa a la eficacia de las políticas y los sistemas de
control de las empresas y permite influir sobre los comportamientos que no
están sujetos ni a los sistemas de control más elaborados”.

Dificultad para establecer
conductas éticas.
Incentivos y tentaciones

La dificultad en establecer valores éticos radica en la frecuente necesidad de
atender intereses de las distintas partes. Es una tarea fundamental lograr
equilibrio entre los intereses de la dirección, los de la empresa, sus empleados,
proveedores, clientes, competidores, y el público, ya que muchas veces éstos se
encuentran enfrentados.
Frecuentemente, la misma organización dificulta el establecimiento de valores
éticos incitando a los individuos que en ella trabajan a cometer actos
fraudulentos, ilegales o al menos poco éticos. Por ejemplo, el poner énfasis en
lograr o mostrar resultados a corto plazo, fomenta una modalidad en que el
fracaso paga un precio muy elevado.
Otras de las razones por las que se llevan a cabo prácticas dolosas o
cuestionables al presentar información financiera, es la ignorancia. Esta viene
ocasionada frecuentemente por un escaso soporte moral o por ausencia de
orientación más que por la intención de engañar.

Evaluación de los
Valores Éticos

La existencia e implementación de códigos de conducta relacionados con
prácticas profesionales aceptables, incompatibilidades o pautas esperadas
de comportamiento ético y moral.

La observancia por parte de la autoridad superior del organismo de valores
éticos y morales, como así también la difusión, internalización y observancia
del cumplimiento de los mismos por parte de los empleados.

La forma en que se realizan las negociaciones con empleados, proveedores,
clientes, acreedores, competidores, etc., analizando si en estas relaciones la
dirección prioriza aspectos éticos y presta atención a que el resto de la
organización observe la misma conducta.

La presión para alcanzar objetivos de rendimiento, a corto plazo o poco
realistas, como así también las remuneraciones basadas en el logro de los
mismos.

14

2.3.2. Compromiso de competencia profesional. Conceptualización.
En una organización, es necesaria la existencia de procesos de definición de
puestos y actividades de selección de personal, de formación, de evaluación y
promoción para poder cubrir cada puesto de trabajo por personas capaces de
realizar sus labores en forma competente.
Los directivos y empleados deben caracterizarse por poseer un nivel de
competencia que les permita comprender la importancia del desarrollo,
implantación y mantenimiento de controles internos apropiados.
Tanto directivos como empleados deben:

Contar con un nivel de competencia profesional ajustado a sus
responsabilidades.

Comprender suficientemente la importancia, objetivos y procedimientos
del control interno.

La Dirección debe especificar el nivel de competencia requerido para las
distintas tareas y traducirlo en requerimientos de conocimientos y habilidades.
Los métodos de contratación de personal deben asegurar que el candidato
posea el nivel de preparación y experiencia que se ajuste a los requisitos
especificados. Una vez incorporado, el personal debe recibir la orientación,
capacitación y adiestramiento necesarios en forma práctica y metódica.
El sistema de control interno operará más eficazmente en la medida que exista
personal competente que comprenda los principios del mismo.

Evaluación

La existencia de descripción de puestos de trabajo ya sea formal o
informalmente u otra forma de describir tareas que conforman trabajos
específicos.

Descripción de conocimientos y habilidades necesarios para llevar a cabo
tareas o actividades.

Métodos de contratación de personal que prevén requisitos debidamente
especificados.

2.3.3. Filosofía y estilo de la Dirección
Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al
control interno. Un planteamiento empresarial orientado excesivamente al riesgo,
una actitud poco propicia a la prudencia, o no tomar en cuenta los aspectos de
control o administrativos al emprender negocios, son indicativos de riesgos de
control interno. Desde otro punto de vista, una gerencia que sin dejar de afrontar
los riesgos empresariales toma en cuenta todos los elementos necesarios para su
seguimiento, evitando riesgos improcedentes y que consideran los aspectos
15

positivos y negativos de cada alternativa, crea una actitud positiva de control
interno en la organización.

Evaluación

Cuáles son los riesgos empresariales aceptados. Si la dirección participa
frecuentemente en operaciones de alto riesgo, o bien es extremadamente
prudente a la hora de aceptarla.

Cómo transmite la dirección superior al resto de los niveles de la
organización de manera explícita y contundente su compromiso y
liderazgo respecto de los controles internos.

Actitudes de la dirección respecto de la presentación de información
contable, incluyendo la selección de políticas contables prudentes o
arriesgadas o que puedan tender a la manipulación de datos.

2.3.4. Estructura y Plan Organización
Delegación de poderes y responsabilidad.
Todo organismo debe desarrollar una estructura organizativa que atienda el
cumplimiento de su misión y objetivos, la que deberá estar plasmada en un algún
tipo de herramienta gráfica.
La estructura organizativa, formalizada en un organigrama, constituye el marco
formal de autoridad y responsabilidad en el cual las actividades que se
desarrollan en cumplimiento de los objetivos del organismo, son planeadas,
efectuadas y controladas.
Lo importante es que su diseño se ajuste a sus necesidades, esto es que
proporcione el marco organizacional adecuado para llevar a cabo la estrategia
diseñada para alcanzar los objetivos fijados. Lo apropiado de la estructura
organizativa podrá depender, por ejemplo, del tamaño del organismo.
Estructuras altamente formales que se ajustan a las necesidades de un
organismo de gran tamaño, pueden ser desaconsejables en un organismo
pequeño.
Todo organismo debe complementar su organigrama con un manual de
organización, en el cual se deben asignar responsabilidades, acciones y cargos,
a la par de establecer las diferentes relaciones jerárquicas y funcionales para
cada uno de estos.
El Ambiente de Control se fortalece en la medida en que los miembros de un
organismo conocen claramente sus deberes y responsabilidades. Ello impulsa a
usar la iniciativa para enfrentar y solucionar los problemas, actuando siempre
dentro de los límites de su autoridad.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de
manera que las decisiones queden en manos de quienes están más cerca de la
operación. Un aspecto crítico de esta corriente es el límite de la delegación: hay
16

que delegar tanto cuanto sea necesario pero solamente para mejorar la
probabilidad de alcanzar los objetivos.
Toda delegación conlleva la necesidad de que los jefes examinen y aprueben,
cuando proceda, el trabajo de sus subordinados, y que ambos cumplan con la
debida rendición de cuentas de sus responsabilidades y tareas.
También requiere que todo el personal conozca y responda a los objetivos de la
organización. Es esencial que cada integrante de la organización conozca cómo
su acción se interrelaciona y contribuye a alcanzar los objetivos generales.

Evaluación

La estructura organizativa de la entidad está formalizada y resulta idónea
para proporcionar el flujo de información necesario para su eficaz
desenvolvimiento.

Las responsabilidades de los directivos están claramente definidas.

Los canales de comunicación, los niveles jerárquicos y líneas de
autoridad están plasmados en un cuerpo orgánico conocido por toda la
organización.

Los poderes que se delegan son los adecuados para lograr los objetivos
de la entidad.

Existe un correcto conocimiento y responsabilidad por parte de quien
recibe poderes, como así también un nivel de supervisión adecuado por
parte de quienes los delega.

2.3.5. Políticas y prácticas de Recursos Humanos
El personal es el activo más valioso que posee cualquier organismo. Por ende, debe ser
tratado y conducido de forma tal que se consiga su más elevado rendimiento. Debe
procurarse su satisfacción personal en el trabajo que realiza, propendiendo a que en
éste se consolide como persona y se enriquezca humana y técnicamente. La Dirección
asume su responsabilidad en tal sentido, en diferentes momentos:
Selección: al establecer requisitos adecuados de conocimiento, experiencia e
integridad para las incorporaciones.
Inducción: al preocuparse para que los nuevos empleados sean metódicamente
familiarizados con las costumbres y procedimientos del organismo.
Capacitación: al insistir en que sean capacitados convenientemente para el
correcto desempeño de sus responsabilidades.
Rotación y promoción: al procurar que funcione una movilidad organizacional
que signifique el reconocimiento y promoción de los más capaces e innovadores.
Sanción: al adoptar, cuando corresponda, las medidas disciplinarias que
transmitan con rigurosidad que no se tolerarán desvíos del camino trazado.

17

La conducción y tratamiento del personal del organismo debe realizarse de
forma justa y equitativa, comunicando claramente los niveles esperados en
materia de integridad, comportamiento ético y competencia.
Los procedimientos de contratación, inducción, capacitación y adiestramiento,
calificación, promoción y disciplina, deben corresponderse con los propósitos
enunciados en la política respectiva.

Evaluación

Políticas y procedimientos en vigencia para contratación, formación,
promoción y remuneración de empleados.

Medidas disciplinarias tomadas como respuesta a acciones indebidas o a
desviaciones respecto de procedimientos aprobados.

Los procesos de revisión de expedientes de candidatos a puestos de
trabajo, en respuesta a actividades no admitidas en la organización.

Criterios para retener, evaluar y promocionar empleados.

2.3.6. Comité de Administración o Comité de Auditoría
La existencia de estos órganos dedicados con exclusividad al control, se
vislumbra con mayor frecuencia en empresas de mayor envergadura.
Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de
control interno como así también procura el mejoramiento continuo del mismo.
La existencia de un comité de estas características refuerza el sistema de control
interno y contribuye positivamente al ambiente de control.
Sin embargo, la mera existencia no es suficiente. Para su efectivo desempeño
debe integrarse adecuadamente, es decir, con miembros de capacidad y
trayectoria que exhiban además un grado elevado de conocimiento y experiencia
que les permita apoyar objetivamente a la Dirección mediante su guía y
supervisión.

Evaluación

La independencia de criterio de los consejeros respecto de los temas
más difíciles de la organización.

La existencia de reuniones frecuentes entre consejeros, gerentes
financieros y auditores externos e internos.

La suficiencia y oportunidad con que se les provee información a los
miembros del consejo, como así también, la suficiencia de la misma

18

para analizar objetivos, estrategias, situación financiera, y acuerdos
significativos.

Importancia de los factores

El ambiente de control reinante será tan bueno, regular o malo
como lo sean los factores que lo determinan. El mayor o menor
grado de desarrollo y excelencia de éstos hará, en ese mismo
orden, a la fortaleza o debilidad del ambiente que generen, y
consecuentemente, al tono de la organización.

19

Capítulo 3

EVALUACION DE RIESGOS

Temas que se estudian:



3.1.

El riesgo y los objetivos de la organización
Clasificación de los objetivos
Identificación, análisis y evaluación de riesgos
Algunos modelos de valoración de riesgos
Manejo de los cambios en la organización

El impacto de los riesgos en la organización

Todas las organizaciones independientemente de su tamaño, naturaleza o estructura,
enfrentan riesgos. Los riesgos afectan la posibilidad de la organización de sobrevivir, de
competir con éxito para mantener su poder financiero y la calidad de sus productos o
servicios. El riesgo es inherente a los negocios. No existe forma práctica de reducir el
riesgo a cero. La dirección debe tratar de determinar cual es nivel de riesgo que se
considera aceptable y mantenerlo dentro de los límites marcados.
Los riesgos de negocio determinados por la alta dirección incluyen aspectos tales como:








Clima de ética y presión a la dirección para el logro de objetivos.
Competencia, aptitud e integridad del personal.
Tamaño del activo, liquidez o volumen de transacciones.
Condiciones económicas del país.
Complejidad y volatilidad de las transacciones.
Impacto en reglamentos gubernamentales.
Procesos y sistemas de información automatizados.
Dispersión geográfica de las operaciones.
Cambios organizacionales, operacionales, tecnológicos y económicos.

Los riesgos identificados por la alta dirección están directamente relacionados con los
procesos críticos en los que se involucran a diversas áreas de la organización. La

20

función de la auditoría interna es identificar los riesgos y asignar prioridades de revisión
a las actividades con probabilidad de riesgo mayor.

3.2.

El Riesgo y los Objetivos de la Organización

El establecimiento de los objetivos de la empresa, es una condición previa a la
evaluación de los riesgos.
La dirección debe fijar primero los objetivos, y luego determinar cuáles serán los riesgos
que pueden afectar su consecución para poder tomar las medidas que se consideren
oportunas.
El establecer objetivos es un requisito previo para un control interno eficaz. Los mismos
son metas medibles hacia donde una entidad puede desarrollar sus actividades. Sin
embargo, aún cuando debería existir una seguridad razonable que estos objetivos
puedan cumplirse, no siempre existe la seguridad que algunos de ellos puedan
cumplirse.
Esta actividad es una fase clave de los procesos de gestión, y si bien no constituye
estrictamente un componente del control interno, es un requisito que permite garantizar
el funcionamiento del mismo.

3.3. Objetivos
Los procesos mediante los que se establecen objetivos en una organización, pueden ser
muy estructurados o formales o por el contrario, informales. Asimismo, los objetivos
pueden encontrarse claramente identificados o bien, ser implícitos (por ej., intentar
mantener el mismo nivel de costos fijos que el período anterior).

¿Cómo se
establecen los
objetivos?
En una entidad, al menos en forma anual, se establece o refresca cuál su misión, su
función, los valores que la empresa considera prioritarios. Estos lineamientos, apoyados
en un análisis de fortalezas, oportunidades, debilidades y amenazas del entorno (entre
otros aspectos), llevan a definir una estrategia global. Esta estrategia, como su nombre
lo indica, apunta a determinar una asignación de recursos entre las distintas unidades
de negocio y determina prioridades a escala global. Los objetivos específicos, nacen de
la estrategia global de la entidad.
Así pues, coexisten en la organización objetivos globales y particulares o específicos.
Estos últimos se encuentran integrados y estrechamente ligados a los primeros.

21

Al establecer objetivos globales y por actividad, se está en condiciones de identificar los
factores críticos de éxito, en otras palabras, se trata de definir cuáles son las
condiciones que se deben dar para que los objetivos se cumplan.

Categorías de
Objetivos de Control
Interno
A pesar de su diversidad, existen tres grandes categorías de objetivos.
Aunque aquí hablamos un poco de cada grupo de objetivos, no se intenta establecer
ningún tipo de separación estricta entre ellos y debe reconocerse que muchos de los
objetivos de diferentes categorías se interrelacionan y entrecruzan entre sí.

Objetivos de las operaciones
Estos objetivos constituyen la razón de ser de las empresas y van dirigidos a la
consecución del objetivo social. Son básicamente, un elemento de gestión y no
un elemento de control interno. Cada entidad tiene objetivos operacionales
propios, muy diferenciados de otras entidades. Esto obedece a que los mismos
están muy relacionados con las prioridades, el juicio y el estilo de gestión de la
gerencia de cada organización. Esta es la diferencia básica respecto de los otros
dos grupos de objetivos, que a pesar de tener distintos matices para cada
entidad, son aplicables a todas las entidades.
Es fundamental que este tipo de objetivos y de estrategias estén claramente
definidos y coordinados con los objetivos y estrategias específicos, ya que es
sobre los objetivos de cumplimiento donde la organización dirige una parte
sustancial de sus recursos.
Objetivos relacionados con la información financiera
Este objetivo se refiere a la preparación de estados contables confiables -sean
estos finales o intermedios-, como así también, todo dato contable filtrado o
seleccionado proveniente de estados contables que esté dirigido a terceros. La
información financiera es un elemento importante para la gestión interna, aunque
aquí nos ocuparemos de la información financiera exterior, dirigida a entidades
de crédito, inversores, proveedores, clientes, etc. El término “fiabilidad” implica
la preparación de dichos estados según principios contables generalmente
aceptados y otros principios y regulaciones contables que sean relevantes y
apropiadas.
La presentación adecuada de la información contable requiere:
 Principios contables aceptados y apropiados a las circunstancias.
 Información financiera suficiente y apropiada, resumida y clasificada en foma
adecuada.
 Presentación de hechos, transacciones y acontecimientos de tal forma que
los estados financieros reflejen adecuadamente la situación financiera, los

22

resultados de las operaciones y los flujos de orígenes y aplicaciones de
recursos en forma apropiada y razonable.
Estos requisitos se apoyan en una serie de aseveraciones implícitas que
soportan los estados contables:
Existencia: Los activos y pasivos existen a la fecha del balance y las
transacciones contabilizadas representan acontecimientos que ocurrieron
en ese mismo período.
Totalidad: Todas las transacciones y acontecimientos ocurridos durante
un período determinado han sido efectivamente reflejadas en los registros
contables.
Derechos y obligaciones: Los activos son los derechos y los pasivos las
obligaciones efectivas de la entidad a una fecha determinada.
Valoración: El importe de los activos y pasivos y el de los ingresos y
gastos han sido determinados y contabilizados con criterios adecuados
de conformidad con principios contables generalmente aceptados.
Presentación: La información financiera presentada en los estados
financieros es suficiente, adecuada y está correctamente descripta y
clasificada.

Objetivos de cumplimiento
Toda entidad debe desarrollar su actividad en el marco de normas legales y
reglamentarias que regulan los más diversos aspectos de las relaciones sociales
(normativa mercantil, civil, laboral, financiera, medio ambiente, seguridad, etc.).
Los antecedentes de una sociedad en cuanto al cumplimiento de las leyes y
normas, pueden incidir -tanto positiva como negativamente-, en su reputación
dentro de la comunidad.

Consecución de objetivos
Los objetivos relacionados con la información financiera y los de cumplimiento,
están basados principalmente en normas externas establecidas independientemente de las metas de la entidad. La consecución de estos objetivos, está en
gran medida bajo el dominio de la organización.
Sin embargo, los objetivos relacionados con las operaciones, no están basados
en pautas externas sino en metas que fija la propia organización. Estas metas
pueden verse afectadas por acontecimientos externos previstos o no por la
organización (la aparición de un nuevo competidor, condiciones meteorológicas
adversas, cambios en las políticas monetarias, etc.). La meta de control en este
área se basará principalmente en desarrollar objetivos coherentes en toda la
organización, identificación de factores de éxito, presentación oportuna de
información sobre el rendimiento del negocio y sobre posibles peligros que
puedan hacer fracasar la consecución de estos objetivos.

23

Solapamiento de objetivos
Los objetivos normalmente se solapan o refuerzan unos con otros. Esto quiere
decir que las acciones dirigidas al cumplimiento de uno de ellos, pocas veces
son exclusivas, sino que coadyuvan al cumplimiento de otro u otros.

3.4.

Riesgos

¿Qué son los
“riesgos”?

Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es
incierta. La trascendencia del riesgo en el ámbito de estudio de control interno,
se basa en que su probable manifestación y el impacto que puede causar en la
organización, pone en peligro la consecución de los objetivos de la misma.

Identificación y
análisis de riesgos

Es imprescindible identificar los riesgos relevantes que enfrenta un organismo en
la búsqueda de sus objetivos, ya sean de origen interno como externo.
La identificación del riesgo es un proceso iterativo, y generalmente integrado a la
estrategia y planificación. En este proceso es conveniente "partir de cero", esto
es, no basarse en el esquema de riesgos identificados en estudios anteriores.
Su desarrollo debe comprender la realización de un "mapeo" del riesgo, que
incluya la especificación de los dominios o puntos claves del organismo, las
interacciones significativas entre la organización y los terceros, la identificación
de los objetivos generales y particulares, y las amenazas y riesgos que se
pueden tener que afrontar.
Un dominio o punto clave del organismo, puede ser:
 un proceso que es crítico para su sobrevivencia;
 una o varias actividades que estén fuertemente relacionadas con los clientes;
 un área que está sujeta a leyes, decretos o reglamentos de estricto
cumplimiento, con amenazas de severas puniciones por incumplimiento;
 un área de vital importancia estratégica.

24

Al determinar estas actividades o procesos claves, fuertemente ligados a los
objetivos del organismo, debe tenerse en cuenta que pueden existir algunos que
no están formalmente expresados, pero que no debe ser impedimento para su
consideración. El análisis se relaciona con la criticidad del proceso o actividad y
con la importancia del objetivo, más allá que éste sea explícito o implícito.
La dirección tendrá la responsabilidad de identificar riegos, pero es
verdaderamente importante que se analicen con la misma profundidad los
factores que pueden contribuir a aumentar los mismos.
Existen muchas fuentes de riesgos, tanto internas como externas. A título
puramente ilustrativo se pueden mencionar, entre las externas:
 desarrollos tecnológicos que en caso de no adoptarse, provocarían
obsolescencia organizacional;
 cambios en las necesidades y expectativas de la demanda;
 modificaciones en la legislación y normas regulatorias que conduzcan a
cambios forzosos en la estrategia y procedimientos;
 alteraciones en el escenario económico que impacten en el presupuesto del
organismo, sus fuentes de financiamiento y su posibilidad de expansión.

Entre las internas, se pueden citar:
 la estructura organizacional adoptada, teniendo en cuenta la existencia de
riesgos inherentes típicos tanto en un modelo centralizado como en uno
descentralizado;
 la calidad del personal incorporado, así como los métodos para su instrucción
y motivación;
 la propia naturaleza de las actividades del organismo;
 el impacto relativo de los sistemas informáticos en el sistema de información
de la entidad.
Una vez identificados los riegos a nivel del organismo, deberá practicarse similar
proceso a nivel de programa y actividad. Se considerará, en consecuencia, un
campo más limitado, enfocado a los componentes de las áreas y objetivos claves
identificadas en el análisis global del organismo. Los pasos siguientes al
diagnóstico realizado son los de la estimación del riesgo y la determinación de
los objetivos de control.

Estimación del
riesgo

Se debe estimar la frecuencia con que se presentarán los riesgos identificados,
así como también se debe cuantificar la probable pérdida que ellos pueden
ocasionar.
Una vez identificados los riegos a nivel de organismo y de programa/actividad,
debe procederse a su análisis. Los métodos utilizados para determinar la
importancia relativa de los riesgos pueden ser diversos, e incluirán, como
mínimo:

25




una estimación de su importacia/trascendencia;
una evaluación de su probabilidad de ocurrencia/ frecuencia;
una valoración de la pérdida que podría resultar;
una definición del modo en que habrán de manejarse/gestionar el riego.

En general, aquellos riesgos cuya concreción esté estimada como de baja
frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se
estima de alta frecuencia deben merecer preferente atención. Entre estos
extremos se encuentran casos que deben ser analizados cuidadosamente,
aplicando elevadas dosis de buen juicio y sentido común.
Existen muchos riesgos dificultosos de cuantificar, que como máximo se prestan
a calificaciones de "grande", "moderado" o "pequeño". Pero no debe cederse a la
difundida inclinación de conceptuarlos rápidamente como "no medibles". En
muchos casos, con un esfuerzo razonable, puede conseguirse una medición
satisfactoria.
Esto se puede expresar matemáticamente en la llamada Ecuación de la
Exposición:
PE = F x V
en donde:
PE = Pérdida Esperada o Exposición, expresada en pesos y en
forma anual.
F = Frecuencia: veces probables en que el riesgo se concrete en
el año.
V = Pérdida estimada para cada caso en que el riesgo se
concrete, expresada en pesos.

Valoración
de riesgos

A continuación se describe una metodología (entre las varias que existen) que
persigue la identificación y evaluación de riesgos.
La valoración es la identificación y análisis de los riesgos asociados al logro de
los objetivos, definidos en planes estratégicos y anuales. Dado que un riesgo es
algo que pone en peligro el logro de un objetivo, una aproximación hacia su
identificación, podría surgir de simples preguntas: ¿que podría salir mal?; ¿qué
recursos necesitamos proteger?.
Son factores clásicos de alto riesgo potencial: los programas o actividades
complejas, el manejo de dinero en efectivo, la alta rotación y crecimiento del
personal o el establecimiento de nuevos servicios. La valoración del riesgo se
realiza usando el juicio profesional y la experiencia del auditor y del gestor, en
función de los siguientes criterios:
1.

El impacto del área auditable cuando no logra los OBJETIVOS de la
organización.

26

2.
3.
4.
5.
6.

La competencia, integridad y suficiencia del PERSONAL.
La cuantía de los activos, liquidez o volumen de TRANSACCIONES.
La COMPLEJIDAD o VOLATILIDAD de las actividades.
La suficiencia de los CONTROLES INTERNOS en el propio área.
El grado en que el área depende de los SISTEMAS INFORMÁTICOS.

Cada uno de los anteriores criterios se cuantifica según una escala, de 1 a 3,
que asigna un valor descriptivo a cada uno de los factores de riesgo más
importantes:
1 = Riesgo bajo.
2 = Riesgo medio.
3 = Riesgo alto.
Suma
De acuerdo con los anteriores coeficientes, la suma del riesgo más bajo
alcanzable por un área es 6 y el más alto, 18. La suma se multiplica por
(P + I) siendo:
 P = la probabilidad de ocurrencia de un riesgo importante (1 =
bajo, 2 = el medio, 3 = alto)
 I = impacto en la Organización (1 = impacto bajo, 2 = impacto
moderado, 3 = impacto crítico)
Ordenación
Ranking = cada una de las N áreas auditables se ordena de 1 a N.

Modelo de Evaluación
de riesgos.
Informe COCO

El modelo de evaluación de riesgos esta basado en el marco de control interno
de COCO que considera cinco objetivos del control interno y cinco componentes:
Objetivos:
1. Eficiencia en el costo.
2. Eficacia de las operaciones
3. Confiabilidad de la información.
4. Cumplimiento con la normatividad.
5. Salvaguarda de activos.
Componentes:
1. Ambiente de control.
2. Evaluación del control.
3. Actividades de control.
4. Información y comunicación.
5. Monitoreo o Supervisión.

27

Utilizando el modelo de evaluación de riesgos a nivel de subfunciones, es
necesario determinar lo siguiente:
1º La importancia de cada subfunción de la organización, frente a los cinco
objetivos del control.
2º Se asigna un valor matemático de 1 al que es menos importante y de 4 al mas
crítico. La asignación de estos valores es subjetiva.
3º Se estima la eficacia de los controles internos dentro de cada uno de los cinco
componentes.
Los valores asignados se ponderan por cada uno de los componentes y
representan el riesgo residual posterior a la operación de los controles. En este
sentido, un valor menor refleja mas confianza en el funcionamiento efectivo del
control.

3.5. Manejo de cambios
Este elemento resulta de vital importancia debido a que está enfocado a la identificación de
los cambios que pueden influir en la efectividad de los controles internos. Tales cambios
son importantes, ya que los controles diseñados bajo ciertas condiciones pueden no
funcionar apropiadamente en otras.
De lo anterior se deriva la necesidad de contar con un proceso que identifique las
condiciones que pueden tener un efecto desfavorable sobre los controles internos y
atenten contra la seguridad razonable de que los objetivos sean logrados.
El manejo de cambios debe estar ligado con el proceso de análisis de riesgos comentado
anteriormente y debe ser capaz de proporcionar información para identificar y responder a
las condiciones cambiantes. Como se comentó anteriormente, la responsabilidad primaria
sobre los riesgos, su análisis y manejo, es de la Gerencia, mientras que a la Auditoria
Interna le corresponde apoyar el cumplimiento de tal responsabilidad.
Existen circunstancias que pueden merecer una atención especial en función del impacto
potencial que plantean:






Cambios en el entorno.
Redefinición de la política institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos, o rotación de los existentes.
Nuevos sistemas, procedimientos y tecnologías.
Aceleración del crecimiento.
Nuevos productos, actividades o funciones.

Los mecanismos contenidos en este proceso deben tener un marcado sentido de
anticipación que permita planear e implantar las acciones necesarias. Tales mecanismos
deben responder siempre a un criterio de costo-beneficio.

28

Capítulo 4

ACTIVIDADES DE CONTROL

Temas que se estudian:





4.1.

Importancia del control
Categorías de control
Responsabilidad de su implementación
Relación entre riesgo y control
Controles sobre procedimientos
Controles sobre sistemas de información

Definición
Las actividades de control son políticas (qué debe hacerse) y procedimientos
(mecanismos de control) que tienden a asegurar que se cumplan las instrucciones
emanadas de la Dirección Superior, orientadas primordialmente hacia la prevención y
neutralización de los riesgos.

4.2.

Importancia de las actividades de control
Las actividades de control constituyen el núcleo de los elementos de control interno.
Apuntan a minimizar los riesgos que amenazan la consecución de los objetivos
generales de la organización.
Es menester que cada control esté en consonancia con el riesgo que previene, teniendo
presente que los controles exagerados son tan perjudiciales como el riesgo excesivo, y
reducen la productividad.

29

4.3.

¿Quiénes las llevan a cabo?

Se ejecuta en todos los niveles de la organización y en cada una de las etapas de la
gestión. Partiendo de la elaboración de un mapa de riesgos, se disponen los controles
destinados a:


4.4.

prevenir su ocurrencia;
minimizar el impacto de sus consecuencias, o
procurar el restablecimiento del sistema en el menor tiempo posible.

Categorías
Los controles pueden agruparse en tres categorías según sea el objetivo de la entidad
con el que estén relacionados.
 Las operaciones
 La confiabilidad de la información financiera
 El cumplimiento de leyes y reglamentos
Algunos tipos de control se relacionan solamente con un objetivo o área específica, pero
en muchos casos las actividades de control pensadas para un objetivo, suelen contribuir
a la consecución de otros. Por ejemplo: los operacionales suelen contribuir a los
relacionados con la confiabilidad de la información contable, y éstos a su vez con el
cumplimiento de normas y leyes, y así sucesivamente.
A su vez, en cada categoría, existen distintos tipos de control:


Preventivos / Detectivos / Correctivos
Manuales / Automatizados o Informáticos
Gerenciales / Operativos

Tal como se aprecia en esta última categoría, en todos los niveles de la organización
existen responsabilidades de control. Por ello es menester que cada agente, conozca
cual o cuales son las que les compete, debiéndose para ello, explicitar claramente tales
funciones.

4.5.

Mecanismos de control
A continuación se exponen algunos de los mecanismos de control utilizables, sin que
esta enumeración sea abarcativa de todos los posibles mecanismos de control que se
pueden desarrollar en una organización.

30

4.5.1. Segregación o separación de funciones
Las responsabilidades de autorizar, ejecutar, registrar y comprobar una
transacción, deben quedar, en la medida de lo posible, claramente segregadas y
diferenciadas. Este es uno de los mecanismos de control interno más importante
y efectivo. Ejemplo: quien custodia los fondos de una empresa, no deberá ser la
misma persona que registra los movimientos de tales fondos, ni ser la misma
persona que autoriza la disposición de ellos.
4.5.2. Análisis realizados por la dirección
Puesto que la información oportuna y apropiada constituye en la mayoría de los
casos la primera base para la correcta toma de decisiones, es fundamental
verificar la confiabilidad de la misma, por ejemplo:



La comparación de datos actuales con datos históricos referidos a
los mismos períodos.
Información real versus pronosticada.
Fuentes de información diversa o cruzada, etc.
Seguimiento de campañas comerciales, programas de mejora de
procesos productivos, proyectos de reducción de costos, etc.

Son algunas de las herramientas utilizadas para lograr este cometido.
4.5.3. Documentación
La estructura de control interno y todas las transacciones y hechos significativos,
deben estar claramente documentados, y la documentación debe estar
disponible para su verificación.
Todo organismo debe contar con la documentación referente a su sistema de
control interno y a los aspectos pertinentes de las transacciones y hechos
significativos.
La información sobre el sistema de control interno puede figurar en su
formulación de políticas, y, básicamente, en el respectivo manual. Incluirá datos
sobre objetivos, estructura y procedimientos de control.
La documentación sobre transacciones y hechos significativos debe ser
completa y exacta, y posibilitar el seguimiento y verificación por parte de
directivos y fiscalizadores, de todas las operaciones que ella (la documentación)
refleja.
4.5.4. Niveles definidos de autorización
Los actos y transacciones relevantes sólo pueden ser autorizados y ejecutados
por funcionarios y empleados que actúen dentro del ámbito de sus
competencias.
La autorización es la forma idónea de asegurar que sólo se llevan adelante actos
y transacciones que cuentan con la conformidad de la dirección. Esta
conformidad supone su ajuste a la misión, la estrategia, los planes, programas y
presupuestos.
La autorización debe documentarse y comunicarse explícitamente a las
personas o sectores autorizados. Estos deberán ejecutar las tareas que se les
31

ha asignado, de acuerdo con las directrices, y dentro del ámbito de
competencias establecido por la normativa.

4.5.5. Registro oportuno y adecuado de las transacciones y hechos
Las transacciones y los hechos que afectan a un organismo deben registrarse
inmediatamente y ser debidamente clasificados.
Las transacciones o hechos deben registrarse en el momento de su ocurrencia,
o en el más inmediato posible, para garantizar su relevancia y utilidad. Esto es
válido para todo el proceso o ciclo de la transacción, desde su inicio hasta su
conclusión.
Asimismo, deberán clasificarse adecuadamente para que, una vez procesados,
puedan ser presentados en informes y estados financieros confiables e
inteligibles, facilitando a directivos y gerentes la adopción de decisiones.
4.5.6. Acceso restringido a los recursos, activos y registros
El acceso a los recursos, activos, registros y comprobantes, debe estar protegido
por mecanismos de seguridad y limitado a personas autorizadas, quienes están
obligadas a rendir cuenta de su custodia y utilización.
Todo activo de valor debe ser asignado a un responsable de su custodia y contar
con adecuadas protecciones a través de seguros, almacenaje, sistemas de
alarma, pases para acceso, etc.
Además, deben estar debidamente registrados y periódicamente se cotejarán las
existencias físicas con los registros contables para verificar su coincidencia. La
frecuencia de la comparación, depende del nivel de vulnerabilidad del activo.
Estos mecanismos de protección cuestan tiempo y dinero, por lo que en la
determinación de nivel de seguridad pretendido, deberán ponderarse los riesgos
emergentes, entre otros: robo, despilfarro, mal uso, destrucción, contra los
costos del control a incurrir.
4.5.7. Rotación del personal en las tareas claves
Ningún empleado debe tener a su cargo, durante un tiempo prolongado, las
tareas que presenten una mayor probabilidad de comisión de irregularidades.
Los empleados a cargo de dichas tareas deben, periódicamente, abocarse a
otras funciones.
Si bien el sistema de control interno debe operar en un ambiente de solidez ética
y moral, es necesario adoptar ciertas protecciones para evitar hechos que
puedan conducir a realizar actos reñidos con el código de conducta del
organismo.
En tal sentido, la rotación en el desempeño de tareas claves para la seguridad y
el control, es un mecanismo de probada eficacia, y muchas veces no utilizado
por el equivocado concepto del "hombre imprescindible”.

32

4.5.8. Control del sistema de información
El sistema de información debe ser controlado con el objetivo de garantizar su
correcto funcionamiento y asegurar la confiabilidad del procesamiento de
transacciones.
La calidad del proceso de toma de decisiones en un organismo descansa
fuertemente en sus sistemas de información.
Un sistema de información abarca información cuantitativa, tal como los informes
de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a
opiniones y comentarios.
El sistema deberá contar con mecanismos de seguridad que abarquen o
alcancen a las entradas, procesos, almacenamiento y salidas.
El sistema de información debe ser flexible, susceptible de modificaciones
rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en
un entorno dinámico de operaciones y presentación de informes. El sistema
ayuda a controlar todas las actividades del organismo, a registrar y supervisar
transacciones y eventos a medida que ocurren, y a mantener datos financieros.
Las actividades de control de los sistemas aplicación, están diseñadas para
controlar el procesamiento de las transacciones dentro de programas de
aplicación e incluyen los procedimientos manuales asociados.
4.5.9. Controles físicos
Los activos de naturaleza tangible son susceptibles de recuentos físicos. Estos
controles, muy efectivos, comparan los resultados del recuento o arqueo, con las
cifras que figuran en los registros contables correspondientes.

4.5.10. Indicadores de desempeño
Todo organismo debe contar con métodos de medición de desempeño que
permitan la preparación de indicadores para su supervisión y evaluación.
La información obtenida se utilizará para la corrección de los cursos de acción y
el mejoramiento del rendimiento.
La dirección de un organismo, programa, proyecto o actividad, debe conocer
cómo marcha éste hacia los objetivos fijados, para mantener el dominio del
rumbo, es decir, ejercer el control.
Un sistema de indicadores elaborados desde los datos emergentes de un
mecanismo de medición del desempeño, contribuirá al sustento de las
decisiones.
Los indicadores no deben ser tan numerosos que se tornen ininteligibles o
confusos, ni tan escasos que no permitan revelar las cuestiones claves y el perfil
de la situación que se examina.
Cada organismo debe preparar un sistema de indicadores ajustado a sus
características, es decir, tamaño, proceso productivo, bienes y servicios que
entrega, nivel de competencia de sus funcionarios y demás elementos
diferenciales que lo distingan.

33

El sistema puede estar constituido por una combinación de indicadores
cuantitativos, tales como los montos presupuestarios, y cualitativos, como el
nivel de satisfacción de los usuarios.
Los indicadores cualitativos deben ser expresados de una manera que permita
su aplicación objetiva y razonable. Por ejemplo: una medición indirecta del grado
de satisfacción del usuario puede obtenerse por el número de reclamos.
4.5.11. Función de auditoría interna independiente
La función de Auditoría Interna en las organizaciones debe depender de la
autoridad superior de los mismos y sus funciones y actividades deben
mantenerse desligadas de las operaciones sujetas a su examen.
Las unidades de Auditoría Interna deben brindar sus servicios a toda la
organización. Constituyen un “mecanismo de seguridad” con el que cuenta la
autoridad superior para estar informada, con razonable certeza, sobre la
confiabilidad del diseño y funcionamiento de su sistema de control interno.
La Auditoría Interna, al depender de la autoridad superior, puede practicar los
análisis, inspecciones, verificaciones y pruebas que considere necesarios en los
distintos sectores del organismo con independencia de estos, ya que sus
funciones y actividades deben mantenerse desligadas de las operaciones
sujetas a su examen.
Así, la Auditoría Interna vigila, en representación de la autoridad superior, el
adecuado funcionamiento del sistema, informando oportunamente a aquella
sobre su situación. Por su parte, los mecanismos y procedimientos del Sistema
de Control Interno protegen aspectos específicos de la operatoria, para brindar
una razonable seguridad del éxito en el esfuerzo por alcanzar los objetivos
organizaciones.

4.6.

Control sobre los sistemas de procesamiento electrónico de datos
Los sistemas de información desempeñan un papel fundamental en la gestión de la
empresa. Su importancia va más allá del tamaño de la misma o de la naturaleza de la
información que se procese, y aún de las propias características del sistema de
información, es decir, manual o computadorizado. Al ser la estructura que soporta y por
donde fluye y circula “la información” (activo éste, crítico en toda organización) debe
necesariamente ser controlado.
Las actividades de control de los sistemas de información pueden agruparse en dos
categorías; controles generales y controles de aplicación.
4.6.1. Controles generales
Las actividades de control general de la tecnología de información se aplican a
todo el sistema de información incluyendo la totalidad de sus componentes,
desde la arquitectura de procesamiento –es decir grandes computadoras,
minicomputadoras y redes- hasta la gestión de procesamiento por el usuario

34

final. También abarcan las medidas y procedimientos manuales que permiten
garantizar la operación continua y correcta del sistema de información.

Controles sobre las
operaciones del Centro de
Procesamiento de datos
Incluye lo relativo a la estructura organizativa del centro de procesamiento
electrónico de datos, o sea, cómo se organiza ésta al nivel de la estructura:
responsable del sector, separación de funciones, niveles de autorización, etc. En
definitiva, las mismas reglas de organización aplicables a cualquier otro sector
de la empresa.
En un entorno más sofisticado, estos controles también incluyen un área de
planificación donde, en función de la capacidad productiva, se dispone el uso y
distribución de los recursos. Esta planificación, según la norma que analizamos,
puede ser táctica y/o estratégica.
Siguiendo con la organización del área de sistemas, las normas COBIT,
complementarias de las COSO en materia bancaria, aconsejan la existencia de
un Comité de Sistemas, como así también, controles gerenciales sobre el área
de procesamiento de datos.
La ubicación del área de sistemas dentro del organigrama general de la empresa
ha quedado definida como sector autónomo que no supervisa ni es supervisado
por ninguna de las áreas usuarias.
A continuación se observa un organigrama donde se aprecia la ubicación jerárquica del área como así también, a través de la segregación de actividades
dentro de ella se concluye acerca de la importancia que el principio de control
“separación de funciones”, tiene dentro de sistemas. Básicamente se deberá
atender a que como mínimo las áreas de seguridad (sector de dictado de políticas), la ejecución operativa de los procedimientos y la función de desarrollo están separadas.

Estructura y separación de funciones

DIRECCION
GENERAL

Producción

Administración

Comercialización

Sistemas

Administr.de
Base de Datos

Seguridad

35

Operación

Desarrollo y
Mantenimiento

Normativas y
Procedimientos

Son pautas o instrucciones básicas referentes a prácticas sanas cuya existencia
es deseable en un ambiente de sistemas. Estas normas y procedimientos,
pueden referirse a:
 Desarrollo y mantenimiento de programas

Pruebas de programas

Pasajes de programas a producción

Documentación de sistemas

Estas medidas son aplicables no sólo para las versiones originales de los
programas, sino que su existencia es más importante aún en las modificaciones
de ellas.

Normas sobre
Continuidad del
Procesamiento
La importancia de estos controles radica en que se relacionan con el principio de
“empresa en marcha”, esto es, su finalidad es preservar a la organización de un
posible colapso en su sistema de información, que haga peligrar la continuidad
de la misma.
Los aspectos hacia donde apuntan estos controles son:
 Análisis de criticidad de los procesos

Biblioteca de operaciones

Back-up de archivos

Plan de contingencias

Creación y mantenimiento

Capacitación y entrenamiento

Pruebas

Proveedores
externos

Si bien las normativas en materia de control apuntan primeramente a los
programas con desarrollo propio o interno, deberán implementarse en la
organización los procedimientos necesarios que cubran la adquisición de
programas a proveedores externos. Los puntos de especial atención cuando los
programas son adquiridos son:

36




Contrataciones formales
Disposición de programas fuente
Documentación de desarrollo de sistemas
Acceso irrestricto a:
 Sistemas
 Datos
 Documentación

Controles sobre la
seguridad física

La integridad de los datos y programas se protege a través de la restricción de la
utilización del sistema a personas no autorizadas, como así también mediante la
creación y mantenimiento de condiciones ambientales adecuadas que
favorezcan el funcionamiento de los medios en que se procesa la información.
En esta categoría de control merecen especial consideración los siguientes:




Acceso restringido al área de PED
Instalaciones adecuadas
Energía ininterrumpible
Medios de detección y extinción
Aire acondicionado.

Controles sobre la
seguridad lógica

La importancia de estos controles es cada vez mayor debido al crecimiento de
las redes de telecomunicaciones. Si son eficaces, estos controles permiten
proteger al sistema contra el acceso y uso no autorizados. Si están bien
diseñados, pueden prevenir la piratería informática.
Las actividades de control aconsejables para prevenir estos riesgos se orientan
a:


Identificación
Autenticación
 Algo conocido (password)
 Algo poseído (tarjeta, llave)
 Algo personal (reconocimiento, firma, huellas dactilares, etc.)
Autorización
 Matriz de autorizaciones
Registración
 Loggin

37

4.7.

Controles sobre las aplicaciones
Como su nombre lo indica, están diseñados para controlar el funcionamiento de las
aplicaciones. Permiten asegurar la totalidad y exactitud en el procesamiento de las
transacciones, su autorización y su validez. Estos controles están orientados
primordialmente a evitar que datos erróneos se introduzcan al sistema, es decir, que su
concepción es netamente preventiva. Sin embargo, también deben ser eficaces para
detectar y corregir errores una vez dentro. Apuntan básicamente a:







Ingreso de transacciones.
Actualización de datos aceptados y seguimiento de los rechazados.
Actualización de archivos.
Controles de acceso a los registros.
Documentación técnica y del usuario actualizada.
Resguardo de los archivos.
Administración del sistema.
Interfases con otros sistemas.

Los sistemas de información versus tecnología son y serán sin duda un medio para
incrementar la productividad y competitividad. Las últimas tendencias sugieren que la
integración de la estrategia, la estructura organizacional y la tecnología de la
información serán el triángulo clave para los tiempos futuros.

4.8.

Autoevaluación de controles basada en los modelos
El Dynamik Control Assessment (Evaluación Dinámica de Control) es una metodología
desarrollada por la auditoría interna del Banco de Canadá, conocida como
Autoevaluación de Control.
Este concepto se deriva y queda implícito en las teorías modernas del control. En la
estructura de los modelos COSO y COCO se definen los componentes que estructuran
el marco integrado de control. En ellos se involucra al personal de todos los niveles
jerárquicos de la organización y de todas las actividades del negocio, para evaluar los
controles que apoyan el logro de los objetivos que les han sido encomendados.
Es importante señalar que la autoevaluación de controles puede revolucionar los
servicios que la auditoría interna proporciona. Esta metodología aplicada en forma
adecuada ofrece hacer más con menos recursos, y establece los mecanismos para la
evaluación de los controles tanto informales como formales.
4.8.1. Evaluación de controles informales
Para desarrollar esta metodología es necesario identificar los controles
informales que se ubican en el componente ambiente de control y los controles
formales en los restantes cuatro componentes del marco integrado (evaluación
de control, actividades de control, comunicación y supervisión).
El método contempla la realización de talleres para obtener una amplia
representación de las perspectivas que apoyan u obstaculizan el logro de
objetivos.

38

Profesionales de la auditoría interna organizan los talleres con el personal
operativo, sin la participación de la alta dirección.
Estos eventos pueden realizarse sobre unidades de trabajo o por funciones
específicas. La gerencia responsable, objeto de análisis, debe definir los
objetivos de trabajo más importantes, así como los controles que coadyuven a su
consecución.
Los participantes evalúan las fortalezas y debilidades de sus procesos de trabajo
y comentan el impacto en la capacidad para alcanzar los objetivos propuestos.
Para estructurar las discusiones, se utilizan plantillas para evaluar el riesgo de
auditoría y fijación de prioridades, prevista en el modelo COSO.
Este procedimiento, una vez automatizado, proporciona las plantillas, recoge los
resultados de todos los votos de los participantes, captura los aspectos
relevantes de la discusión y facilita en posterior análisis de los resultados.
En estos talleres se evalúan los controles formales e informales, utilizando el
mismo criterio en cada taller para facilitar la acumulación y comparaciones en el
ámbito de toda la organización.
Los participantes votan para definir la importancia de cada aspecto y para
evaluar la eficacia.
4.8.2. Evaluación de controles formales
Se refiere a las actividades de control relacionadas con objetivos específicos de
trabajo.
La definición de los controles específicos se realiza mediante una reunión y se
identifican y agrupan bajo cuatro componentes de control:

Evaluación de Riesgos

Actividades de Control

Información y Comunicación

Monitoreo o Supervisión.

En esta misma reunión se obtiene el consenso de la gerencia respecto a la
importancia y eficacia de los controles propuestos en apoyo del logro de los
objetivos y con la información obtenida se elaboran plantillas para discusión y
votación.
La discusión se realiza por las actividades de control dentro de los componentes,
y la votación se realiza para definir la importancia y eficacia de dichas
actividades.
4.8.3. Informe de Resultados
La gerencia recibe el reporte de calificaciones y evaluaciones, el cual constituye
la base para el intercambio de ideas entre la gerencia y el departamento de
auditoría interna, que incluye cualquier asunto de interés precisado para su
posterior negociación sobre las acciones a tomar para su atención.
La gerencia del departamento evaluado recibe un informe consolidado de la
Autoevaluación de Control que proporciona una visión general de los controles
formales e informales y también recibe un reporte del Perfil de Confianza, que
compara la evaluación de los controles de cada componente con el nivel general
de toda la organización.

39

Con la participación del departamento de auditoría interna en el proceso de
Autoevaluación de Control se obtiene información valiosa respecto a controles
potenciales, por la especialización que tiene en esta materia.
La auditoría adquiere un conocimiento integral de las operaciones y para efectos
de revisiones subsecuentes, ayuda a identificar las prioridades en el proceso de
planeación de sus actividades.

40

Capítulo 5

INFORMACION Y COMUNICACIÓN

Temas que se estudian:



La información y la toma de decisiones
Atributos de la información
Información y estrategia empresaria
La comunicación interna y externa

5.1. Información

5.1.1. Concepto e Importancia
Todas las empresas necesitan para gestionarse información relevante, sea esta
financiera- contable, como de otro tipo, relacionada con acontecimientos internos
o externos. En ese sentido, la información no se utiliza únicamente para formular
estados contables para ser publicados, sino también, y fundamentalmente para
la toma de decisiones relativas a la explotación – control de rendimientos y
asignación de recursos -.
La información relevante debe ser captada, procesada y transmitida de tal modo
que llegue oportunamente a todos los sectores permitiendo asumir las
respectivas responsabilidades individuales.
La información operacional, financiera y de cumplimiento conforma un sistema
que posibilita la dirección, ejecución y control de las operaciones.
Así como es necesario que todos los agentes conozcan el papel que les
corresponde desempeñar en la organización (funciones, responsabilidades), es
imprescindible que cuenten con la información periódica y oportuna que deben
manejar para orientar sus acciones en consonancia con los demás, hacia el
mejor logro de los objetivos.
Los sistemas de información permiten identificar, recoger, procesar y divulgar
datos relativos a los hechos o actividades internas y externas, y funcionan

41

muchas veces como herramientas de supervisión a través de rutinas previstas a
tal efecto. No obstante resulta importante mantener un esquema de información
acorde con las necesidades institucionales que, en un contexto de cambios
constantes, evolucionan rápidamente. Por lo tanto deben adaptarse,
distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las
iniciativas y actividades estratégicas, a través de la evolución desde sistemas
exclusivamente financieros a otros integrados con las operaciones para un mejor
seguimiento y control de las mismas.
Existen sistemas de información formales e informales. Esta última modalidad
tiene una contribución muy importante, ya que de conversaciones mantenidas
con clientes, proveedores, organismos gubernamentales, asistencia a seminarios
o formando parte de asociaciones, a menudo se obtiene información vital para
identificar riesgos y oportunidades.
Resulta especialmente importante mantener la información acorde con las
necesidades de la empresa, al actuar ésta en un entorno de cambios constantes.
Los sistemas de información no deben ser capaces únicamente de identificar y
recoger información necesaria (contable y extra-contable), sino que también
deben procesar dicha información y comunicarla en un plazo y de forma tal que
sea útil para el control de las actividades de la entidad.

5.1.2. El sistema de información
El sistema de información debe diseñarse atendiendo a la Estrategia y al
Programa de Operaciones del organismo.
Deberá servir para: a) tomar de decisiones a todos los niveles; b) evaluar el
desempeño del organismo, de sus programas, proyectos, sectores, procesos,
actividades, operaciones, etc. y c) rendir cuenta de la gestión.
La calificación de sistema de información se aplica, tanto al que cubre la
información financiera de un organismo como al destinado a registrar otros
procesos y operaciones internos. Aquí lo aplicamos en un sentido más amplio
por alcanzar también al tratamiento de acontecimientos y hechos externos al
organismo.
Nos referimos a la captación y procesamiento oportuno de situaciones referentes
a, por ejemplo:


Cambios en la normativa, legal o reglamentaria, que alcance al
organismo.
Conocer la opinión de los usuarios sobre el servicio que se le
proporciona.
Reclamos e inquietudes en lo que hace a sus necesidades emergentes.

Tal sistema de información, deberá ser diseñado para apoyar la Estrategia,
Misión, Política y Objetivos del organismo.
En igual forma, sustentará la formulación y supervisión del presupuesto anual,
con información sobre los aspectos operacionales específicos y su comparación
con las metas prefijadas. Toda esta información, en definitiva, pasará a constituir
el antecedente para la rendición de cuenta de la gestión.

42

El organismo necesita información que le permita alcanzar todas las categorías
de objetivos: operacionales, financieros y de cumplimiento. Cada dato en
particular puede ayudar a lograr una o todas estas categorías de objetivos.
La información se identifica, captura, procesa, transmite y difunde a través de
sistemas de información, que pueden ser computarizados, manuales o
combinados.

5.1.3. Estrategias y sistemas integrados
Los sistemas de información usualmente integran las actividades operativas de
la empresa, es decir, que no sólo captan información necesaria para ejercer
actividades índole decisional y de control, sino que se conciben para llevar a
cabo iniciativas estratégicas. La utilización de la información con estos fines ha
supuesto el éxito de muchas empresas.

5.1.4. Integración con las operaciones
La utilización estratégica de los sistemas demuestra la evolución de los mismos
desde sistemas de información de uso exclusivamente contable hacia sistemas
integrados con la explotación de la actividad. Estos sistemas ayudan a controlar
los procesos del negocio a la par que registran las transacciones en tiempo
real, conformando un complejo entorno de sistemas integrados.

5.1.5. Coexistencia de tecnologías
A pesar que la realidad del entorno presiona a las empresas para mantenerse a
la vanguardia en tecnología de información, sería un error considerar que estos
avances por solo hecho de ser nuevos, incorporen mejores mecanismos de
control.

5.1.6. La adquisición de nuevas tecnologías
La adquisición de nuevas tecnologías constituye hoy un factor clave para la
estrategia empresarial, y por ende, en la acertada elección de una nueva
tecnología y sistema de información, radicará en gran parte el éxito en los
objetivos de crecimiento mancomunados con la ayuda que puedan brindar los
mismos en el cumplimiento de los objetivos de control.

5.1.7. La calidad de la información
La calidad de la información que genera el sistema afecta la capacidad de la
dirección para tomar decisiones adecuadas al momento de gestionar, y controlar
las actividades de una entidad.

43

La calidad de la información se refiere a los siguientes aspectos:
Contenido

Toda la información necesaria

Oportunidad

Se dispone en tiempo adecuado

Actualidad

Es sobre hechos recientes

Exactitud

Los datos son correctos

Accesibilidad

Está a disposición de las personas
adecuadas

Es esencial para poder ejercer el control con efectividad, que estas cualidades
estén presentes en la información que se obtiene, por otra parte, los sistemas de
información, si bien forman parte o son un elemento del control interno, también
han de ser controlados.

5.1.8. Información y responsabilidad
La información debe permitir a los funcionarios y empleados cumplir sus
obligaciones y responsabilidades. Los datos pertinentes deben ser identificados,
captados, registrados, estructurados en información y comunicados en tiempo y
forma adecuados.
Un organismo debe disponer de una corriente fluida y oportuna de información
relativa a los acontecimientos internos y externos. Por ejemplo, necesita tomar
conocimiento con prontitud de los requerimientos de los usuarios para
proporcionar respuestas oportunas, o de los cambios en la legislación y
reglamentaciones que le afectan. De igual manera, debe estar en conocimiento
constante de la situación de sus procesos internos.
Los riesgos que afronta un organismo se reducen en la medida que la adopción
de las decisiones se fundamente en información relevante, confiable y oportuna.
La información es relevante para un usuario en la medida que se refiera a
cuestiones comprendidas dentro de su responsabilidad y que el mismo cuente
con la capacidad suficiente para apreciar su significación.
La supervisión del desempeño del organismo y sus partes componentes, opera
mediante procesos de información y de exigencia de responsabilidades de tipos
formales e informales. La cultura, el tamaño y la estructura organizacional
influyen significativamente en el tipo y la confiabilidad de estos procesos.

5.1.9. Contenido y Flujo de la Información
La información debe ser clara y con un grado de detalle ajustado al nivel
decisional. Se debe referir tanto a situaciones externas como internas, a
cuestiones financieras como operacionales. Para el caso de los niveles directivo
y gerencial, los informes deben relacionar el desempeño del organismo o
competente, con los objetivos y metas fijados.

44

El flujo informativo debe circular en todos los sentidos: ascendente,
descendente, horizontal y transversal.
Es fundamental para la conducción y control del organismo disponer de la
información satisfactoria, en tiempo y en el lugar necesario. Por ende, el diseño
del flujo informativo y su posterior funcionamiento acorde, deben constituir
preocupaciones centrales para los responsables del organismo.
Pero, además, debe atenderse a que por su contenido constituya un verdadero
apoyo a las decisiones. De nada serviría hacer llegar al punto indicado y en el
momento oportuno, antecedentes irrelevantes.
Los contenidos deben referirse a situaciones externas e internas, alcanzar los
aspectos financieros y no financieros, estar condensados de acuerdo con el nivel
al que se destinen (un Director General necesita informes condensados mientras
que un Gerente de Proyectos requiere mayores detalles) y cuando se refiera a
desempeños, deben estar comparados con objetivos y metas prefijadas.

5.1.10. Flexibilidad al cambio
El sistema de información debe ser revisado y, de corresponder, rediseñado
cuando se detecten deficiencias en su funcionamiento y productos. Cuando el
organismo cambie su estrategia, misión, política, objetivos, programa de trabajo,
etc. se debe contemplar el impacto en el sistema de información y actuar en
consecuencia.
Si el sistema de información se diseña orientado en una estrategia y un
programa de trabajo, es natural que al cambiar estos, tenga que adaptarse.
Por otra parte, es necesario una atención especial para evitar que la información
que dejó de ser relevante siga fluyendo en detrimento de otra que pasó a serlo.
Además, se debe vigilar que el sistema no se sobrecargue artificialmente,
situación que se genera cuando se adiciona la información ahora necesaria sin
eliminar la que perdió importancia.

5.1.11. Compromiso de la autoridad superior
El interés y el compromiso de la autoridad superior del organismo con los
sistemas de información se deben explicitar mediante una asignación de
recursos suficientes para su funcionamiento eficaz.
Es fundamental que la autoridad superior de un organismo tenga cabal
comprensión del importante rol que desempeñan los sistemas de información
para el correcto desenvolvimiento de sus deberes y responsabilidades, y en tal
sentido debe mostrar una actitud comprometida hacia los mismos.
Esta actitud debe expresarse en declaraciones y acciones que evidencien la
atención a la importancia que se otorga a los sistemas de información.

45

El ejemplo típico, en esta cuestión como en otras en las que debe explicitarse la
decisión de la autoridad relacionada con una inversión, es su incorporación en el
presupuesto con los debidos sustentos.

5.2. Comunicación
Los sistemas de información deben proporcionar información a las personas adecuadas, de
forma que estas puedan cumplir con sus responsabilidades en materia de:
 Operaciones
 Información financiera
 Cumplimiento
Además de ello, debe existir una comunicación eficiente desde la alta dirección hacia el
resto de los empleados con responsabilidades claves, acerca de la importancia y el sentido
que deben tener las actividades de estos últimos que estén orientadas al control interno.
Asimismo, debe especificarse con claridad y el personal debe entender, cómo funciona el
sistema de control interno en su conjunto, cuáles son los aspectos relevantes del mismo, y
cómo aporta su tarea/rol en el desenvolvimiento del sistema.
A la hora de llevar a cabo sus funciones, el personal de la empresa debe saber que cuando
se produzca un problema de control, conviene prestar atención no sólo al acontecimiento,
sino también a su causa. De esta forma se identifican las deficiencias potenciales del
sistema tomando las medidas para que el evento no se repita, y a su vez, lograr que el
sistema se perfeccione.
Así como es fundamental la comunicación descendente, la organización debe generar los
canales necesarios para que el personal de los niveles medios de la organización,
comunique información relevante hacia los niveles superiores. Estos empleados que
manejan aspectos claves de la explotación, generalmente son los más idóneos en en
reconocer y detectar problemas en el momento en que se producen, y como consecuencia,
son ellos los que deben informar a sus superiores.
Para que esta información llegue a destino, deben existir líneas abiertas de comunicación y
clara voluntad de escuchar por parte de los directivos.

5.2.1. Comunicación externa
Una comunicación externa eficaz es una herramienta tan valiosa como la
comunicación interna. Mantener abiertos canales de comunicación en forma fluida
con clientes, proveedores, aporta a la empresa una corriente de información sobre
diseño, calidad de los productos, preferencias del mercado con relación a los
mismos, cambios en las exigencias y gustos de la demanda, etc.
La información recibida de terceros frecuentemente proporciona datos importantes
sobre el funcionamiento del sistema de control interno.
Así como es importante la comunicación que se dá desde el entorno hacia la
empresa, no lo es menos la que se da desde la empresa hacia el entorno, en ese
sentido, el mensaje que la dirección transmita de los valores de la propia empresa,

46

cuáles son los comportamientos y normas a las que adhiere, y cuales son aquellos
que no admite o tolera tanto dentro de ella, como de quienes se relaciona.

5.2.2. Comunicación, valores organizacionales y estrategias
El proceso de comunicación del organismo, debe apoyar la difusión y sustentación
de sus valores éticos, así como los de su misión, políticas, objetivos y resultados de
su gestión.
Para que el control sea efectivo, los organismos necesitan un proceso de
comunicación abierto, multidireccionado, capaz de transmitir información relevante,
confiable y oportuna.
Si todos los miembros del organismo están imbuidos de los valores éticos que deben
respetar, de la misión a cumplir, de los objetivos que se persiguen, y de las políticas
que los encuadran, la probabilidad de un desempeño eficaz, eficiente, económico,
encuadrado en la legalidad y la ética, se acrecienta notoriamente.

5.2.3. Canales de comunicación
Los canales de comunicación deben presentar un grado de apertura y eficacia
adecuado a las necesidades de información internas y externas.
El sistema se estructura en canales de transmisión de datos e información. En gran
medida el mantenimiento del sistema radica en vigilar la apertura y buen estado de
estos canales, que conectan diferentes emisores y receptores de variada
importancia, como ser:
La comunicación con los receptores de los bienes y servicios producidos por el
organismo, para
que conozcan los valores organizacionales, se detecte
tempranamente el cambio en sus gustos y preferencias y se tome nota de su opinión
con relación al organismo.
La comunicación con los empleados, para que estos puedan hacer llegar sus
sugerencias sobre mejoras.

47

Capítulo 6

SUPERVISION

Temas que se estudian:


6.1.

Actividades de evaluación continuas y puntuales
Proceso de evaluación
Comunicación de las deficiencias

Concepto. Necesidad de evaluar un sistema de control
Tal como se analizara en capítulos anteriores, los cambios, tanto internos como externos
a la organización, son una de las causas que más afectan la vigencia y operatividad de
cualquier sistema de control interno. De esto se desprende que, si incumbe a la dirección
la existencia de una estructura de control interno idónea y eficiente, le incumbe también
su revisión y actualización periódica para mantenerla en un nivel adecuado de eficiencia.
La evaluación de las actividades de control de los sistemas a través del tiempo resulta
imprescindible, pues toda organización tiene áreas donde los mismos están en desarrollo,
necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron
su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios
internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos
a afrontar.

6.1.1. Validación de los supuestos asumidos
Se deben validar en forma periódica los supuestos que sustentan los objetivos de
una organización.
Los objetivos de una organización y los elementos de control que respaldan su
logro descansan en supuestos fundamentales acerca de cómo funciona su entorno.
Por ejemplo, los objetivos estratégicos pueden descansar en supuestos sobre la
demanda del mercado, sobre las condiciones competitivas y sobre la velocidad de
los desarrollos tecnológicos.

48

Con frecuencia se sostienen ampliamente en una organización los supuestos
acerca de cómo funciona el sistema, aunque el personal puede desconocerlos.
Dichos supuestos inconscientes pueden inhibir la capacidad de adaptarse al cambio
debido a que conducen al personal a descartar toda aquella información que no se
ajusta a sus preconceptos. Se necesita un diálogo abierto para identificar los
supuestos.
Si los supuestos de una organización no son válidos, el control puede ser ineficaz.
Por ejemplo, la selección de los indicadores de desempeño a ser supervisados
puede descansar en supuestos acerca de demanda que no tienen validez en razón
de que los productos sustitutos o las nuevas tecnologías han cambiado el mercado.
La revalidación periódica de los supuestos de la organización es clave para la
eficacia del control.

6.2.

Actividades de Evaluación
El objetivo la evaluación es tener una razonable certeza que el control interno funciona
adecuadamente, es decir, que los controles instrumentados están en relación con el
nivel de riesgo asumido, y que a su vez, funcionan adecuadamente. Esta actividad,
llamada supervisión, se materializa a través de dos modalidades: actividades continuas
o evaluaciones puntuales.

6.2.1. Actividades continuas
Son aquellas incorporadas a las actividades y procesos normales y recurrentes
que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas
dinámicas a las circunstancias sobrevinientes.
Comprenden actividades corrientes de gestión y supervisión, comparaciones,
conciliaciones, y otras tareas rutinarias o diarias que permitan observar si
efectivamente los objetivos de control se están cumpliendo y si los riesgos se
están considerando adecuadamente. Alguna de las actividades que implican un
monitoreo continuo son:
 Comparación de reportes de explotación con informes administrativocontables por parte de los gerentes divisionales.
 Existencia de canales abiertos para que la gerencia reciba ideas e
información de los empleados referente a los sistemas en sí mismo o sobre su
funcionamiento.
 Revisión sistemática por parte del departamento de auditoría interna de
aspectos tanto puramente administrativos de cumplimiento como operativos, con
manifestación de las debilidades observadas, recomendaciones de mejora y
seguimiento de su implantación.

Revisión anual de los sistemas de control interno por parte de los auditores
externos con el alcance requerido a efectos de una auditoría externa.

49

Comunicación sistemática o esporádica con terceros: clientes, proveedores,
entidades financieras, etc.

6.2.2. Evaluaciones puntuales
Son aquellas que se realizan sobre un proceso, operación o tarea determinada.
En general se asume que cuanto más importantes sean las actividades
recurrentes (continuas), menos necesidad habrá de actividades específicas y
esporádicas (puntuales)
La implementación de estas actividades se realizará teniendo en cuenta, entre
otras, las siguientes pautas:
Su alcance y
frecuencia
Están determinados por la naturaleza e importancia de los cambios y
riesgos que éstos conllevan, la competencia y experiencia de quienes
aplican los controles, y los resultados de la supervisión continuada. A ese
efecto, es importante recordar que la evaluación de todo sistema de
control interno, puede estar motivada por diferentes razones:
 Cambios importantes en la dirección o en la estrategia
 Adquisiciones, enajenaciones o modificaciones de envergadura
efectuadas en la explotación
 Cambios en los métodos utilizados en el proceso de registración
de la información contable, etc.

Responsables
de la evaluación
Todo el personal tiene alguna responsabilidad sobre el control. La
Gerencia es la responsable del sistema de control y debe asumir su
propiedad.
La dirección superior tiene un papel importante en la forma en que la
gerencia ejercita el control, no obstante que todo el personal es
responsable de controlar sus propias áreas. De igual manera, el Auditor
Interno contribuye a la marcha efectiva del sistema de control, sin tener
responsabilidad directa sobre su establecimiento y mantenimiento.
En ambos casos aportan información útil acerca del nivel de calidad del
sistema de control y cómo mejorarlo. El Consejo de Administración y la
Auditoría vigilan y dan atención al sistema de control interno.
Otras partes externas, como son los Auditores Independientes y. distintas
autoridades, contribuyen al logro de los objetivos de la Organización y
proporcionan información útil para el control interno. Ellos no son

50

responsables de su efectividad, ni forman parte de él, sin embargo
aportan elementos para su mejoramiento.
Internamente las responsabilidades sobre el control corresponden
conforme a lo siguiente:

Consejo de Administración. Establece no sólo la misión y los
objetivos de la organización, sino también las expectativas relativas a
la integridad y a los valores éticos.

Gerencia: Debe asegurar que existe un ambiente propicio para el
control.

Ejecutivos financieros: Entre otras cosas, apoyan la prevención y
detección de reportes financieros fraudulentos.

Comité de Auditoria: Es el órgano que no sólo tiene la facultad de
cuestionar a la Gerencia en relación con el cumplimiento de sus
responsabilidades, sino también asegurar que se tomen las medidas
correctivas necesarias.

Auditoría Interna: A través del examen de la efectividad y
adecuación del sistema de control interno y mediante
recomendaciones relativas a su mejoramiento.

Área Jurídica: Llevando a cabo la revisión de los controles y otros
instrumentos legales, con el fin de salvaguardar los bienes de la
Empresa.

Personal de la Organización: Mediante la ejecución de las
actividades que tiene cotidianamente asignadas y tomando las
acciones necesarias para su control. También siendo responsable de
comunicar cualquier problema que se presente en las operaciones,
incumplimiento de normas o posibles faltas al código de conducta y
otras violaciones.

La participación de las entidades externas puede manifestarse en:

Auditores Independientes: Proporcionan al Consejo de
Administración y a la Gerencia un punto de vista objetivo e
independiente, que contribuye al cumplimiento del logro de los
objetivos de los reportes financieros, entre otros.

Autoridades (ejecutivas/legislativas): Participan mediante el
establecimiento de requerimientos de control interno, así como en el
examen directo de las operaciones de la Organización, haciendo
recomendaciones que lo fortalezcan.

Proceso de
evaluación
La evaluación del control constituye en sí todo un proceso dentro del cual,
aunque los enfoques y técnicas varíen, priman una disciplina apropiada y
principios que le son inherentes.

51

El evaluador deberá conocer y entender cada una de las actividades de la
entidad y cada componente de control interno que las mismas conllevan,
siendo aconsejable conocer primero el funcionamiento teórico del
sistema, es decir, su diseño original. No obstante esto, la tarea más
consistente del evaluador es averiguar el funcionamiento real del sistema:
que los controles existan, que estén formalizados, que se apliquen
cotidianamente como una rutina incorporada a los hábitos, y que resulten
aptos para los fines perseguidos.

Metodología

El método utilizado puede ser cualquiera de aplicación en estas tareas,
es decir, cuestionarios, encuestas personales, técnicas de
flujodiagramación, etc., siendo estas herramientas aptas para medir la
eficacia del sistema directamente o a través de la comparación con otros
sistemas de control probadamente buenos como son las técnicas de
“benchmarking”.

Documentación

El nivel de documentación de los controles varía según la dimensión y
complejidad de la entidad. Las entidades grandes normalmente cuentan
con manuales, organigramas, descripción de puestos, instrucciones
operativas, flujogramas de los sistemas de información, etc, Sin embargo,
en otras empresas existen controles informales que, aunque no estén
documentados, se aplican correctamente y son eficaces.
Si bien un nivel adecuado de documentación suele aumentar la eficiencia
de la evaluación, y resulta más útil al favorecer la comprensión del
sistema por parte de los empleados, la existencia de documentación, no
siempre garantiza que los controles se cumplan. La naturaleza y el nivel
de la documentación requieren mayor rigor cuando se necesite demostrar
la fortaleza del sistema ante terceros.

Plan de acción que
contemple






El alcance de la evaluación
Las actividades de supervisión continuadas existentes.
La tarea de los auditores internos y externos.
Áreas o asuntos de mayor riesgo.
Programa de evaluaciones.
Evaluadores, metodología y herramientas de control.

52


6.3.

Presentación de conclusiones y documentación de soporte
Seguimiento para que se adopten las correcciones pertinentes.

Comunicación de las deficiencias
6.3.1. Deficiencia. Concepto
En un sentido amplio, al hablar de deficiencia, se hace referencia a un elemento
de control interno que merece atención, ya se trate de un defecto percibido
(potencial o real), o bien de una oportunidad para reforzar el sistema de control
interno.
Las deficiencias o debilidades del sistema de control interno detectadas a través
de los diferentes procedimientos de supervisión (procesos continuos o
evaluaciones puntuales) deben ser comunicadas a efectos de que se adopten las
medidas de ajuste correspondientes. La identificación de las deficiencias puede
surgir de diferentes fuentes: el propio control interno, la supervisión y la
evaluación. También, a través de la relación con terceros, por medio de reclamos,
demandas, etc.

¿Sobre qué
deficiencias se
debe informar?
No existe una respuesta que sea de aplicación generalizada a todas las
empresas. El tema tiene muchos matices subjetivos. No obstante, se
pueden delinear algunos parámetros, por ejemplo, deberían comunicarse
a quienes puedan tomar las medidas correctivas, aquellas deficiencias
que ponen en peligro la consecución de los objetivos de la entidad,
también se deberían informar aquellos problemas que si bien, no
importan un menoscabo de envergadura sobre los sistemas controlados,
su impacto negativo al ambiente organizacional, es de considerable
importancia.

¿A quien
informar?

La comunicación de las deficiencias debe seguir normalmente el camino
que conduce al inmediato superior. Pero la orientación general debe ser
que finalmente llegue a la autoridad que puede tomar la acción correctiva.
Un caso ejemplificador es aquel en el que el problema detectado cruza
los límites organizacionales; aquí la comunicación debe ser dirigida al
nivel suficientemente elevado como para asegurar una acción apropiada.
Los procedimientos para este tipo de informes se deben establecer
formalmente. Sin embargo, teniendo en cuenta que se trata de una

53

materia donde es prácticamente imposible cubrir todas las posibilidades,
es conveniente emitir procedimientos con orientaciones generales y
ejemplos adecuados.

6.4.

Conclusión
Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder
evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy
debemos realizar para ayudar a nuestras organizaciones a definir nuevos horizontes
que maximicen oportunidades.
Es nuestro propósito actuar como agentes del cambio y, por tanto, es nuestra
responsabilidad estar a la vanguardia del cambio. El tratar de convertirnos en asesores
o consultores internos confiables, eliminando en lo posible todos los trabajos que nos
aportan un valor agregado a nuestros productos o servicios, como por ejemplo tienden a
convertirnos en evaluadores críticos de los sistemas de información y realizando
auditorias sobre las operaciones conforme se van gastando y no sobre acontecimientos
pasados que no tienen solución.

54

BIBLIOGRAFIA

AICPA: Statements on Auditing Standards, núm. 1, Declaraciones sobre normas de
auditoria, noviembre. En: American institute of certified public accountants: Declaraciones
sobre normas de auditoría. Codificación de normas y procedimientos de auditoría, Vol. I
México.

AICPA: Statements on Auditing Standards, núm. 55, Evaluación de la estructura del control
interno en una auditoría de estados financieros, abril. En: American institute of certified
public accountants: Declaraciones sobre normas de auditoría. Codificación de normas y
procedimientos de auditoría, Vol. IV, México D.F.: Instituto Mexicano de Contadores
Públicos. 1988-1995.

ALVAREZ LÓPEZ, J. y BLANCO ILLESCAS, F., “Enfoque sistémico de la contabilidad de
dirección estratégica”, Técnica Contable, (1993).

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, Comunicación “A” 2525”. Circular
CONAU 1-212. Fecha 02.04.97.

BANCO DE MÉXICO (Exposición), V Reunión de Auditores Internos de banca Central.

COOPERS & LYBRAND, “Los nuevos conceptos del control interno (Informe COSO)”, Ed.
Díaz de Santos, (1997), España.

El sistema de control interno: problemática de su implantación en la empresa.14 Hitos de
Ciencias Económicos-Administrativas. Universidad Autónoma de Tabasco.

JENSEN, M.C., “Éxito y fracaso de los sistemas de control interno”, Harvard Deusto
Business-Review. (1995).

NARDELLI, Jorge R., “Auditoría y seguridad de los sistemas de computación”, Buenos
Aires, Cangallo, (1984).

RUSSENAS, Rubén Oscar, “Manual de control interno”, Buenos Aires, Cangallo, (1978).

SINDICATURA GENERAL DE LA NACIÓN, “Normas Generales de Control Interno”. (1998).

WALKER, D. W., “Sistemas de información para la administración”, Ed. Alfaomega; México,
(1996).

55

I N D I C E
PROLOGO ............................................................................................................................

2

CAPÍTULO 1 – CONTROL INTERNO ..................................................................................

3

1.1. Antecedentes. Evolución de las necesidades de la empresa en materia de
control ........................................................................................................................
1.2. Conflicto entre propietario y directivos ................................................................
1.3. Nuevos modelos en el enfoque de control ..........................................................
1.4. Nuevas normas ...................................................................................................
1.4.1. Normas IIA ...........................................................................................
1.5. Informe COSO ....................................................................................................
1.5.1. ¿Quiénes elaboraron estas normas? ...................................................
1.5.2. Finalidad del informe ............................................................................
1.5.3. Definición de Control Interno según las normas COSO .......................
1.6. Componentes o elementos de control interno ....................................................
1.7. Qué se puede lograr con el control interno .........................................................
1.8. Qué no se puede lograr con el control interno ....................................................
1.9. Factores que suponen un freno a la implementación de un sistema control
interno en la gestión empresarial ...............................................................................

3
4
4
5
6
6
7
7
7
9
11
11
11

CAPÍTULO 2 - ENTORNO DE CONTROL ...........................................................................

12

2.1. ¿Qué es el entorno de control? ..........................................................................
2.2. Importancia .........................................................................................................
2.3. Factores que lo constituyen ................................................................................
2.3.1. Los valores éticos ................................................................................
2.3.2. Compromiso de competencia profesional. Conceptualización ............
2.3.3. Filosofía y estilo de la Dirección ..........................................................
2.3.4. Estructura y Plan Organización ...........................................................
2.3.5. Políticas y prácticas de Recursos Humanos .......................................
2.3.6. Comité de Administración o Comité de Auditoría ................................

12
12
13
13
15
15
16
17
18

CAPÍTULO 3 – EVALUACIÓN DE RIESGOS ......................................................................

20

3.1. El impacto de los riesgos en la organización ......................................................
3.2. El Riesgo y los objetivos de la Organización ......................................................
3.3. Objetivos .............................................................................................................
3.4. Riesgos ...............................................................................................................
3.5. Manejo de cambios .............................................................................................

20
21
21
24
28

CAPÍTULO 4 – ACTIVIDADES DE CONTROL ....................................................................

29

4.1. Definición ............................................................................................................
4.2. Importancia de las actividades de control ..........................................................
4.3. ¿Quiénes las llevan a cabo? ..............................................................................
4.4. Categorías ..........................................................................................................
4.5. Mecanismos de control .......................................................................................

29
29
30
30
30

56

4.5.1. Segregación o separación de funciones .............................................
4.5.2. Análisis realizados por la dirección ......................................................
4.5.3. Documentación ....................................................................................
4.5.4. Niveles definidos de autorización .........................................................
4.5.5. Registro oportuno y adecuado de las transacciones y hechos ............
4.5.6. Acceso restringido a los recursos, activos y registros .........................
4.5.7. Rotación del personal en las tareas claves .........................................
4.5.8. Control del sistema de información ......................................................
4.5.9. Controles físicos ...................................................................................
4.5.10. Indicadores de desempeño ................................................................
4.5.11. Función de auditoría interna independiente .......................................
4.6. Control sobre los sistemas de procesamiento electrónico de datos ...................
4.6.1. Controles generales .............................................................................
4.7. Controles sobre las aplicaciones ........................................................................
4.8. Autoevaluación de controles basada en los modelos .........................................
4.8.1. Evaluación de controles informales .....................................................
4.8.2. Evaluación de controles formales ........................................................
4.8.3. Informe de Resultados .........................................................................

31
31
31
31
32
32
32
33
33
33
34
34
34
38
38
38
39
39

CAPÍTULO 5 – INFORMACIÓN Y COMUNICACIÓN ..........................................................

41

5.1. Información .........................................................................................................
5.1.1. Concepto e importancia .......................................................................
5.1.2. El sistema de información ....................................................................
5.1.3. Estrategias y sistemas integrados .......................................................
5.1.4. Integración con las operaciones ..........................................................
5.1.5. Coexistencia de tecnologías ................................................................
5.1.6. La adquisición de nuevas tecnologías .................................................
5.1.7. La calidad de la información ...............................................................
5.1.8. Información y responsabilidad .............................................................
5.1.9. Contenido y Flujo de la Información ....................................................
5.1.10. Flexibilidad al cambio .........................................................................
5.1.11. Compromiso de la autoridad superior ................................................
5.2. Comunicación .....................................................................................................
5.2.1. Comunicación externa .........................................................................
5.2.2. Comunicación, valores organizacionales y estrategias .......................
5.2.3. Canales de comunicación ....................................................................

41
41
42
43
43
43
43
43
44
44
45
45
46
46
47
47

CAPÍTULO 6 – SUPERVISIÓN .............................................................................................

48

6.1. Concepto. Necesidad de evaluar un sistema de control .....................................
6.1.1. Validación de los supuestos asumidos ................................................
6.2. Actividades de Evaluación ..................................................................................
6.2.1. Actividades continuas ..........................................................................
6.2.2. Evaluaciones puntuales .......................................................................
6.3. Comunicación de las deficiencias .......................................................................
6.3.1. Deficiencia. Concepto. .........................................................................
6.4. Conclusión ..........................................................................................................

48
48
49
49
50
53
53
54

BIBLIOGRAFÍA .....................................................................................................................

55

57