Original: INTERNAL CONTROL- INTEGRATED FRAMEWORK Issued by: Committee Of Sponsoring Organizations Of The Treadway Commission: Traduccién al espafiol: SAMUEL ALBERTO MANTILLA con la colaboracién de Marina Ardila M., Sandra Milena Hemandez, Maria Stella Correa G., Ligia Yanira Villamizar, FACULTAD DE CONTADURIA PUBLICA, UNIVERSIDAD AUTONOMA DE BUCARAMANGA, Bucaramanga (Colombia). Serie: Textos universitarios ISBN: 958-648-346-0 Primera edicidn: Santa Fe de Bogoti, D.C., 1997 Primera reimpresion: Santa Fe de Bogotd, D.C., marzo de 1998, Segunda reimpresién: Santa Fe de Bogoti, D.C., septiembre de 1998 ‘Tercera reimpresién: Santa Fe de Bogotd, D.C., marzo de 1999 Segunda edicién: Santa Fe de Bogota, D.C., marzo de 2000 Primera reimpresion segunda edicién: Bogota, D.C., febrero de 2001 Segunda reimpresion: Bogotd, D.C., enero de 2002 Tercera reimpresién: Bogot, D.C., agosto de 2002 ‘Tercera edicién: Bogotd, D.C., octubre de 2003 Reimpresién: Bogota, D.C., junio de 2004 Cuarta edicién: Bogoti, D.C., abril de 2005 © This translation of Internal Control - Integrated Framework, Copyright © 1994 by Commitiee Of Sponsoring Organizations Of The Treadway Commission, is made with the permission of the American Institute of Certified Public Accountants, inc., New York, N. © Esta traduccién del Internal Control - Integrated Framework, Copyright © 1994 por el Committee Of Sponsoring Organizations Of The Treadway Commission, es realizada con permiso del American Institute of Certified Public Accountants, Inc., New York, N.Y. Dela traduccién: Samuel Alberto Mamtilla Blanco. saman@cablennet.co samantilla@samantilla.net Marina Ardila M., Sandra Milena Heméndez, Maria Stella Correa G,, Ligia Yanira Villamizar, © ecoe ediciones E-mail:correo@ecoeediciones com www.ecoeediciones.com Calle 32 Bis N°, 17-22, Tel.: 2889821 Coordinacién editorial: Adriana Gutiémez Autoedicién: Yolanda Madero ‘T., Carlos Enrique Alzate M Fotolito: Imagen Grifica Ltda, Portada: Diseflo Grifico & Sistemas Impreso por Esfers Editores Ltda Bogota, D.C., Colombia Impreso en Colombia Printed in Colombia Prohibida su reproduccién o transmisién sin permiso escrito de los traductores y editores.TABLA DE CONTENIDO Pag. A propésito de la traduccién.. 1 PARTE L RESUMEN EJECUTIVO 3 {Qué es control interno? ..... 3 {Qué puede hacer el control interno? 7 {Qué no puede hacer el control interno? 7 Redes y responsabilidades ..... 8 Presentacién de este informe (COSO).. 9 iQue hacer? ... 10 PARTE II. FRAMEWORK (Estructura conceptual) 13 Capitulo 1. Definicién 3 Control intemo... 14 Un proces0 a..sscseens 15 Personal 16 Seguridad razonable 16 Objetivos.... 17 Componentes 18 Relaciones entre objetivos y componentes 21 Efectividad . 22 Capitulo 2. Ambiente de control 25 Fattorés del-amibiente de Conteh oo ssisnssisnissnauatiaecanaiiciaeccsisce 29 Integridad y valores éticos .. 26 Proporcionando y comunicando orientacién moral. 28 Compromisos para la competencia... 29 Consejo de directores o comité de auditori: 30 Filosoffa y estilo de operaci6n de la administracién 31 Estructura organizacional ... 31 Asignacién de autoridad y responsabilidad 32 Polfticas y practicas sobre recursos humanos 33 Diferencias e implicaciones.. 34 Aplicacién a las entidades pequefias y medianas . 35 Evaluacién 36 Capitulo 3. Valoracién de riesgos ...... 39 Objetivos... : 40 Categorfas de objetivo: 40Vil CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Cobertura de objetivos 44 Vinculaciéi : 45 Consecucién de los objetivos . 46 Riesgos . 47 Identificacién de 47 Nivel de la entidad . 48 Nivel de actividad 50 Andlisis de riesgos 50 Manejo del cambio 52 Circunstancias que demandan atencién especial oe Mecanismos .. 55 Mirada progresista .. 55 Aplicaci6n a entidades pequefias y mediana: 56 Evaluaci6n .... 57 Capitulo 4. Actividades de control . 59 Tipos de actividades de control .. 60 Politicas y procedimientos 62 Integracién con la valoracién de riesgos 62 Controles generales 64 Controles de aplicacién ... 66 Relaciones entre controles generales y de aplicacién 66 Desarrollo de resultados .. . 67 Especffico para la entidad .... 68 Aplicacién a entidades rieaiielias y rhea nas 69 Evaluacién 70 Capitulo 5. Informacién y comunicacién m1 Informacién i Sistemas estratégicos e integrados .. 73 Calidad de la informacién_ 76 Comunicacién .. 16 Interna 16 Externi 719 Medios de comunicacién .. 80 Aplicacion a entidades pequefias y medianas .. 80 Evaluacién 81 Capitulo 6. Monitoreo 83 Actividades de monitoreo Ongoing 84 Evaluaciones separadas 86 Alcance y frecuencia 86 .Quién evaliia? .. 87 El proceso de evaluacién .. 87‘TABLA DE CONTENIDO x Documentacién Plan de accién 89 Informacién de deficiencias 90 Fuentes de informacién ... 90 Qué debe informarse? 90 2A quién informar? .. 91 Directrices sobre reportes 92 Aplicacién a entidades pequefias y medianas.. 93 Evaluacién ... 94 Capitulo 7. Restricciones del control interno 95 Juicio..... 96 Resquebrajamientos Colusién. 98 Costos versus beneficios..... 98 Capitulo 8. Roles y responsabilidades 101 Partes responsables .. 102 102 Administracion Consejo de directores 105 Auditores interno: 107 Otro personal de la entidad . 109 Partes externas ... 110 Auditores externos 110 Legisladores y reguladores . i Partes que interacttian con la entidad 112 Analistas financieros, agencias de clasificacién de obligaciones y medios le COMMA CIO tle a tcettna at cnnsacnacnanncnatamntnnsicn LE Apéndice A. Escenario y eventos principales relacionados con el estudio . 5 Watergate 116 Foreing Corrupt Practices Act de 1977 116 Comisién Cohen .... 7 Securities and Exchange Commission. 7 Comité Minahan ..... 7 Financial Executives Research Foundation sss 118 inciamientos de auditoria Iniciativas legislativas . ui9 Comisi6n Treadway .. Elestudio 121 Apéndice B. Metodologia 123 Buisqueda de literatura . 124x CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Entrevistas uno-a-uno 125 Cuestionaric 125 Workshops 126 Exposicién péblica 127 128 Exposicién adicional 128 Agradecimientos . 128 Apéndice C. Perspectivas sobre uso de la definicion 131 Perspectivas diferentes 132 Administracién .. 132 Auditores internos ....... 133 Auditores independiente ....... 133 Otras partes externas... 134 Definicién 135 i 135 Bekinicinnes\depropésitoseapetial:., 136 Apéndice D. Consideraciones sobre las cartas comentario. 139, Definicién 139 Component 142 El control intemo y el proceso administrativo . 144. Roles y responsabilidades 145 Compaiifas grandes versus pequefias. 145 Informacién a partes externas 146 Otras consideraciones 147 Apéndice E. Glosario de términos seleccionados 149 PARTE II], REPORTE A PARTES EXTERNAS 53 Alcance del reporte .... z 154 Controles sobre el cumplimiento de leyes y regulaciones 156 Diferenciando categorias de control 156 Ambiente de control .. 157 Andlisis de riesgos y actividades de control . 160. Informacién y comunicacién . 161 Monitoreo .. 161 Cronograma « 162 Reportes anuales/intermedios 163 Perfodos futuro: 164 Contenido del reporte 165 Declaracién de las responsabilidades de la gerencia .. 165, Discusién de los elementos especificos 165, Limitaciones inherentes de! control interno 66 Respuesta de la gerencia a las deficiencias Copyrighted material 167TABLA DE CONTENIDO XI Nuevas guias para los reportes 168 Compajfiia XYZ... 170 Estado financiero .... 171 Sistema de control interno .. 171 Debilidades materiales 172 is acion 174 El significado de las deficiencias especificas ... 175 Consideraciones materiales cuantitativas NTS Documentacion .... Apéndice. Consideraciones sobre las cartas comentario ... PARTE IV, HERRAMIENTAS DE EVALUACION ww. 183 Introduccién .. se Henan madcle 83 Herramientas que los componen. 184 Valoracién de riesgos y actividades de control en la hoja de trabajo 185 Conjunto del sistema de evaluacién de control interno 18s Ambiente de control 187 Valoracién de riesgos . 197 Actividades de control 205 Informacién y comunicacién ... 206 Evaluacién global del sistema de control interno 214 Manual de referencia. 216 Ejemplo elaborado de las herramientas 281 Ambiente decontrol . 281 Valoracién de riesgos .. 295 Actividades de control uss 305 Informaci6n y comunicacién 307 Monitoreo 313 Evaluacién global del sistema de control intern 319 PARTE V. ADENDA A "REPORTE A PARTES EXTERNAS"(Mayo de 1994) 323 Propésito 325 Introducci6n .. 326 Conclusion... 327 Definicién 328 Presentacién de reportes 330 APENDICE. Resumen ejecutivo del Informe COSO sobre administracién de riesgos del emprendimiento ...... 331APROPOSITO DE ESTA TRADUCCION El presente volumen ofrece una traduccion al espafiol del texto completo del Informe COSO relacionado con el CONTROL INTERNO, la cual viene acompafiada por una yersidn al espafiol del resumen ejecutivo del Informe COSO sobre ADMINISTRACION DE RIESGOS DEL EMPRENDIMIENTO. Se trata de dos documentos complementarios que cada dia reciben mayor aceptacion y cuya fuerza es cada vez mayor, dados los esfuerzos orientados a fortalecer el control interno en el mundo entero. El primer documento, relacionado con el CONTROL INTERNO, ya es bastante conocido y constituye la mayor parte del presente volumen, Comprende cinco partes: (1) resumen ejecutivo, (2) estructura conceptual integrada, (3) reportes a partes externas, (4) herramientas de evaluacién, y (5) adenda a reportes a partes externas. Fue publicado originalmente en inglés en septiembre de 1992 y en 1994 se le hizo una adenda, Desde entonces, ECOE EDICIONES ha mantenido actualizada su traduccion al espafiol, que ha recibido enorme aceptacién en el mundo de habla hispana. Este primer documento tiene una importancia enorme basicamente por dos hechos: 1. Incorporé en una sola estructura conceptual los distintos enfoques existentes a nivel mundial y generé un consenso para solucionar las miltiples dificultades que originaban confusion entre gente de negocios, legisladores, reguladores y otros. Ello daba como resultado malas comunicaciones y distintas expectativas, lo cual ocasionaba problemas en las empresas. Con el Informe COSO esto se soluciona. 2. Actualizé la practica del control interno, lo mismo que los procesos de disefio, implantaciény evaluacion. También los informes de los administradores sobre el mismo, con los consiguientes dictdmenes externos. Llegado el milenio veintiuno, los acontecimientos relacionados con Enron y similares aumentaron el centro de atencién mundial por fortatecer las practicas de gobierno corporativo, administracién de riesgos y, principalmente, controles internos. La Sarbanes-Oxley Act de 2002, una norma de caracter legal emitida para el mercado de valores de los Estados Unidos, acrecenté sus exigencias y, dada su claridad conceptual y técnica, r4pidamente se ha empezado a replicar por fuera del mercado de valores y por fuera de los Estados Unidos. Inirodujo con fuerza la dindmica de los distintos roles y las diferentes responsabilidades asociadas con el control interno y, sobre todo, la auditoria del control interno al exigir que la administracién valore la efectividad del sistema de control interno y la someta a atestacién por parte del auditor independiente, de una2 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) manera integrada con la auditoria de estados financieros,! todo ello a partir de una misma estructura conceptual de control interno, la ofrecida por COSO. El segundo documento que se incluye en este volumen corresponde al Resumen ejecutivo del Informe COSO sobre Administracién de riesgos del emprendimiento [Enterprise Risk Management ~ integrated Framework] publicacto en septiembre de 2004. Este nuevo informe COSO hace parte de una lista ya amplia y reconocida, de ta cual se amuncia uno nuevo para el futuro proximo: la aplicacién del control interno en entidades de tamaio mediano y pequehio. Recoge la estructura conceptual del control interno y la amplia en el contexto de la administracién de riesgos: incorpora un nuevo objetivo (estratégico) y define ocho componentes: identificacién de eventos, valoracin del riesgo, respuesta al riesgo, actividades de control, informacién y comunicacion, y monitoreo. Mantiene la relacién entre objetivos-componentes-niveles yv de hecho fortalece atin mas la estructura conceptual integrada de control interno. La innovacién principal radica en el entendimiento de los eventos (= riesgos & oportunidades), un asunto que se vuelve clave a la hora de entender los estandares internacionales de informacion financiera (IFRS) centrados en la contabilizacién de transacciones, eventos y contratos. En latinoamérica, el entendimiento y la incorporacion de los Informes COSO ha sido lento, se han vencido algunas de las dificultades de traduccién, pero se ha avanzado bastante en esta direccién. Hacen falta mayores saltos cuantitativos para su aplicacibn plena en el contexio de los estindares internacionales de la més alta calidad. Este volumen es, por lo tanto, un aporte importante de ECOE EDICIONES ail entendimiento y a la practica efectiva del control interno, Se une amuchos otros esfuerzos que le dan mayor solidez a esta direccion, Tiene en sus manos el lector un volumen de extrema importancia tanto para las organizaciones de negocios como para las sin dnimo de lucro, volumen al que se le podré sacar el mejor provecho en beneficio de los diferentes stakeholders de las organizaciones concretas. Samuel Alberto Mantilla B. Bogota, marzo de 2005 1 Um andlisis a fondo de esto y Ia versiin al espafiol del Auditing Standards No. 2 de la US-PCAOB se encuentra en el libro AUDITORIA DEL CONTROL INTERNO. cuyos autores son Samuel Alberto Mantilla y Sandra Yolima Cante, publicado por ECOF. EDICIONES a comienzos de 2005. ‘Algunos 10 traducen como “Gestion de riesgos empresariales’ 0 como. “Administracion de riesgos empresiriales. ’ Aci se insiste en ‘emprendimiento’ y no tanto en ‘empresa’ dado que FRM (al igual que el Contro! Interno) es entendida como un “proceso.” Los procesos no son estructuras, son relaciones mire clementos interdependientes ¢ interactuantes en funcién de un objetivo comun, Por eso se trata del ‘emprendimiento,” esto es, el ‘camino’ (proceso) para llegar a los objetivos: la organizacién/estructura, mediante procesos va hacia el logro de sus objetivos-metas-visién-mision-mereados.PARTE I RESUMEN EJECUTIVO Los ejecutivos principales! hacen fuertes exigencias para mejorar el control de las empresas que dirigen. Los controles internos se implantan para mantener la compa- fifa en la direcci6n de sus objetivos de rentabilidad y en la consecuci6n de su misi6n, asf como para minimizar las sorpresas en el camino. Ellos le hacen posible a la admi- nistraci6n negociar en ambientes econémicos y competitivos répidamente cambian- tes, ajustindose a las demandas y prioridades de los clientes, y reestructurandose para el crecimiento futuro. Los controles internos promueven la eficiencia, reducen los riesgos de pérdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de las leyes y regulaciones. Puesto que los controles internos sirven a muchos propésitos importantes, existen crecientes llamadas para mejorar los sistemas de control interno y los informes sobre ellos. Los controles internos son percibidos cada vez mas y mas como solucion a una variedad de problemas potenciales. {Qué es control interno? El control interno significa cosas distintas para diferente gente. Ello origina confusién entre personas de negocios, legisladores, reguladores y otros. Dando como resultado malas comunicaciones y distintas expectativas, lo cual origina problemas. Tales proble- mas'se entremezclan cuando el término, si no es definido claramente, se escribe en leyes, regulaciones 0 reglas. Este informe se refiere a las necesidades y expectativas de administradores y otros. Define y describe el control interno para: " Senior excecutives. (N. del)4 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) + Establecer una definicién comiin que sirva a las necesidades de diferentes partes. + Proporcionar un estdéndar mediante el cual las entidades de negocios y otras -grandes © pequefias, en el sector ptiblico 0 privado, con dnimo de lucro 0 no- puedan valorar sus sistemas de control y determinar cémo mejorarlos. El control interno se define ampliamente como un proceso realizado por el conse- jo de directores?, administradores y otro personal de una entidad, disefiado para pro- porcionar seguridad razonable mirando el cumplimiento de los objetivos en las si- guientes categorias: * Efectividad y eficiencia de las operaciones. * Confiabilidad de la informacién financiera. * Cumplimiento de las leyes y regulaciones aplicables. La primera categoria se orienta a los objetivos basicos de negocios de una entidad, incluyendo los objetivos de desempefio y rentabilidad y la salvaguarda de recursos. La segunda se relaciona con la preparacién de estados financieros publicados, confiables, incluyendo estados financieros intermedios’ y datos financieros seleccio- nados derivados de tales estados, tales como ganancias realizadas, informadas puibli- camente. La tercera se refiere al cumplimiento de aquellas leyes y regulaciones a las que est sujeta la entidad. Tales categorias distintas pero interrelacionadas, orientan necesidades diferentes y permiten dirigir la atenciOn para satisfacer necesidades se- paradas. Los sistemas de control interno operan a niveles diferentes de efectividad. El con- trol interno puede juzgarse efectivo en cada una de las tres categorfas, respectiv mente, si el consejo de directores y la administracién tienen seguridad razonable sobre que: + Comprenden la extensién en la cual se estan consiguiendo los objetivos de las operaciones de la entidad. + Los estados financieros publicados se estén preparando confiablemente; + Se esté cumpliendo con las leyes y regulaciones aplicables. Puesto que el control interno es un proceso, su efectividad es un estado 0 condi- cién del mismo en uno o mas puntos a través del tiempo. El control interno consta de cinco componentes interrelacionados, derivados de la manera como la administracién realiza los negocios, y estén integrados al proceso de 2 Board of directors = Consejo de Directores; Junta Directiva: Alta Gerencia. (N. del 1.) 3 Intermedios,interinos, por segmentos, pro-forma, Son Estados Finarcieros que no necesariamente coinciden con Jos de final del periodo contable. (N. delPARTE I, RESUMENEJECUTIVO 5 administracin. Aunque los componentes se aplican a todas las entidades, las compa- fifas pequefias y medianas pueden implementarlos de forma diferente que las gran- des. Sus controles pueden ser menos formales y menos estructurados, no obstante lo cual una compafifa pequefia puede tener un control interno efectivo. Los componen- tes son: © Ambiente de control. E| ambiente de control da el tono de una organizacién, influenciando la conciencia de control de sus empleados. Es el fundamento de todos los demas componentes del control interno, proporcionando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la competencia de la gente de la entidad; la filosoffa y el estilo de operacién de la admi- nistraci6n; la manera como la administracin asigna autoridad y responsabiliza, y cémo organiza y desarrolla a su gente; y la atenci6n y direccién proporcionada por el consejo de directores. + Valoracién de riesgos. Cada entidad enfrenta una variedad de riesgos de fuentes externas ¢ internas, los cuales deben valorarse. Una condicién previa a la valoracién de riesgos es el establecimiento de objetivos, enlazados en distintos niveles y consis- tentes internamente. La valoracién de riesgos es la identificacién y el andlisis de los riesgos relevantes para la consecucién de los objetivos, constituyendo una base para determinar cémo se deben administrar los riesgos, Dado que la economia, la indus- tria, las regulaciones y las condiciones de operacién continuardn cambiando, se re- quieren mecanismos para identificar y tratar los riesgos especiales asociados con el cambio. + Actividades de control. Las actividades de control son las politicas y los proce- dimientos que ayudan a asegurar que las directivas administrativas se lleven a cabo. Ayudan a asegurar que se tomen las acciones necesarias para orientar los riesgos hacia la consecucién de los objetivos de la entidad. Las actividades de control se dan a todo lo largo de la organizacién, en todos los niveles y en todas las funciones. Incluyen un rango de actividades diversas como aprobaciones, autorizaciones, verifi- caciones, conciliaciones, revisiones de desempeno operacional, seguridad de activos y segregacién de funciones. + Informacién y comunicacién. Debe identificarse, capturarse y comunicarse i formacién pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades. Los sistemas de informacién producen reportes, contienen informacién operacional, financiera y relacionada con el cumplimiento, que hace posible operar y controlar el negocio. Tiene que ver no solamente con los datos generados internamente, sino también con la informacién sobre eventos, activi- dades y condiciones externas necesarias para la toma de decisiones, informe de los Negocios y reportes externos. La comunicacién efectiva también debe darse en un sentido amplio, fluyendo hacia abajo, a lo largo y hacia arriba de la organizacién.6 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Todo el personal debe recibir un mensaje claro de parte de In alta gerencia respecto a que las responsabilidades de control deben tomarse seriamente. Deben entender su propio papel en el sistema de control interno, lo mismo que la manera como las acti- vidades individuales se relacionan con el trabajo de otros. Deben tener un medio de comunicar la informacién significativa. También necesitan comunicarse efectivamente con las partes externas, tales como clientes, proveedores, reguladores y accionistas * Monitoreo. Los sistemas de control intemo deben monitorearse, proceso que valora la calidad del desempefo del sistema en el tiempo. Es realizado por medio de actividades de monitoreo ongoing’, evaluaciones separadas 0 combinacién de las dos. E] monitoreo ongoing ocurre en el curso de las operaciones. Incluye actividades regulares de administraci6n y supervisin y otras acciones personales realizadas en el cumplimiento de sus obligaciones. El alcance y la frecuencia de las evaluaciones separadas dependerd primeramente de la valoracién de riesgos y de la efectividad de los procedimientos de monitoreo ongoing. Las deficiencias del control interno debe- ran reportarse a lo largo de la organizacién, informando a laalta gerencia y al consejo solamente los asuntos serios. Existe sinergiae interrelacién entre esos componentes, formando un sistema inte- grado que reacciona dinamicamente a las condiciones cambiantes. Los sistemas de control interno estén entrelazados con las actividades de operacién de la entidad y existen por razones fundamentales de negocios. El control interno es mas efectivo cuando los controles se construyen en la infraestructura de la entidad y son parte de la esencia de la empresa. Construir en los controles apoya la calidad y Jas iniciativas de empoderamiento, evita costos innecesarios y permite respuestas rapidas a las condi- ciones cambiantes. Existe una relacién directa entre las tes categorfas de objetivos, los cuales son: qué se esfuerza una entidad en conseguir, y los componentes, los cuales representan lo requerido para conseguir los objetivos. Todos los componentes son relevantes para cada categorfa de objetivos. Cuando revisamos cualquier categoria -la efectividad y eficiencia de las operaciones, por ejemplo- todos los cinco componentes deben estar presentes y funcionar efectivamente para concluir que el control intemo sobre las operaciones es efectivo. La definicién de control interno -que es el concepto fundamental subyacente de un proceso, realizado por Ia gente, que proporciona una seguridad razonable- junto con la categorizacion de objetivos, los components y criterios para la efectividad, y as discusiones asociadas, constituyen esta estructura conceptual del control interno. 4 Ongoing cs un témmino tecnico ainpliamente conocido, que significa: estar aciualmente en proceso, que se est moviendo continuameate hacia adelante, crecientemente. Es lo que también se denomina como en tiempo rea: en Ja medida en que ocurren los acontecimientos, (N. del t,)PARTE |. RESUMEN EJECUTIVO. 7 {Qué puede hacer el control interno? El control interno puede ayudar a una entidad a conseguir sus metas de desempe- fio y rentabilidad, y prevenir la pérdida de recursos. Puede ayudar a asegurar infor- maci6n financiera confiable, y a asegurar que la empresa cumpla con las leyes y regulaciones, evitando pérdida de reputacin y otras consecuencias. En suma, puede ayudar a una entidad a cumplir sus metas, evitando peligros no reconocidos y sorpre- sas a lo largo del camino. {Qué no puede hacer el control interno? Infortunadamente, algunas personas tienen expectativas mayores e irreales. Con- sideran que: + Elcontrol interno puede asegurar el éxito de una entidad, esto es, el cumplimiento de los objetivos basicos del negocio, o cuando menos, la supervivencia. El control interno efectivo solamente puede ayudar a que una entidad logre sus objetivos. Puede proporcionar informacién administrativa sobre el progreso de la entidad, o hacia su consecucién. Pero no puede cambiar una administracién ineficiente por una buena. Y, transformdndolas en politicas o programas de gobierno, acciones de los competidores o condiciones econémicas pueden ir més allé del control admi- nistrativo. El control interno no asegura éxito ni supervivencia. * Elcontrol interno puede asegurar la confiabilidad de la informacién financiera y el cumplimiento de las leyes y regulaciones. Esta conviccién también es equivocada. Un sistema de control interno, no importa qué tan bien ha sido concebido y operado, puede proveer solamente seguridad razo- nable -no absoluta- a la administracién y a la junta directiva mirando la consecucién de los objetivos de una entidad. La probabilidad de conseguirlos esta afectada por limitaciones inherentes a todos los sistemas de control interno, por ejemplo los jui- cios en la toma de decisiones pueden ser defectuosos, y las fallas pueden ocurrir por simples errores 0 equivocaciones. Adicionalmente los controles pueden estar circuns- critos a dos 0 més personas, y la administracién tiene la capacidad de desborar el sistema. Otro factor de limitacién es que el disefio de un sistema de control interno puede reflejar estrechez de recursos, y los beneficios de los controles se deben consi- derar con relacién a sus costos. Entonces, aunque el control interno puede ayudar a una entidad a conseguir sus objetivos, no es la panaceaCONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Roles y responsabilidades Cada quign en una organizaci6n es responsable del control interno. + Administracién. El director ejecutivo jefe es el responsable tiltimo y debe asu- mit la propiedad del sistema. Mas que cualquier otro individuo, el director ejecutivo da el tono por lo alto’, el cual afecta la integridad y la ética asf como los otros factores de un ambiente de control positivo. En una compaiifa grande, el director ejecutivo cumple este deber proporcionando liderazgo y direccidn a los administradores prin- cipalesé y revisando la manera como ellos estn controlando el negocio. Los admi- nistradores principales. por su parte, asignan responsabilidades por el establecimien- to de polfticas y procedimientos de control interno mas especfficos al personal res- ponsable de las funciones de las unidades. En una entidad pequeiia, la influencia del director ejecutivo, a menudo un administrador-propietario, usualmente es mas direc- ta. En cualquier caso, es una responsabilidad que se traslada en cascada, un adminis- trador es efectivamente un director ejecutivo en su esfera de responsabilidad. Tienen significado particular los directores financieros y su personal vinculado, cuyas activi- dades de control cubren a lo ancho, hacia arriba y hacia abajo, las unidades de opera- ci6n y otras dependencias de una empresa. * Consejo de directores. La administracién es responsabilidad del consejo de di- rectores, el cual proporciona gobierno, guia y supervision reguladora. Los miem- bros de un consejo efectivo son objetivos, competentes e inquisitivos. También tie- nen un conocimiento de las actividades y del ambiente de la entidad, y aportan el tiempo necesario para cumplir plenamente sus responsabilidades como consejo. La administracién puede estar en una posicién de desbordar los controles ¢ ignorar 0 extinguir las comunicaciones de los subordinados, estableciendo una administracién deshonesta que intencionalmente falsifica los resultados para cubrir sus huellas. Un consejo fuerte, activo, particularmente cuando esta acoplado con canales de comuni- cacién, hacia arriba, efectivos y con funciones financieras, legales y de auditoria interna competentes, a menudo es mds capaz de identificar y corregir tales problemas. * Auditores internos. Los auditores intemos juegan un papel importante en la evaluacién de la efectividad de los sistemas de control, y contribuyen a la efectividad ongoing. A causa de su posicién organizacional y su autoridad en una entidad, una funcién de auditorfa interna juega a menudo un papel de monitoreo significativo. * Otro personal. El control intemo es, en algtin grado, responsabilidad de cada quien en una organizacién y por consiguiente debe ser una parte explicita o implicita de la descripcién del trabajo de cada uno. Virtualmente todos los empleados produ- 5 Tone at the top =tono por lo alto: marca ta pauta por Io alto: sefala el nivel mniximo.(N. del t) Senior managers. (N. del t.)PARTE 1. RESUMEN EJECUTIVO 9 cen informacién que se usa en el sistema de control interno o realiza otras acciones necesarias para efectuar el control. También, todo el personal debe ser responsable por la comunicacién hacia arriba de los problemas en las operaciones, del no cumpli- miento con el cédigo de conducta, y de otras violaciones de las politicas 0 ilegales, ciones A menudo, un ntimero de partes exiernas contribuye a la consecucién de los obje- tivos de una entidad. Los auditores externos, ofrecen un punto de vista independiente y objetivo, contribuyen directamente mediante la auditorfa de estados financieros ¢ indirectamente proporcionando informacién titil para la administraci6n y para el con- sejo, en orden acumplir sus responsabilidades. Otros proporcionan informaci6n para uso de la entidad, la cual afecta el control interno, sobre legisladores y reguladores, clientes y otros que realizan negocios con la empresa, analistas financieros, expertos en realizar raitings y medios de comunicacién. Las partes extemas, sin embargo, no son responsables puesto que no constituyen parte del sistema de control interno de la entidad. Presentacién de este informe (COSO) Este informe tiene cuatro vohimenes. El primero es el presente Resumen Ejecuti~ vo, una visién de alto nivel sobre la estructura conceptual del control interno, dirigido al director ejecutivo y a otros ejecutivos principales, miembros del consejo, legisla- dores y reguladores. El segundo volumen, la Estructura Conceptual, define control interno, describe sus componentes y proporciona criterios para que administradores, consejeros y otros. puedan valorar sus sistemas de control. Incluye el Resumen Ejecutivo?. El tercer volumen, Informacion a Partes Externas, es un documento suplemen- tario que proporciona orientacién a aquellas entidades que publican informes sobre control interno ademas de la preparacién de sus estados financieros publicos, 0 que estén contemplando hacerlo. El cuarto volumen, Herramientas de Evaluacién, proporciona materiales que se pueden usar en la realizacién de una evaluaci6n de un sistema de control interno. 7 Bsic segundo volumen es et que corresponde ala presente traduccidn, Incluye, por consiguiente, el Resumen Ejecu- tivo y la Estrucura Conceptual del Control interno. (N. del t.)10 CONTROL INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) {Qué hacer? Las acciones que se pueden tomar como resultado de este informe dependen de la posicién y del papel de las partes involucradas: + Administradores principales, La mayoria de los ejecutivos principales que con- tribuyeron a este estudio consideran que estaban basicamente en e/ control de sus organizaciones. Muchos dijeron, sin embargo, que existen dreas de su compafiia -una divisién, un departamento o un componente de control que realizan actividades a lo largo de la organizacién- en las cuales Jos controles estaban en etapas primitivas de desarrollo o que requerian ser fortalecidas. A ellos no les gustan las sorpresas. Este estudio sugiere que el director ejecutivo inicie una auto-valoracién del sistema de control. Empleando esta estructura conceptual, un CEO, junto con los ejecutivos ‘operativos y financieros claves, puede centrar la atencién donde sea necesario. Bajo tal aproximacién, el director ejecutivo puede conducir a los jefes de las unidades del negocio y al personal vinculado clave para discutir una valoraci6n inicial del control. Las directivas deberdn dar facilidad a aquellos individuos para que discutan los con- ceptos de este informe con su personal a cargo, proporcionando supervision al proce- so inicial de valoraci6n en sus dreas de responsabilidad e informando sobre los ha- lazgos encontrados. Otra aproximacién puede incluir una revisiGn inicial de las poli- ticas corporativas y de las unidades de negocio, asi como de los programas de auditoria interna. Cualquier cosa que se haga en este sentido formaré una auto-valoracién ini- cial la cual determinara qué es necesario para y cémo proceder con una evaluacion extensa, mds en profundidad. Ello debe asegurar que se estén realizando los procedi- mientos de monitoreo ongoing. El tiempo gastado en la evaluacién del control inter- ho representa una inversi6n, pero una con un alto retorno. + Miembros del consejo. Los miembros del consejo de directores deben discutir con los administradores principales el estado del sistema de control interno de ta entidad y proporcionar la supervisién requerida. Ellos deben percibir insumos de parte de los auditores internos y externos. * Otro personal. Los administradores y otro personal deben considerar cémo se estan conduciendo sus responsabilidades de control a la luz de esta estructura con- ceptual, y discutir con més personal principal las ideas para fortalecer el control. Los auditores internos deben considerar la extensién’ de su atencién sobre el sistema de control interno y pueden desear comparar sus materiales de evaluacién con las herra- mientas de evaluacién. + Legisladores y reguladores. Las directivas gubernamentales que escriben 0 ha- cen cumplir las leyes reconocen que ellos pueden tener concepciones equivocadas y 8 Atcance. (N. del t)PARTE I. RESUMEN EJECUTIVO i diferentes expectativas virtualmente respecto de cualquier asunto. Las expectativas sobre el control interno varfan ampliamente en dos aspectos. Primero, ellos difieren en la percepcién de lo que el contro! interno puede cumplir. Como se anot6, algunos observadores consideran que los sistemas de control interno deberdn, 0 deberian, prevenir pérdidas econémicas, o al menos prevenir a las compaiiias de estar fuera del negocio. Segundo, aunque se llegue a un acuerdo sobre qué pueden y qué no pueden hacer los sistemas de control interno, y sobre la validez del concepto de seguridad razonable, pueden existir puntos de vista dispares expresados en cémo los regulado- res pueden construir informes piiblicos afirmando seguridad razonable mucho des- pués de que hayan ocurrido fallas en el control. Antes de que la legislacién o la regu- lacién se relacione con los informes administrativos sobre control interno como se hizo arriba, debe Ilegarse a un acuerdo sobre una estructura conceptual comin det control interno, que incluya los Ifmites del control interno. Esta estructura conceptual debe ser titilen tal acuerdo. * Organizaciones profesionales, Quienes producen las reglas, as{ como otras or- ganizaciones profesionales, proporcionan orientacién sobre administraci6n financie- ra, auditorfa y asuntos relacionados; deben considerar sus estandares y orientaciones a la luz de esta estructura conceptual. Como la extensa diversidad de conceptos y terminologias se elimina, todas las partes se beneficiardn. + Educadores. Esta estructura conceptual debe ser tema de investigacin y andli- sis académico, a fin de que en el futuro puedan hacerse mejoramientos. Con la pre- suncién de que este informe ha sido aceptado como una base comin de entendimien- to, estos conceptos y términos deberdn incluirse en el curriculo universitario. Consideramos que este informe ofrece un buen niimero de beneficios. Con este fundamento para el entendimiento mutuo, todas las partes seran capaces de hablar un lenguaje comin y comunicarse mas efectivamente. Los ejecutivos de negocios esta- r4n preparados para valorar los sistemas de control frente a un est4ndar, fortalecerén Ios sistemas y conducirdn sus empresas hacia los objetivos establecidos. Las investi- gaciones futuras se apoyardn en una base establecida. Los legisladores y reguladores serdn capaces de obtener un entendimiento creciente sobre el control interno, sus beneficios y Ifmites. Con todas las partes empleando una estructura conceptual de control interno comin, tales beneficios seran realidad.PARTE II FKAMEWORK (Estructura Conceptual) CAPITULO 1 DEFINICION Resumen del capitulo: Elcontrol interno se define como un proceso, ejecutado por personal de la entidad, disefiado para cumplir objetivos especificos. La definicién es amplia, abarca todos los aspectos del control de un negocio, permitiendo asi que un directivo se centre en objetivos especificos. El control interno consta de cinco componentes interrelacionados, los cuales son inhe- rentesa la forma como la administracién maneja la empresa. Los componen- tes estan ligados, y sirven como criterio para determinar cudndo el sistema es objetivo. Un objetivo clave de este estudio es ayudar a la administracién del negocio y a otras entidades a mejorar el control de las actividades de sus organizaciones. Pero el control interno significa distintas cosas para diferentes personas. Y la amplia varie- dad de denominaciones y significados impide un entendimiento comin del control interno. Un objetivo importante, entonces, es integrar varios conceptos de control interno en una estructura conceptual en Ia cual se establezca una definicién comtin y se identifiquen los componentes del control. Esta estructura conceptual esté disefiada para ajustar la mayor parte de los puntos de vista y proporcionar un punto de arranque para la valoracién del control interno de las entidades individuales, para las iniciat vas futuras de quienes elaboran reglas y para la educacién14 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Control Interno El control interno se define asi: Control interno es un proceso, ejecutado por el consejo de directores, la adminis- traci6n y otro personal de una entidad, disefiado para proporcionar seguridad razona- ble con miras a la consecucién de objetivos en las siguientes categoria * Efectividad y eficiencia de las operaciones. * Confiabilidad en la informaci6n financiera. * Cumplimiento de las leyes y regulaciones aplicables. Esta definicién refleja ciertos conceptos fundamentales: * Elcontrol interno es un proceso. Constituye un medio para un fin, no un fin en si mismo. * El control interno es ejecutado por personas. No son solamente manuales de poli- ticas y formas, sino personas en cada nivel de una organizaci6n. * Del control interno puede esperarse que proporcione solamente seguridad razo- nable, no seguridad absoluta, a la administracién y al consejo de una entidad. + El control interno esta engranado para la consecucién de objetivos en una 0 mas categorias separadas pero interrelacionadas. Esta definicin de control interno es amplia por dos razones. Primero, es la mane- ra como la mayorfa de los ejecutivos principales intercambian puntos de vista sobre control interno en la administraci6n de sus negocios’. De hecho, a menudo ellos hablan en términos de control y estén dentro de control!9, Segundo, acomoda subconjuntos del control interno. Quienes esperan encontrar centros separados, por ejemplo, en los controles sobre informacién financiera 0 en controles relacionados con el cumplimiento de leyes y regulaciones. De manera simi- lar, un centro dirigido sobre los controles en unidades particulares o actividades de una entidad, pueden modificarse. La definicién también proporciona una base para evaluar la efectividad del con- trol interno, la cual es estudiada en este capitulo. Los conceptos fundamentales sefia- lados atrds, se analizan en los apartes siguientes. 9 Eltérmino negocios como se usa aqui pertenece a las actividades de cualquier entidad, inctuyendo organizacio- nes gubemamentales y otras sin dnimo de lucro 19 O mejor, bajo control, sometidos a control. (N. del.)PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 1S Un proceso! El control interno no es un evento o circunstancia, sino una serie de acciones que penetran las actividades de una entidad. Tales acciones son penetrantes, y son inhe- rentes a la manera como la administracién dirige los negocios. El proceso de los negocios, que es conducido con 0 a lo largo de las unidades o funciones de la organizacién, es administrado mediante el proceso basico gerencial de planeacién, ejecucién y monitoreo. El control interno es parte de ese proceso y estd integrado al mismo. Les facilita funcionar y monitorear su conducta y relevancia continuada, Es una herramienta usada por la administraci6n, no un sustituto de la administracién. Esta conceptualizacién del control interno es muy diferente de la perspectiva de algunos observadores quienes ven el control interno como un afiadido a las activida- des de la entidad, 0 como una carga necesaria, impuesta por los reguladores o por los dictados de burécratas extremadamente celosos. El sistema de control interno esta entrelazado con las actividades de operacién de una entidad y fundamentalmente existe por razones de negocios. Los controles intemos son mas efectivos cuando se construyen dentro de la infraestructura de la entidad y son parte de la esencia de la empresa. Deben ser construidos en mucho mas que consiruidos sobre. Los controles construidos en pueden afectar directamente la capacidad de una entidad para alcanzar sus objetivos, y soporta las iniciativas de calidad de los nego- cios. La biisqueda de calidad esta directamente relacionada con la manera como se dirigen los negocios, y por la manera como ellos son controlados. Las iniciativas de calidad hacen parte de la estructura de operacién de una empresa, lo cual es eviden- ciado por: * Los ejecutivos principales buscan asegurar que los valores de calidad se constru- yan de la manera como la compaiifa hace negocios. + Estableciendo objetivos de calidad enlazados con la recoleccién y anélisis de in- formacién de Ja entidad y otros procesos. + Usando el conocimiento de practicas competitivas y expectativas de los clientes para dirigir el mejoramiento continuo de la calidad. Esos factores de calidad van paralelos en los sistemas de control interno efectivos. De hecho, el control interno no esta solamente integrado a los programas de calidad, sino que usualmente es fundamental para su éxito. ien se hace referencia a un proceso, el control interno puede verse come una multiplicidad de procesos.16 CONTROL INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO} La construccién de controles también tiene implicaciones importantes en los cos- tos involucrados y en el tiempo de respuesta: * La mayorfa de empresas se enfrentan a mereados altamente competitivos y nece- sitan reducir sus costos. Agregando nuevos procedimientos separados a los exis- tentes, afiaden costos. Centrandose en las operaciones existentes y en su contribu- cin al control interno efectivo, y construyendo controles en sus actividades de operaciones basicas, hace a la entidad més flexible y competitiva Personal El control interno es ejecutado por un consejo de directores, la administracion y otro personal de una entidad. Es realizado por las personas de una organizacion quie- nes establecen los objetivos de la entidad y ubican los mecanismos de control en su Sitio. Similarmente, el control interno afecta las acciones de la gente. El control interno reconoce que la gente no siempre comprende, comunica o desempena de una manera consistente. Cada individuo leva a su lugar de trabajo un trasfondo y unas habilida- des técnicas tinicas, y tiene necesidades y prioridades diferentes. Tales realidades afectan y son afectadas por el control intemo. La gente debe conocer sus responsabilidades y sus limites de autoridad. De acuerdo con ello, deben existir lazos claros y cerrados entre los deberes de la gente y la manera como se Hevan a cabo, lo mismo que con los objetivos de ia entidad. El personal de la organizacién incluye al consejo de directores, asi como la admi- nistracién y otras personas. Aunque los directores suelen ser vistos como quienes primariamente proporcionan supervisién. también proporcionan direccién y aprue- ban ciertas transacciones y politicas. Por lo tanto, son un elemento importante del control interno. Seguridad razonable El control interno, no tanto cémo es diseitado y operado, puede proporcionar sola- mente seguridad razonable a la administracién y al consejo de directores con miras a la consecucin de los objetivos de una entidad. La probabilidad de conseguirlos esta afectada por las limitaciones inherentes a todos los sistemas de control interno. Ellas incluyen la realidad de que los juicios humanos en la toma de decisiones pueden ser defectuosos, las personas responsables del establecimiento de los controles necesitan considerar sus costos y beneficios relativos, y la desintegracién puede ocurrir a causaPARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) v7 de fallas humanas tales como errores simples 0 equivocaciones. Adicionalmente, los controles pueden circunscribirse a la colusién de dos 0 mas personas. Finalmente, la administracién tiene la capacidad de desbordar el sistema de control interno. Objetivos Cada entidad fija su misién, estableciendo los objetivos que espera alcanzar y las estrategias para conseguirlos. Los objetivos pueden ser para la entidad, como un todo, © especificos para las actividades dentro de ta entidad. Aunque muchos objetivos pueden ser especfficos para una entidad particular, algunos son ampliamente participados. Por ejemplo, los objetives comunes a casi todas las entidades son la consecucién y el mantenimiento de una reputacién positiva dentro del comercio y los consumidores, proporcionando estados financieros confiables a los accionistas, y operando en cumplimiento de las leyes y regulaciones. Para este estudio, los objetivos se ubican dentro de tres categorfas: + Operaciones, relacionadas con el uso efectivo y eficiente de tos recursos de ta entidad + Informacién financiera, relacionada con la preparaci6n de estados financieros pui- blicos confiables. * Cwmplimiento, relacionado con el cumplimiento de la entidad con las leyes gulaciones aplicables. re- Esta categorizacién sitita el énfasis en aspectos separados del control interno. Ta- les categorias distintas pero interrelacionadas (un objetivo particular se puede ubicar en mas de una categoria) orientan diversidad de necesidades y pueden ser responsa- bilidad directa de ejecutivos diferentes. Esta categorizacién tambien permite distin- guir lo que se puede esperar de cada categoria de control interno. De un sistema de control interno se puede esperar que proporcione una seguridad razonable para la consecucién de los objetivos relacionados con la confiabilidad de la informacién financiera y con el cumplimiento de leyes y regulaciones. El cumpli- miento de tales objetivos, en gran parte basados en estandares impuestos por sectores externos, depende de cémo se desempefien las actividades dentro del control de la entidad. Sin embargo, la consecucién de los objetivos de operacién -tales como un retorno particular sobre la inversi6n, participacién en el mercado o ingreso de nuevas lineas de producto- no siempre est bajo el control de laentidad. El control interno no puede prevenir juicios o decisiones incorrectas, 0 eventos externos que puedan causar una falla en el negocio para la consecucién de sus objetivos de operacién. Para lograr18 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) estos objetivos, el sistema de control interno puede proporcionar seguridad razonable solamente si la administracién y, en su papel de supervisi6n, el consejo estén siendo acatados, de manera oportuna, en la orientacién dada para la consecucién de ellos. Componentes El control interno esté compuesto por cinco componentes interrelacionados. Se derivan de la manera como la administracién dirige un negocio, y estan integrados en el proceso de administracién. Tales componentes son: © Ambiente de control. La esencia de cualquier negocio es su gente -sus atributos individuales, incluyendo la integridad, los valores éticos y la competencia- y el am- biente en que ella opera. La gente es el motor que dirige la entidad y el fundamento sobre el cual todas las cosas descansan. © Valoracién de riesgos. La entidad debe ser consciente de los riesgos y enfrentarlos. Debe sefialar objetivos, integrados con ventas, produccién, mercadeo, finanzas y otras actividades.de manera que opere concertadamente. También debe establecer meca- nismos para identificar, analizar y administrar los riesgos relacionados. + Actividades de control. Se deben establecer y ejecutar politicas y procedimien- tos para ayudar a asegurar que se estan aplicando efectivamente las acciones identifi- cadas por la administraci6n como necesarias para manejar los riesgos en la consecu- ci6n de los objetivos de la entidad. * Informacién y comunicacién. Los sistemas de informacion y comunicacion se imerrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la infor- maci6n necesaria para conducir, administrar y controlar sus operaciones. * Monitoreo, Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones. De esta manera el sistema puede reaccionar dinamicamente, cambiando a medida que las condiciones lo justifiquen. Tales componentes del control interno, asf como sus relaciones, se describen en el modelo (ver figura N° 1). El modelo describe el dinamismo de los sistemas de control interno. Por ejemplo, la valoracién de riesgos no inflaye solamente en las actividades de control, sino que también puede ser altamente requerida para reconsiderar las ne- cesidades de informacién y comunicacién, o las actividades de monitoreo de la enti- dad. Asf, el control interno no es un proceso serial, en el cual los componentes afectan solamente al siguiente. Es un proceso iteractivo multidireccional en el cual casi todos los componentes pueden influenciar a los otros.PARTE I FRAMEWORK (ESTRUCTURA CONCEPTUAL) 19 Muestra 1 Componentes del Control Interno El ambiente de control proporciona una atmésfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control. Sirve como fundamento para los otros compo- nentes. Dentro de este ambiente, la administracién valora los riesgos para la consecucién de los objetivos especificos. Las actividades de control se implementan para ayudar a asegurar que se estan cumpliendo las directivas de la administraci6n para manejar los riesgos. Mientras tanto, se captura y comunica a través de toda la organizaci6n la informacién relevante. El proceso total es monitoreado y modificado cuando las condiciones lo justifican.20 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Muestra 2 Relaci6n entre Objetivos y Componentes Existe una relacién di- El control interno es recta entre objetivos, relevante para laem- los cuales son aquello _ presa en su conjun- que una entidad busca to, 0 paracualquiera conseguir, y los com- de sus unidades 0 ponentes, que repre- sentan aquello que se necesita para conseguir os objetivos actividades Se necesita informaci6n en todas las tres categorfas de objetivos para administrar efectivamente las operaciones de negocio, ‘Todos los cinco componentes son apli- preparar estados financieros confiables y cables ¢ importantes para conseguir los determinar el cumplimiento. objetivos de las operacionesPARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 2 Dos entidades pueden 0 no tener el mismo sistema de control interno. Las compa- jifas y sus necesidades de control interno difieren ampliamente por industria y por tamajio, asi como por cultura y filosoffa administrativa. Asf, mientras todas las enti- dades necesitan cada uno de los componentes para mantener el control de sus activi- dades, el sistema de control interno de una compaiifa, a menudo, ser muy diferente de otros. Relaciones entre objetivos y componentes Existe relacién directa entre los objetivos, aquellos que una entidad busca conse- guir, y los componentes, aquellos que se requieren para conseguir los objetivos. Las relaciones pueden describirse mediante una matriz tridimensional, la cual es presen- tada en la figura N° 2. + Las tres categorfas de objetivos -operaciones, informacién financiera y cumpli- miento- se representan en las columnas verticales. + Los cinco componentes se representan por filas + Las unidades o actividades de una entidad, las cuales el control interno relaciona, se describen mediante la tercera dimensién de 1a matriz. Cada componente de fila corta al través y aplica a todas las tres categorias de objetivos. Un ejemplo es descrito separadamente en el lado izquierdo de la muestra. como una seccién que jalona afuera: los datos financieros y no-financieros genera- dos de recursos internos y externos, como una parte del componente de informacién y comunicacién, son necesarios para la administracién efectiva de las operaciones de negocio, el desarrollo de estados financieros confiables y determina que la entidad est4 cumpliendo con las leyes aplicables. Otro ejemplo (que no es descrito de manera separada), el establecimiento y ejecucién de polfticas y procedimientos de control para asegurar que los planes, programas y otras directivas de la administracién se Hevan a cabo -representan el componente actividades de control- también es relevan- te para todas las otras tres categorias de objetivos. De manera similar, mirando las categorfas de objetivos, todos los cinco compo- nentes son relevantes para cada una, Para la consecuci6n de la categoria, la efectivi- dad y la eficiencia de las operaciones, por ejemplo, todos los cinco componentes son aplicables ¢ importantes. Ello es ilustrado de manera separada en la base izquierda de la figura N° El control interno es relevante para toda la empresa, o para una de sus partes. Su relaci6n es descrita por Ia tercera dimensién, la cual representa subsidiarias, divisio- nes u otras unidades del negocio, o funcionales u otras actividades tales como com- pras, produccién y mereadeo, De acuerdo con ello, uno se puede centrar en cualquie-22 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) rade las células de la matriz, Por ejemplo, se puede considerar la celda base-derecha- frente, que representa el ambiente de control y su relacidn con los objetivos de opera- ciones de una divisién particular de ka compaiifa. Efect idad Los diferentes sistemas de control interno de las entidades operan en diversos niveles de efectividad. De manera similar, un sistema particular puede operar de va- rias maneras en diferentes tiempos. Cuando un sistema de control intemo retine los siguientes estndares, se le puede denominar efectivo. El control interno es efectivo en cada una de las tres categorias, respectivamente, siel consejo de directores y la administracién tienen seguridad razonable de que: + Entienden que la duracién en el tiempo durante el cual se estan consiguiendo los abjetivos de las operaciones de Ia entidad. * Los estados financieros publicados estén siendo preparados confiablemente. * Se esta cumpliendo con las leyes y las regulaciones aplicables. Puesto que el control interno es un proceso, su éfectividad se mide a través del tiempo. La determinaci6n de cuando un sistema particular de control interno es efectivo es un juicio resultante de evaluar si los cinco componentes se dan y funcionan efecti- vamente. Su funcionamiento efectivo proviene de la seguridad razonable mirando la consecucién de una u mis de las categorias establecidas. Asi, tales componentes sir- ven de criterio para el control interno efectivo. Si bien se pueden satisfacer los cinco criterios, ello no significa que cada compo- nente pueda funcionar de manera idéntica, o en el mismo nivel, en entidades diferen- tes. Pueden existir algunos intercambios entre los componentes, Puesto que los con- troles pueden servir a una variedad de propésitos, esos controles en un componente, pueden ser aplicados en otros componentes. Adicionalmente, los controles pueden diferir en el grado en que manejan un riesgo particular, bien como controles comple- mentarios, 0 con efectos limitados; pueden ser satisfactorios al mismo tiempo. Esos componentes y criterios se aplican a un sistema de control interno total, 0 a una o mis categorfas de objetivos. Cuando se considera cualquier categoria -contro- les sobre informes financieros, por ejemplo- se deben satisfacer todos los cinco crite- rios, en orden a concluir que el control interno sobre la informacién financiera es efectiva.PARTE I FRAMEWORK (ESTRUCTURA CONCEPTUAL) 23 Los capitulos siguientes deben considerarse cuando se quiera determinar si un sistema de control interno es efectivo. Debe reconocerse: * Puesto que el control interno es una parte del proceso administrativo, los compo- nentes se discuten en el contexto de lo que la administracién esta haciendo en la ejecucién de un negocio. No todo lo que la administracién hace, sin embargo, es un elemento del control interno. El establecimiento de objetivos, por ejemplo, que es una importante responsabilidad administrativa, es un pre-requisito para el control interno. De manera similar, muchas decisiones y acciones de la administracién no representan control interno. La figura N° 3 presenta una lista de las acciones admi- nistrativas mds comunes e indica cuales se consideran componentes del control inter- no. (El significado de este listado tampoco es total y no representa una via tinica para describir las actividades de la administracién). * Los principios discutidos se aplican a todas las entidades, independientemente del tamafio. Puesto que algunas entidades pequefias y medianas pueden implementar de manera diferente los factores componentes con relacién a las grandes, ellas calla- damente pueden tener control interno efectivo, Cada capitulo sobre los componentes tiene una seccién que ilustra tales circunstancias. + Cada capitulo sobre componentes contiene una seccién de evaluacidn con facto- res que uno puede considerar en la evaluacién del componente. No se pretende que tales factores se incluyan en su totalidad, no todos ellos son relevantes en cada cir- cunstancia; se ofrecen como ilustracién para desarrollar un programa de evaluacién mas comprensivo o apropiado. Muestra 3 El Control Interno y el Proceso Administrativo Actividades administrativas Control Interno DefiniciGn de objetivos, misiGn y valores de la entidad Planeacién estratégica Establecimiento de factores del ambiente de control Definici6n de los objetivos por nivel de actividad Identificaci6n y andlisis de riesgos v Administracién de riesgos Direccién de las actividades de control v Identificacion, captura y comunicacion de informacién v Monitoreo Vv Acciones correctivasCAPITULO 2 AMBIENTE DE CONTROL Resumen del capitulo: El ambiente de control establece el tono de una organizacién, para influenciar la conciencia de control de su gen- Z | “e . te. Es el fundamento de todos los demas com- S conmlse ponentes del control interno, proporcionando £ aS disciplina y estructura. Los factores del am- q Be iente de control incluyen la integridad, los en valores éticos y la competencia de la gentede _/ a al la entidad; la filosofia de los administradores hI | a y el estilo de operacién; la manera como la \ administracion asigna autoridad y responsa- “J bilidad, y cémo organiza y desarrolla a su genie y la atencion y direccién que le presta el consejo de directores. El ambiente de control tiene una influencia profunda en la manera como se estructuran las actividades del negocio, se establecen los objetivos y se valoran los tiesgos. Esto es cierto no solamente en su disefio, sino también en la manera como opera en la practica. El ambiente de control est4 influenciado por la historia y por la cultura de la entidad. Influye en la conciencia de control de su gente. Las entidades efectivamente controladas se esfuerzan por tener gente competente, inculcan actitu- des de integridad y conciencia de control a todo lo ancho de la empresa, y establecen un tono por lo alto positivo. Establecen las politicas y los procedimientos apropiados, incluyen a menudo un cédigo de conducta escrito, el cual fomenta la participacién de los valores y el trabajo en equipo, en aras de conseguir los objetivos de la entidad. FACTORES DEL AMBIENTE DE CONTROL El ambiente de control cubre los factores discutidos arriba. Si bien todos ellos son importantes, el momento en el cual cada uno es aplicado variaré con la entidad. Por ejemplo, el director ejecutivo de una entidad con una pequena fuerza de trabajo y con operaciones centralizadas puede no establecer lineas formales de responsabilidad y polfticas de operacién detalladas y puede, sin embargo, tener un ambiente de control apropiado.26 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Integridad y valores éticos Los objetivos de una entidad y la manera como se logren, estn basados en prefe- rencias, juicios de valor y estilos administrativos. Tales preferencias y juicios de va- lor trasladados a estiindares de conducta, reflejan la integridad de los administradores, y su compromiso con los valores éticos. Puesto que la buena reputacién de una entidad se valora asf, el estandar de con- ducta debe ir més alld del slo cumplimiento de la ley. Para la buena reputaci6n de las mejores compajiias, la sociedad espera mds que eso. La efectividad de los controles internos no puede elevarse por encima de la inte- gridad y de los valores éticos de la gente que los crea, administra y monitorea. La integridad y los valores éticos son elementos esenciales del ambiente de control, y afectan el disefio, la administracién y el monitoreo de los otros componentes del control interno. La integridad es un pre-requisito para el comportamiento ético en todos los aspec- tos de las actividades de una empresa. Como lo concibe la Treadway Commission, Un clima ético corporativo fuerte en todos los niveles es vital para el bienestar de la corporacion, de todos sus componentes, y del ptiblico en general. Tal clima contribu- ye de manera importante a la efectividad de las politicas de la compafia y de los sistemas de control, y ayuda a influenciar la conducta que no esté sujeta de la misma manera a los mds elaborados sistemas de control.!> Establecer valores éticos a menudo es dificil a causa de la necesidad de considerar loconcerniente a distintos estamentos. Los valores de la alta gerencia deben equilibrar lo que concierne a la empresa, a sus empleados, proveedores, clientes, competidores y pui- blico. El equilibrio de ello puede constituir un esfuerzo complejo y frustrante porque los intereses a menudo son opuestos. Por ejemplo, suministrar un producto esencial (petré- leg, madera o alimento) puede originar algunos problemas ambientales. Los administradores de las empresas bien dirigidas han aceptado el punto de vista de que la ética paga, que la conducta ética es buen negocio, Abundan ejemplos posi- tivos y negativos. La publicidad muy bien manejada por una compaiifa farmacéutica respecto de la crisis de uno de sus principales productos fue sdlidamente ética asi como también s6lidamente de negocios, El impacto que malas noticias, suavemente filtradas, tienen en las relaciones con los clientes o en los niveles de precios, tales como leves caidas en las utilidades 0 actos ilegales, generalmente es mayor que si se hicieran revelaciones plenas tan rapido como fuese posible. 12 Report of the National Commission on Fraudilent Financial Reporting (Natioral Commission on Frauditent Financial Reporting, 1987).PARTE I, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 27 No es bueno centrarse solamente en los resultados a corto plazo, puede hacer dafio igualmente en el corto plazo. El concentrarse en la linea de base -ventas 0 utilidades acualquier costo- a menudo produce acciones y reacciones no buscadas. Las técticas de ventas de alta presién, crueldad en las negociaciones u ofertas implicitas de reac- ciones violentas, por ejemplo, pueden provocar reacciones de efectos inmediatos (lo mismo que duraderos). La conducta ética y la integridad administrativa son producto de la cultura corpo- rativa. La cultura corporativa incluye estandares éticos y de comportamiento, la ma- nera cémo ellos son comunicados y cémo se refuerzan en la practica. Las politicas oficiales especifican lo que la administraci6n espera que suceda. La cultura corpora- tiva determina lo que actualmente sucede, y cudles reglas se obedecen, se propenden o ignoran. La alta administracién -comenzando con el CEO- juega un papel clave en la determinacién de la cultura corporativa. El CEO generalmente es la personalidad dominante en una organizacién, y a menudo sefiala su tono ético. Incentivos y tentaciones. Hace algunos afios un estudio! sugirié que ciertos fac- tores organizacionales pueden influenciar la probabilidad de practicas de informa- cién financiera fraudulentas y cuestionables. Esos mismos factores también influyen en la conducta ética. Los individuos pueden involucrarse en actos deshonestos, ilegales 0 antigticos simplemente porgue sus organizaciones les ofrecen fuertes incentivos o tentaciones para hacerlo. El énfasis en los resuliados, particularmente en el corto plazo, fomenta un ambiente en el cual el precio de los fracasos puede llegar a ser muy alto. Los incentives citados, que permiten involucrarse en priicticas de informacién financiera fraudulenta 0 cuestionable y, por extensién, otras formas de conducta antiética, son: * Presiones para cumplir objetivos de desempefio irreales, particularmente resulta- dos de corto plazo, * Altas recompensas dependientes del desempefio, y * Cortes de operaciones superiores y bajos en los planes de bonos. El estudio mencionado también cité tentaciones a los empleados para involucrarse en actos impropios: '3 Kenneth A. Merchant. Fraudulent and Questionable Financial Reporting: A Corporate Perspective. Morristown, NJ: Financial Executives Research Foundation, 1987.28 CONTROL. INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) + Controles no existentes o inefectivos, tales como malas segregaciones de funcio- nes en dreas sensibles, que ofrecen facilidad para robos 0 para encubrir malos desempefios. + Alta descentralizacién que abandona la buena administracién, ignorante de accio- nes tomadas en los niveles bajos de la organizacién y por consiguiente reduce las oportunidades de conseguir resultados. + Una funcién de auditoria interna débil que no tiene la ca informar conductas impropias * Un consejo de directores inefectivo que no proporciona advertencias a la negli- gencia de la alta administracion. + Sanciones insignificantes 0 no publicadas a conductas impropias, para de esta manera perder sus valores y deshinibitlos. acidad de detectar e Eliminar o reducir esas iniciativas y tentaciones puede significar un largo camino hacia la disminucién de conductas indeseables. Como se sugirié, esto puede adquirirse siguiendo practicas de negocios sdlidas y rentables. Por ejemplo, los incentivos de desempeiio -acompaiiados de controles adecuados- pueden ser una titil técnica admi- nistrativa siempre que los objetivos de desempefio sean realistas. Sefalar objetivos de desempeiio realistas es una sdlida prictica motivadora, reduce el estrés derivado de obtener el maximo de los objetivos, asf como la posibilidad de informacién finan- ciera fraudulenta que crean los objetivos itreales. De manera similar, un sistema de informacién bien controlado puede servir como salvaguardia contra la posibilidad de desempefo incorrecto. Proporcionando y comunicando orientacién moral. Ademiés de los incentivos y tentaciones discutidos, el estudio antes mencionado encuentra una tercera causa de las pricticas de informacién financiera fraudulenta y cuestionable. El estudio encontré que en muchas de las compafitas que sufrieron efectos de informacidn financiera con poder de engafar, la gente involucrada ni siquiera conocia que lo que estaba haciendo era equivocado 0 erréneo, considera- ban que estaban actuando en favor del mejor interés de la organizacin, Esta igno- rancia, es a menudo, ocasionada por una estructura o una orientacién moral pobre, mucho més que por una intencién a engaiiar. De esta manera, no solamente se deben comunicar los valores éticos, sino que se debe dar orientacién explicita sefialando qué es correcto y qué est equivocado La manera mis efectiva de transmitir un mensaje de comportamiento ético en la organizacién es el ejemplo. La gente imita a sus lideres. A los empleados les gusta desarrollar las mismas actitudes acerca de lo que es correcto y equivocado -y respec- to del control intemno- como se acttia en la alta administracién. El conocimiento que tiene el CEO sobre hacer las cosas correctas éticamente, cuando se estd frente a unaPARTE I, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 29 dificil decisién de negocios, significa un mensaje fuerte a todos los niveles de la organizacién Presentar un buen ejemplo no es sencillo. La jerarquia debe comunicar verbal- mente a los empleados los valores y los estandares de comportamiento de la entidad. Hace algunos ajios un estudio!4 concluy6 que un c6digo formal de conducta corpora- tivaes un método ampliamente usado para comunicar a los empleados las expectati- vas acerca de deberes e integridad. Los cédigos orientan una variedad de sucesos de comportamiento, tales como integridad y ética, conflictos de interés, pagos ilegales impropiamente diferentes, y acuerdos anti-competitivos. Estimulados en parte por revelaciones de escdndalos en la industria de defensa, muchas compafifas han adop- tado tales cddigos en afios recientes, junto con los necesarios canales de comunica- cin y monitoreo. Aunque los cédigos de conducta pueden ser titiles, no constituyen el tinico camino para transmitir los valores éticos de una organizaci6n a los emplea- dos, proveedores y clientes. La existencia de un cédigo de conducta escrito, junto con la documentaci6n res- pecto de que ellos lo recibieron y entendieron, no asegura que esié siendo seguido. El cumplimiento con los esténdares éticos, ya sea que estén o no incluidos en un cédigo de conducta escrito, se asegura mejor mediante las acciones y los ejemplos de la alta administracién. De particular importancia resultan los castigos a los empleados que violan tales cédigos, mecanismos que existen para asegurar que ellos informen de violaciones sospechosas, y acciones disciplinarias contra empleados que fallan en el reporte de violaciones. Los mensajes enviados mediante acciones de la administra- cidn rapidamente se integran a la cultura corporativa. Compromisos para la competencia La competencia debe reflejar el conocimiento y las habilidades necesarios para realizar las tareas que definen los trabajos individuales. Qué tan bien se requiere que se cumplan esas tareas es generalmente una decisién de la administracién, quien con- siderard los objetivos de la entidad, las estrategias y planes para la consecucién de los objetivos. A menudo existe un intercambio entre la competencia y los costos, no es necesario, por ejemplo, pagar un ingeniero eléctrico para cambiar una bombilla. La administracién necesita especificar los niveles de competencia para los traba- jos particulares y convertirlos en requisitos de conocimiento y habilidades. Los cono- cimientos y las habilidades necesarios podrén a su turno depender de la inteligencia, entrenamiento y experiencia de los individuos. Entre los muchos factores considera- '4R.K, Maute and J. Winjum, Criteria for Management Control Systems. New York: Financial Executives Research Foundation, 198130 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO} dos en el desarrollo de niveles de conocimiento y habilidades estén la naturaleza y grado de juicio que se debe aplicar a un trabajo especifico. A menudo puede darse un intercambio entre supervisi6n y nivel de competencia requerido del individuo. Consejo de directores 0 comité de auditoria E] ambiente de control y el tono en el nivel alto se ven influenciados significativamente por el consejo de directores y por el comité de auditorfa de la entidad. Tales factores incluyen la independencia frente a los administradores por parte del consejo o del comité de auditoria, la experiencia y la posici6n social!5 de sus miembros, la extensién de su participacién y del escrutinio de las actividades, y lo apropiado que puedan ser sus acciones. Otro factor es el grado de dificultad de las preguntas emanadas y perseguidas por la administracién mirando los planes de desem- pefio. La interaccién del consejo o comité de auditorfa con los auditores internos y extemnos es otro factor que afecta el ambiente de control. Debido a su importancia, un consejo de directores, consejo de fideicomisarios u otro cuerpo similar, activo e involucrado -que tenga un grado apropiado de expe- riencia administrativa, técnica y otra, acoplado con el nivel y pensamiento a fin de que pucda desempefiar adecuadamente el gobierno, la orientacién y advertencia ne- cesarios- es fundamental para un control interno efectivo. Y, dado que el consejo debe estar preparado para indagar y escrutar las actividades de los administradores, presentar los puntos de vista alternativos y tener el valor de actuar frente a acciones inconvenientes, es necesario que tenga directores extemos. Como, los ejecutivos y los empleados a menudo son miembros del consejo altamente efectivos e importan- tes, ofrecen conocimiento de la compaiia en las juntas. Pero debe realizarse un ba- lance. Si bien las compafifas pequefias asf como las medianas, pueden encontrar difi- cultades para atraer 0 incurrir en los costos de tener una mayorfa de directores exter- nos -que no es el caso usual en las grandes organizaciones- es importante que el consejo tenga al menos un grupo aceptable de directores externos. El ntimero debe considerar las circunstancias de la entidad, pero normalmente se necesitar mas de un director externo para que un consejo tenga el balance requerido. La necesidad y las funciones de los consejos directivos y de los comités de auditorfa se verdn adelante bajo el titulo Aplicacién a las Entidades Pequenas y Medianas, y en el Capitulo 8. 15 0 profesional. En el original: status. (N. del t.)PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 31 Filosofia y estilo de operacién de la administracién La filosofia y el estilo de operacién de la administracién afecta la manera como la empresa es manejada, incluyendo el conjunto de riesgos normales de los negocios. Una entidad que ha tenido éxito asumiendo riesgos significativos puede tener una percepcién diferente sobre el control interno que otra que ha tenido austeridad econd- mica o consecuencias reguladoras como resultado de sus incursiones en negocios de alto riesgo. Una compafifa administrada informalmente puede controlar las operacio- nes ampliamente mediante el contacto cara a cara con los administradores claves. Otra, administrada ms formalmente puede confiar en politicas escritas, indicadores de desempeiio e informes de excepcién. Otros elementos de la filosoffa y el estilo de operacién de los administradores incluyen actitudes frente a la informaci6n financiera, seleccién conservadora 0 agre- siva frente a los principios contables alternativos, conciencia y conservadurismo con. los estimados contables que se estén desarrollando, y actitudes frente al procesa- miento de datos y funciones de contabilidad y de personal. Como la administracién debe cumplir sus responsabilidades se verd en el Capitulo 8. Estructura organizacional La estructura organizacional de una entidad proporciona la estructura conceptual mediante la cual se planean, ejecutan, controlan y monitorean sus actividades para la consecucién de los objetivos globales. Las actividades pueden relacionarse con lo que a veces se denomina cadena de valor: actividades de acceso al interior (recep- ci6n), operaciones o produccién, salida al exterior (embarque), mercadeo, ventas y servicio. Pueden existir funciones de apoyo, relacionadas con la administracin, re- cursos humanos 0 desarrollo de tecnologfa!®, Los aspectos significativos para el establecimiento de una estructura organizacional incluyen la definici6n de las 4reas claves de autoridad y responsabilidad y el estable- cimiento de las Iineas apropiadas de informacién. Por ejemplo, el departamento de auditorfa interna debe tener acceso sin restriccién al ejecutivo jefe que no es directa- mente responsable de la preparacién de los estados financieros de la compaiifa y debe tener autoridad suficiente para asegurar la cobertura de auditoria apropiada y para hacer cumplir sus ordenes y recomendaciones. Una entidad desarrolla una estructura organizacional adaptada a sus necesidades. Algunas son centralizadas, otras descentralizadas. Algunas tienen relaciones de in- formacién directas, otras son més organizaciones matriciales. Algunas entidades es- 16 Michael E. Porter. Comperitive Advantage. New York: Free Press, 1985,32 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO} tén organizadas por industria o linea de producto, por ubicacién geografica o por una distribucién particular o red de mercadeo. Otras entidades, incluyendo muchas uni- dades estatales 0 gobiernos locales ¢ instituciones sin 4nimo de lucto, estin organiza- das sobre una base funcional. La conveniencia de la estructura organizacional de una entidad depende, en parte, de su tamafio y de la naturaleza de sus actividades. Una organizacién altamente estructurada, incluyendo Iineas y responsabilidades de informacién formal, puede ser apropiada para una entidad grande con numerosas divisiones operativas, inclu- yendo operaciones en el extranjero. Sin embargo, una entidad pequefia puede impe- dir el flujo de informacién necesario. Cualquiera que sea la estructura, las actividades de una entidad serdn organizadas para llevar a cabo las estrategias disefiadas para cumplir los objetivos especificos. Asignaci6n de autoridad y responsabilidad Esto incluye la asignacién de autoridad y responsabilidad para actividades de ope- racion, y el establecimiento de relaciones de informacién y de protocolos de autoriza- ci6n. Involucra el grado en el cual los individuos y los equipos son animados a usar su iniciativa en la orientaci6n y en la solucién de problemas, asi como los limites de su autoridad. También se refiere a las politicas que describen las practicas apropiadas para el tipo de negocio, el conocimiento y la experiencia del personal clave, y los Tecursos previstos para cumplir con sus deberes. Existe una tendencia creciente para promover la autoridad en forma descendiente para originar la toma de decisiones solamente en el personal ejecutivo!7. Una entidad puede orientarse mas al mercado o centrarse en la calidad, acaso para eliminar defectos, reducir los tiempos o incrementar la satisfaccién del cliente. Para ello, la empresa nece- sita reconocer y responder a las prioridades cambiantes cn las oportunidades de mercado, en las relaciones de negocios y en las expectativas del puiblico. La distribucién de autori- dad y responsabilidad!8 a menudo son disefiadas para encausar las iniciativas individua- les, dentro de ciertos limites. La delegacién de autoridad, o empowerment, significa ceder el control central de ciertas decisiones de negocios a lineas bajas, a los individuos que estan cerrando diariamente las transacciones del negocio. Esto puede envolver empowerment para venta de productos 0 descuentos en precios; negociacidn de contratos de suministro, licencias 0 patentes a largo plazo; o realizar alianzas o joint ventures!9. 17 pana ‘or igtabt: roves per decel = pi eal Ob vaaizala wel se avaoaln teapORRAbIe's ebieae apeide visible en un campo o actividad. En administracin, se sefiere al personal que directamente puede tomar decisio- nes, En términos de planeacion estratégica y calidad total, se refiere alos ejecutivos que directamente negocian con el cliente. (N. del t.) 18 En el original: accountability = responsabilidad social de la informacidn contable, (N. del t) 19 Joint ventures = operaciones conjantas, asociaciones de empresas, operaciones temporales, (N. del t.)PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) Un cambio critico es delegar solamente en lo requerido para la consecucién de los objetivos. Esto requiere asegurar que la aceptacién de riesgos esta basada en practi- cas s6lidas para la identificacién y minimizacién de los riesgos, incluyendo aquellos de tamaiio y ponderacion de pérdidas potenciales contra ganancias en la consecucién de buenos resultados en los negocios. Otro cambio consiste en asegurar que todo el personal entienda los objetivos de la entidad. Es esencial que cada individuo conozca cémo sus acciones interrelacionan y contribuyen a la consecucién de los objetivos. La delegacién acrecentada algunas veces esta acompafiada o es el resultado de extralimitaci6n 0 desinflamento de ta estructura organizacional de una entidad, y es intencional. La plena intencién del cambio estructural para encausar la creatividad, la iniciativa y la capacidad para reaccionar rdpidamente pueden engrandecer la competitividad y la satisfaccién del cliente. Tal delegacién acrecentada puede aca- rrear un requerimiento implicito por un nivel alto de competencia de los empleados, asf como una mayor responsabilidad®. También requiere procedimientos efectivos para que la administracién monitoree los resultados. Junto con el mejoramiento, las decisiones orientadas al mercado, el empowerment puede incrementar el nimero de decisiones indeseables o no anticipadas. Si un administrador de distrito de ventas decide que la autorizacién para vender por encima del 35% de lista justifica un descuento temporal del 45% para ganar participacién en el mercado, la administra- cién puede necesitar conocer si ello supera las reglas o aceptar que tales decisiones son de avanzada. El ambiente de control es gratamente influenciado por la extensi6n en la cual los individuos reconocen que ellos deberan ser responsables. Esto sostiene ciertamente la manera como los directores ejecutivos, quienes tienen la responsabilidad titima por todas las actividades de una entidad, incluyendo el sistema de control interno. Politicas y prcticas sobre recursos humanos Las pricticas sobre recursos humanos usan el envio de mensajes a los empleados para percibir los niveles esperados de integridad, comportamiento ético y competen- cia. Tales practicas se relacionan con empleo?!, orientaci6n, entrenamiento, evalua- cién, consejeria, promocién, compensacisn y acciones remediales. Por ejemplo, nor mas para vincular los individuos mis calificados, con énfasis en su bagaje educacio- nal, experiencia previa de trabajo, logros pasados y evidencia de integridad y com- 20 En el original: accountability, ver nota anterior. (N. del.) 21 En el original: hiring = contratar servicios personales por una suma fija, contratar a alguien mediante pago, dar ‘empleo, (N. del t.)34 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) portamiento ético, significan un compromiso de la entidad con gente competente y confiable. Las précticas de reclutamiento que incluyen entrevistas formales, a pro- fundidad y presentaciones informativas y totalmente claras sobre la historia, la cultu- ray el estilo de operacién de la entidad, significan que la entidad est4 comprometida con sus empleados. Las politicas de entrenamiento que comunican funciones y res- ponsabilidades prospectivas y que incluyen practicas tales como cursos de entrena- miento y seminarios, estudio de casos simulados y ejercicios pricticos, ilustran los niveles esperados de desempefio y comportamiento. La rotacién de personal y las promociones orientadas al desempeiio periddico evaluado, demuestran el compromi so de Ja entidad con el avance del personal calificado hacia altos niveles de responsa- bilidad. Los programas de compensacién competitivos que incluyen incentivos sir- ven para motivar y reforzar los resultados de desempefic. Las acciones disciplinarias sirven de mensaje a los empleados en cuanto a que las violaciones a los comporta- mientos esperados no serdn toleradas. Es esencial que el personal esté preparado para los nuevos cambios que realiza la empresa tomdndola, més compleja, orientados en parte por las tecnologfas ripida- mente cambiantes y por la competencia creciente. La educacién y el entrenamiento, ya sea por instruccién en salones de clase, auto-estudio o experiencia en el trabajo, deben servir ala gente de una empresa para conservar la buena marcha y mantener el ambiente envolvente. Deben también fortalecer las habilidades de la entidad para realizar iniciativas de calidad. El empleo de gente competente y el entrenamiento sobre la marcha no son suficientes. El proceso de educacién debe ser ongoing? DIFERENCIAS E IMPLICACION! El ambiente de control de las divisiones de operacién aut6nomas y fordneas de una entidad, asf como de las subsidiarias domésticas, puede variar ampliamente debi- do a las diferencias en las preferencias, los juicios de valor y los estilos de administra- cién de los funcionarios operativos principales. Esos ambientes de control pueden variar por diversas razones. Puesto que dos divisiones operativas 0 externas © subsi- diarias domésticas no son administradas de la misma manera, es improbable que tales ambientes de control sean los mismos. Es importante, sin embargo, reconocer el efecto que la variacién en los ambientes de control pueda tener sobre los otros componentes de un sistema de control interno. El impacto de un ambiente de control inefectivo puede ser de largo alcance. posi- blemente derivando en pérdidas financieras, deterioro de la imagen piiblica o fracaso en los negocios. Considérese, por ejemplo, el caso de la defensa de un contratista 22 Ongoing = en tiempo real, ver nota anterior. (N. del 1)PARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 35 considerado como de control interno efectivo. La compaiifa tuvo sistemas de infor- maci6n y actividades de control bien disefiados, extensos manuales de politicas que prescribfan las funciones de control, y amplias rutinas de conciliacién y supervisién. Ha sufrido auditorfas gubernamentales frecuentes. El ambiente de control, sin em- bargo, fue significativamente imperfecto. La administraci6n principal no esperaba conocer si estaban ocurriendo hechos incorrectos. Cuando los signos de las activida- des fraudulentas se hicieron fuertes, los ejecutivos de la administracién principal los negaron. La defensa del contratista encontré que estaba involucrado en actividades fraudulentas con el Pentaégono, fue valorada como sutilmente significativa y padecié vergiienza publica de cobertura media extensiva. La actitud y el interés de la alta gerencia por un control intemo efectivo debe cubrir toda la organizacién. No es suficiente pronunciar las palabras correctas. Una actitud de Jo digo, no lo hago muy dificilmente podré originar un ambiente sano. APLICACION A LAS ENTIDADES PEQUENAS Y MEDIANAS Puesto que cada entidad puede asumir los conceptos subyacentes en este capitulo, las entidades medianas y pequefias pueden implementar los factores del ambiente de control de una manera muy diferente a como lo hacen las entidades grandes. Por ejemplo, una compaiifa pequefia puede no tener un cédigo de conducta escrito, pero ello no necesariamente significa que la compafifa no tenga una cultura que enfatice la importancia de la integridad y determinado comportamiento ético. Siempre que haya un compromiso visible y directo del CEO o de los administradores-propietarios y de la gerencia con la integridad y el comportamiento ético puede ser comunicado oralmente en las reuniones de staff, las reuniones uno-a-uno y las relaciones con vendedores y clientes. Su propia integridad y su propio comportamiento, sin embargo, son criticos y deben ser consistentes con el mensaje oral a causa del contacto de primera mano que los empleados tienen con ellos, Usualmente, debido a los pocos niveles de administracién, la velocidad del mensaje conduce, a través de la organizaci6n, a conductas aceptables. Asfmismo, las politicas de recursos humanos pueden no estar formalizadas, como se esperaria en una compafiia grande. Las politicas y practicas pueden, sin embargo, existir y ser comunicadas. El CEO puede hacer explicitas sus expectativas respecto del tipo de personas a vincular para realizar un trabajo particular, y puede participar activamente en el proceso de vinculacién. La documentacién formal no siempre es necesaria para que una politica se tenga y opere efectivamente. A causa de la importancia critica de un consejo de directores 0 de cuerpos simila- res, de la misma manera las entidades pequefias requieren de tal consejo 0 cuerpo para un control interno efectivo. Como se noté, a menudo es mis dificil y costoso para una compaiifa pequefia mantener una mayorfa de directores externos, y puede36 CONTROL INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) ser innecesario hacerlo. La independencia requerida a menudo puede obtenerse me- diante un pequeiio ntimero de directores externos. El factor sobresaliente es que debe sefialarse una masa critica, de la cual, simplemente, es suficiente que los directores externos vean lo que el consejo realiza, los asuntos complicados y toma las acciones dificiles cuando sea necesario. Existe una sola excepcién a la necesidad de tal conse- jo. Se daen una entidad que es administrada por sus propietarios, y no va en biisque- da de capital fuera de ella, un consejo, si bien puede ser titil, sin embargo no es necesario para un control intemo efectivo. EVALUACION Un evaluador debe considerar cada factor del ambiente de control para determinar cuando existe un ambiente de control positivo. Se presentan a continuacién varios aspectos a tener en cuenta. La lista no es completa, no todos los items se aplican a todas las entidades, pero sirven como punto de partida. Si bien algunos de los items on altamente subjetivos y requieren juicio considerable, generalmente son relevan- tes para la efectividad del ambiente de control. Integridad y valores éticos + Existenciae implementacién de cdigos de conducta y otras politicas mirando las pricticas de negocios aceptables, los conflictos de interés, o los estdndares espera- dos de comportamiento ético y moral. * Relaciones con los empleados, proveedores, clientes. inversionistas, acreedores, aseguradores, competidores, y auditores, etc. (por ejemplo, si los administradores orientan el negocio sobre un plano de alta ética, e insisten en que otros lo hagan, 0 presten poca atencién a los asuntos éticos). + Presién por cumplir objetivos de desempeno irreales -particularmente por resulta- dos de corto plazo- y extensién en la cual la compensacién esta basada en la con- secucién de tales objetivos de desempeito. Compromise por la competencia * Descripciones formales o informales de trabajo u otras maneras de definir tareas que comprenden trabajos particulares. * Analisis del conocimiento y de las habi cuadamente los trabajos. idades necesarias para desempefiar ade- Consejo de directores 0 comité de auditoria + Independencia frente a la administracién, qué tanta es nec se suscitan dudas, dificiles y probadas * Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero y/o los ejecutivos de contabilidad, los auditores internos y los auditores externos. ria, lo mismo que siPARTE IL FRAMEWORK (ESTRUCTURA CONCEPTUAL) 37 * Suficiencia y oportunidad mediante la cual se proporciona informacién al consejo ‘ocomité de miembros, para permitir monitoreo de los abjetivos y estrategias de la administracién, la posicién financiera y los resultados de operacién de la entidad, y los términos de los acuerdos significativos. * Suficiencia y oportunidad mediante la cual el consejo o comité de auditorfa recibe informaci6n sensitiva, investigaciones y actos impropios (por ejemplo, gastos de viaje de ejecutivos principales, litigios significativos, investigaciones de agencias reguladoras, desfalcos, peculado 0 uso indebido de activos, violaciones de las reglas internas del negocio, pagos politicos, pagos ilegales). Filosofia y estilo de operacién de la administracion + Naturaleza de los riesgos de negocio aceptados, p.ej., cuando la administracién a menudo entra en convenios particulares de alto riesgo, 0 es extremadamente con- servadora en la aceptacién de riesgos. * Frecuencia de interaccién entre la administracion principal y la administracion operativa, particularmente cuando operan desde localizaciones geograficamente apartadas. + Actitudes y acciones hacia la informacién financiera, incluyendo disputas sobre aplicacion de acuerdos contables (p.¢j., seleccién de politicas contables conserva- doras versus liberales; cuando los principios contables han sido erréneamente apli- cados, no se revela informacién financiera importante, se manipulan o falsifican registros). Estructura organizacional © Conveniencia de la estructura organizacional de la entidad, y su habilidad para proporcionar el flujo de informacién necesario para administrar sus actividades. + Claridad en la definici6n de las responsabilidades clave de los administradores. y su entendimiento de esas responsabilidades. * Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus responsabilidades. Valoracién de autoridad y responsabilidad + Asignacién de responsabilidad y delegacién de autoridad para cumplir con las metas y con los objetivos organizacionales, las funciones de operacién y los te querimientos reguladores, incluyendo responsabilidad por los sistemas de infor- maci6n y autorizaciones para cambio: « Conveniencia de esténdares y procedimientos relacionados-con-el-control, inclu- yendo descripciones de trabajo de los empleados. + Niimero apropiado de gente, particularmente con respecto al procesamiento de datos y a las funciones de contabilidad, con los niveles de habilidades requeridos. relativos al tamaiio de la entidad y ala naturaleza y complejidad de las actividades y sistemas.38 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Politicas y prdcticas de recursos humanos + Forma de aplicacién de las politicas y los procedimientos para vinculacién, entre- namiento, promocién y compensacién de empleados. * Conveniencia de las acciones remediales desarrolladas en respuesta a desviacio- nes de las politicas y los procedimientos aprobados. + Siel chequeo de la experiencia de los candidatos a empleo es adecuado, particu Jarmente en relacién con las acciones 0 actividades principales consideradas como inaceptables por la entidad. * Sison adecuados los criterios de retencién y promocién de empleados y técnicas de recolecci6n de informacién (p.ej., evaluaciones de desempefio) y relacién con el cédigo de conducta u otras orientaciones de comportamiento.CAPITULO 3 VALORACION DE RIESGOS Reswnen del capitulo: Cada entidad enfrenta una variedad de riesgos derivados de fuentes externas ¢ internas, los cuales deben valorar- se. Una condicién previa para la valoracién de riesgos es el establecimiento de objetivos, enlazados en niveles diferentes y consistentes internamente. La valoracién de riesgos es la identificacion y andlisis de los riesgos rele- vantes para la consecucibn de los objetivo: formando una base para la determinacién de cémo deben administrarse los riesgos. Dado que las condiciones econdmicas, industriales, reguladoras y de operacién continuarén cam- biando, se necesitan mecanismos para identi- ficar y tratar los riesgos especiales asocia- dos con el cambio. Todas las entidades, sin hacer caso de tamajio, estructura, naturaleza o clase de industria, enfrentan riesgos en todos los niveles de sus organizaciones. Los riesgos afectan la habilidad de la entidad para sobrevivir; afortunadamente compiten dentro de su industria; mantienen su fortaleza financiera y la imagen publica positiva y man- tienen la calidad total de sus productos, servicios y gente. No existe una manera prictica para reducir los riesgos a cero. En verdad, la decision de estar en los nego- cios crea riesgos. La administracién debe determinar cudntos riesgos es prudente aceptar, y se esfuerza por mantenerlos dentro de esos niveles La definicién de objetivos es una condicin previa para la valoracién de riesgos. Primero que todo, deben definirse los objetivos a fin de que la administracién pueda identificar los riesgos y tomar las acciones necesarias para administrarlos. La defini- cidn de objetivos, entonces, es una parte clave del proceso administrativo. No es un componente del control interno, pero es un prerrequisito para hacer posible el control interno. Este capitulo expone primero los objetivos y luego la discusin de los riesgos.40 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) OBJETIVOS La definicién de objetivos puede ser un proceso altamente estructurado 0 infor- mal. Los objetivos pueden definirse explicitamente, o ser implicitos, tal como mante- nerse en un nivel pasado de desempeiio. Los objetivos a menudo estan representados por la misién de la entidad y por la declaracién de valores. El conocimiento de las fortalezas y debilidades de la entidad, y de las oportunidades y amenazas, conducen hacia una estrategia global. Generalmente el plan estratégico es establecido de mane- raamplia, teniendo que ver con el nivel alto de asignacién de recursos y prioridades. De laestrategia amplia de la entidad fluyen objetivos mis especificos. A nivel de la entidad estan enlazados ¢ integrados con los objetivos mas especificos estableci- dos para actividades varias, tales como ventas, produccién e ingenierfa, asegurando que ellos sean consistentes. Tales sub-objetivos u objetivos de nivel de actividad, incluyen el establecimiento de metas y deben relacionarse con los objetivos de lineas de producto, mercado, financiacién y utilidades. Definiendo objetivos en los niveles de 1a entidad y de actividad, una entidad pue- de identificar los Factores critics de éxito. Esos son asuntos claves que deben ser correctos si las metas se planearon para ser alcanzadas. Los factores criticos de éxito se aplican para la entidad, s, una funcién, un departamen- too un individuo. Ladefinici6n de objetivos le facilita a la administracién identificar los criterios de medici6n del desempeiio, centrindose en los factores criticos de éxito. lad de negoc Categorias de objetivos A pesar de la diversidad de objetivos, pueden establecerse ciertas categorias prin- cipales: * Objetivos de operaciones. Hacen referencia a la efectividad y eficiencia de las operaciones de la entidad, incluyendo objetivos de desempefio y rentabilidad asicomo recursos de salvaguardia contra las pérdidas. Varian dependiendo de la seleccién de los administradores respecto de estructura y desempejio. *+ Objetivos de informacién financiera. Hacen referencia a la preparacion de esta- dos financieros publicados?’ que sean confiables, incluyendo la prevencién de infor macién financiera publica fraudulenta. Estén orientados principalmente por requeri- mientos externos. * Objetivos de cumplimiento. Estos objetivos hacen referencia a Ia adhesién alas leyes y regulaciones a las cuales la entidad esta sujeta. Dependen de factores exter- nos, tales como regulaciones ambientales, y tienden a ser similares para todas las entidades en algunos casos y para toda una industria en otros casos. 23 fn el original: published = estados financieros hechos para ser generalmente conocidos: de fos cuales se hace anuncio piblico; que se diseminan/distribuyen entre el piblico. Es la informacién piiblica, para terceros. (N. del t.)PARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 41 Ciertos objetivos se derivan de la participacién de una entidad en los negocios. Un fondo mutuo puede valer sus participaciones diarias, mientras otros negocios pueden hacerlo trimestralmente. Todos los negocios comerciales publicitados deben tener cierto registro en la SEC%4 . Esos objetivos impuestos externamente son establecidos por ley o regulacién, se ubican en la categorfa de cumplimiento y pueden ser de informacién financiera. Los objetivos de operaciones estén basados mis en preferencias, juicios y estilos administrativos. Existe una amplia variedad entre las entidades simplemente porque la gente informada, competente y honesta puede seleccionar diferentes objetivos. Mirando el desarrollo del producto, por ejemplo, una entidad puede escoger ser un adaptador tempranero, otra un seguidor rapido, y otra un rezagado silencioso, Tales selecciones afectardn la estructura, las habilidades, el personal y los controles de la investigaci6n y de la funci6n de desarrollo. En consecuencia, ninguna formulacién de objetivos puede ser Gptima para todas las entidades. Objetivos de operaciones. Los objctivos de operaciones se relacionan con la con- secucién de la misién basica de una entidad, raz6n fundamental de su existencia. Incluyen sub-objetivos relacionados con las operaciones, dirigidos a engrandecer la efectividad y la eficiencia, orientando la empresa hacia sus metas tiltimas Los objetivos de operaciones necesitan reflejar el ambiente particular de nego- cios, industria y economfa en el cual funciona la entidad. Los objetivos requieren, por ejemplo, ser relevantes frente a las presiones competitivas por calidad, ciclos de tiempo reducidos para ofrecer el producto al mercado 0 cambios en la tecnologia. La admi- nistracién debe ver si tales objetivos estén basados en la realidad y demandas del mercado y estan expresados en términos que permitan conocer completamente las mediciones de desempeiio. Una definicién clara de los objetivos y estrategias de operaci6n, enlazada con los sub-objetivos, es fundamental para el éxito. Proporciona un punto central mediante el cual la entidad comprometerd sus recursos sustanciales. Si los objetivos de operacio- nes de una entidad no son claros o no estén bien concebidos, sus recursos pueden malgastarse. Objetivos de informacién financiera. Los objetivos de informacién financiera se orientan a la preparaci6n de estados financieros publicados que sean confiables, in- cluyendo estados financieros interinos y condensados y datos financieros selecciona- dos derivados de tales estados, tales como ganancias realizadas, de conocimiento ptiblico. Las entidades necesitan conseguir objetivos de informacién financiera para cumplir obligaciones externas. Estados financieros confiables son un requisito pre- 24 SEC = Securities and Exchange Commission = Organismo estadounidense de fiscalizacion de la Bolsa y de las ‘empresas cuyas acciones cotizan en Bolsa. Similar a lo que en Colombia es la Superintendencia de Valores (N. delt.)42 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) vio para obtener capital proveniente de inversionistas 0 de acreedores, y pueden ser criticos para laasignacién de ciertos contratos o para negociar con algunos proveedo- res. Los inversionistas, acreedores, clientes y proveedores a menudo se’ relacionan con los estados financieros para valorar ef desempefio de los administradores y para comparar con pares y con inversiones alternativas. El término confiabilidad, tal y como se usa con los objetivos de informacién fi- nanciera involucra la preparacién de estados financieros presentados razonablemente de acuerdo con principios contables generalmente aceptados u otros relevantes y apro- piados y con los requerimientos reguladores para propésitos externos. La presenta- cién confiable es definida?s como: * Los principios contables seleccionados y aplicados tienen general aceptacién. * Los principios contables son apropiados para las circunstancias. * Los estados financieros son informativos de asuntos que pueden afectar su uso, entendimiento e interpretacién. * La informacién presentada es clasificada y sumarizada de manera razonable, esto es, no es ni totalmente detallada ni totalmente condensada, y * Los estados financieros reflejan las tansacciones y los eventos?6 fundamentals de manera tal que presentan la posicién financiera, los resultados de las operacio- nes y los flujos de efectivo definidos en un rango de limites aceptables, esto es, limites que son razonables y practices para conseguir en los estados financicros. También es inherente en la presentacién razonable el concepto de materialidad de Jos estados financieros. El soporte de esos objetivos es una serie de aserciones que fundamentan los esta- dos financieros de una entidad27: 25 Statement on Auditing Standards No. 69, Tie Meaning of “Present Fairly in Conformity With Generally Accepted ag Accounting Principles” in the Independent Auditors Report (New York: AICPA. 1992). 26 Una transaccién es un intercambio entre Ia entidad y una parte extema, La venta de productos o servicios a los clientes, y 1a compra de productos 0 servicios de los proveedores, son ejemplos de transacciones. Un evento es otra ccurtencia que puede afectar la informacién financier, Por ejemplo, una declinaci6n en el valor de mercado de las inversiones a corto plazo por debajo del costo, y una prohibiccién de ventas futuras de ciertos productos farmacéuticos ene! inventario, son eventos que afectan la informacion financiera, Tales eventos incluyen transfe- rencias con una cntidad, y asignaciones y amortizaciones de costes yaen una base de tiempe o.en una medicivn de esfverzo 0 en uso. Laaplicacién de costos directos durante la produccidn, y la asignacidn de costos generales de ‘manufactura y costos de los activos depreciables. son ocurrencias que afectan 1a informacién financier Los eventos difieren de las transacctones en que ellos no involucran un intercambio entre una entidad y una parte externa. F1 propésito principal de distinguir entre estas ocurrencias es reconocer que los intereambios con Las partes externas no son las Unicas materias que pueden afectar Ia informacidn financiera. A menudo, se debe prestar especial atencidn para identificar esos eventos, puesto que ellos no siempre son evidentes en las operacio- nes diarias Dete reconocerse que a menudo representan considerable juicio, estimaciones y prondsticos en el proceso de formacién financiera, 27 Statement on Auditaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.44 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) afectar de manera significativa -tanto positiva como negativamente- su reputacién en la comunidad. Cobertura de objetivos Un objetivo en una categoria; puede cubrir o soportar un objetivo en otra. Por ejemplo, cerrar trimestralmente con 10 dias de trabajo puede ser un objetivo que soporta primariamente unos objetivos de operaciones, apoyar las reuniones de la ad- ministracidn para revisar el desempefio de los negocios. Pero también soporta opor- tunamente la informacién financiera al mismo tiempo que cumple con las agencias reguladoras. Un objetivo, proporcionar a los adminisiradores de planta de datos pertinentes sobre produccién de materias primas mezclada en una base oportuna, puede relacionarse con todas las tres categorfas de objetivos. Las decisiones soporta- das en datos sobre los cambios deseados de la mezcla (operaciones), facilitan el monitoreo de sustancias riesgosas (cumplimiento) y provee entradas para la contabi- lidad de costos (informacién financiera lo mismo que operaciones). Otro conjunto de objetivos hace referencia a la salvaguardia de recursos. Si bien se trata principalmente de objetivos de operacién, ciertos aspectos de salvaguardia pueden ubicarse en las otras categorias. Bajo la categoria de operaciones estd el uso eficiente de los activos registrados de una entidad y de otros recursos, y la prevencién de sus pérdidas mediante hurto, desperdicio, ineficiencia o aquello que los saca fuera simplemente por malas decisiones de negocios, tales como vender productos a muy bajo precio, extensién del crédito a riesgos daninos, falla en la retencién de emplea- dos clave 0 prevencién de la violacién de patentes, 0 incurrir en obligaciones impre- vistas. Cuando aplican requerimientos legales 0 reguladores, ellos se convierten en asuntos de cumplimiento. De otra manera, la meta de asegurar que cualquier pérdida de activos es reflejada adecuadamente en los estados financieros de Ja entidad repre- senta un objetivo de informacién financiera. La categorfa en la cual un objetivo se ubica, puede algunas veces depender de las circunstancias, Continuando la discusién sobre salvaguardia de activos, los controles para prevenir los hurtos de activos -tales como mantener una valla alrededor de los inventarios, y un celador verificando la autorizacién adecuada de requisiciones para movimiento de bienes- se ubican en la categoria de operaciones. Esos controles normalmente no serfan relevantes para la confiabilidad de la preparacién de estados financicros, puesto que cualquier pérdida de inventarios podria ser detectada median- te la inspeccién fisica periddica y registrada en los estados financieros. Sin embargo, si para propésitos de informacién financiera los administradores confian Gnicamente en registros de inventario perpetuo, como puede ser el caso para informacién interi- na, los controles de seguridad fisica también se podrian ubicar dentro de la categoria de informacién financiera. Esto es porque esos controles de seguridad fisica. inntoPARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 4s con los controles sobre los registros de inventario perpetuo, serfan necesarios para asegurar informacién financiera confiable. La distincin imerrelaci6n entre las categorias puede ilustrarse ademés_en el contexto de la actividad de préstamos de un banco comercial. Para propdsitos de ilustracién, astimase que los controles existen para asegurar que los archivos de cré- dito contienen las historias de crédito de los clientes actuales y datos sobre desempe- fio. Ademis, astimase en este ejemplo que los ejecutivos de crédito del banco no usan esa informacién en la toma de decisiones de crédito. En lugar de ello, dan aprobacio- nes de giros contra Ifneas de crédito existentes, y de la misma manera incrementan el limite, lo cual se hace intuitivamente. Los administradores financieros, sin embargo, realizan revisiones periédicas para determinar los niveles apropiados de reservas contra pérdidas en préstamos. Bajo este escenario, los controles sobre las operaciones tienen debilidades significativas, mientras que los controles sobre la informacién financiera no lo hacen. Practicamente hablando, tal control laxo sobre las operaciones segura- mente derivard en desempeiio inaceptable de las utilidades. La primera evidencia aparecera en los indicadores de desempeio y luego en las bajas utilidades reportadas o eventualmente pérdidas, solicitando a la alta administraci6n y, si es suficientemente serio, al consejo, investigacién y accién necesarias. De esta manera, los controles de informaci6n financiera pueden ayudar a orientar la debilidad de las operaciones, evi- denciando sus interrelaciones, pero la debilidad esta en el control de las operaciones tinicamente, Vinculacién Los objetivos pueden ser complementarios y estar vinculados. Los objetivos globales de la entidad no solamente deben ser consistentes con las capacidades y posibilidades de la entidad, también deben ser consistentes con los objetivos de sus unidades de negocio y funciones. Los objetivos globales deben dividirse en sub-obje- tivos, consistentes con la estrategia global, y vinculados con las actividades a través de la organizaci6n. Cuando los objetivos globales son consistentes con la préctica principal y el desem- pefio, la vinculacién con las actividades es conocida. Cuando, sin embargo, los obje- tivos surgen de las practicas pasadas de una entidad, la administracin debe orientar los vinculos u operar los riesgos crecientes. Dado que ellos surgen de 1a prictica pasada, la necesidad de unidades de negocios o sub-objetivos funcionales que son consistentes con la nueva direcci6n, es igualmente importante. Un objetivo para lenar mds roles administrativos internamente mediante promo- ciones dependerd fuertemente de los sub-objetivos vinculados para los procesos de recursos humanos relacionados con la planeaci6n de la sucesién, valuaci6n, entrena-aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.48 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) difieren crecientemente del desempeiio pasado. En un ntimero de dreas de desempe- fio, una entidad, a menudo, no define explicitamente los objetivos globales puesto que considera aceptable su desempefio. Aunque en esas circunstancias no hay alli un objetivo explicito 0 escrito, existe un objetivo implicito de no cambio 0 como es. Esto no significa que un objetivo implicito, con riesgos internos o externos, porejem- plo, permita ver como aceptable el servicio que una entidad preste a sus clientes. Tampoco quiere decir que puedan deteriorarse las précticas de un competidor tal y cémo son percibidas por sus clientes. Mirando si un objetivo esté establecido o es implicito, el proceso de valoracién de tiesgos de una entidad puede considerar los que pueden ocurrir. Es importante que la identificacién de riesgos sea comprensiva. Debe considerar todas las interacciones significativas -de bienes, servicios e informacién- entre una entidad y las partes ex- ternas relevantes, Esas partes externas incluyen proveedores, inversionistas, acree- dores, accionistas, empleados, clientes, compradores, intermediarios y competido- res, tanto potenciales como actuales, lo mismo que entidades cuerpos ptiblicas y me- dios de comunicacién. La identificacién de riesgos es un proceso interactivo y a menudo esta integrado con el proceso de planeacién. También es util considerar los riesgos desde una aproxi- macién, hoja de papel en blanco, y no relacionar tinicamente los riesgos de la revi- sidn previa. Nivel de la entidad. Los riesgos del nivel global de la entidad pueden provenir de factores externos 0 internos. Ejemplos incluyen: Factores externos + Los desarrollos tecnolégicos pueden afectar la naturaleza y oportunidad de ta in- vestigacién y desarrollo, 0 dirigir hacia la procura de cambios. * Las necesidades 0 expectativas cambiantes de los clientes pueden afectar el desa- trollo del producto, el proceso de produccién, el servicio al cliente, los precios 0 las garantias. + La competencia puede alterar las actividades de mereadeo 0 servicio. + Lalegislacién y regulacién nuevas pueden forzar cambios en las politicas y en las estrategias de operacién. * Las catdstrofes naturales pueden orientar los cambios en las operaciones o en los sistemas de informaci6n y hacer urgente la necesidad de planes de contingencia * Los cambios econémicos pueden tener un impacto sobre las decisiones relaciona- das con financiacién, desembolsos de capital y expansién.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.52 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) cién criticos es formular un plan de recuperacién de desastres?9. Deben, entonces, efectuarse procedimientos para asegurar que el plan es apropiadamente disefiado e plementado. Tales procedimientos representan actividades de control, las cuales. se estudiardn en el Capitulo 4. Antes de implantar procedimientos adicionales, la administracién debe conside- rar ciudadosamente si los existentes pueden ser adecuados para manejar los riesgos identificados. Dado que los procedimientos pueden satisfacer objetivos multiples, la administracién puede descubrir que no se justifican acciones adicionales; los proce- dimientos existentes pueden ser suficientes 0 requieren un mejor desempeiio. La administracién también puede concluir que es probable que siempre exista algun nivel de riesgo residual no solamente porque los recursos siempre son limita- dos, sino también a causa de otras limitaciones inherentes a cada sistema de control interno. Ello se analiza en el Capitulo 7. El andlisis de riesgos no es un ejercicio teorico. A menudo es critico para el éxito de la entidad. Es més efectivo cuando incluye la identificaci6n de todos los procesos claves de negocio en los cuales existe exposici6n potencial de alguna consecuencia. Puede envolver andlisis de procesos, tales como identificacién de dependencias clave y modos de contro! significativos, y el establecimiento de responsabilidad y accountability®© claras. El andlisis de procesos efectivos presta especial atencién a las dependencias que cruzan la organizacién, identificando, por ejemplo: dénde se originan los datos, dénde se almacenan, cémo se convierten en informacién titil y quién usa la informacién. Las organizaciones grandes, en general, necesitan ser par- ticularmente vigilantes en la orientacién de las transacciones intracompaiifa e intercompaiifa, asi como en las dependencias claves. Este proceso puede ser afectado positivamente por programas de calidad los cuales, con una compra-en®! por los empleados, puede ser un elemento importante para contener el efecto de los riesgos. Desafortunadamente, la importancia del andlisis de riesgos se reconoce algunas veces muy tarde, como es el caso de una firma principal de servicios financieros en la cual un ejecutivo principal anuncié un melancélico epitafio: justamente no pensamos que encontrariamos muchos riesgos. MANEJO DEL CAMBIO. Los ambientes econémicos, industriales y reguladores cambian, y envuelven la actividad de las entidades. El control interno efectivo bajo un conjunto de condicio- 29 Plan de contingencia. (N. del L.) 39 Vease nota atras. (N. del 1.) 31 Comesponde a la idea que los empleados puedan adquirir parte de la propiedad de las empresas. 10 cual los compromete no s6lo en su gestiGn sino también en sortear Ios riesgos, (N, dell.)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.60 CONTRO. INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) suma también proporciona un anilisis por producto para uso de los administradores de mercancias en sus futuras decisiones de compra o para control de inventarios. En este caso, las actividades de control establecidas primariamente para informacién financiera también sirven a las operaciones. Aunque esas categorfas son titiles para la discusién sobre control interno, la cate- goria particular en la cual un control debe ubicarse no es tan importante como el papel que juega en la consecucién de los objetivos de una entidad en particular. Tipos de actividades de control Se han propuesto muchas descripciones diferentes de los distintos tipos de activi- dades de control, incluyendo controles preventivos, controles para detectar, controles manuales, controles computarizados y controles administrativos. Las actividades de control pueden ser descritas para objetivos de control especificados, tales como ase- gurar que el procesamiento de datos sea completo. exacto. Le siguen ciertas activida- des de control cominmente desempeiiadas por personal en varios niveles en las orga- nizaciones. Se presentan para ilustrarel rango y la variedad de actividades de control, No para sugerir una categorizacién particular. * Revisiones de alto nivel. Las revisiones se realizan sobre el desempefio actual frente a presupuestos, prondsticos, periodos anteriores y competidores. Las iniciati- vas principales se rastrean -tales como arremetidas de mercadeo, mejoramiento de procesos de producci6n y programas para contener 0 reducir costos- a fin de medir la extensién en la cual los objetivos estin siendo logrados. La implementacién de pla- nes ¢s monitoreada para el desarrollo, alianzas conjuntas* con o sin financiacion, de nuevos productos. Las acciones administrativas que se realizan y los consiguientes informes representan actividades de control. * Funciones directas 0 actividades administrativas. Los administradores dirigen las funciones 0 las actividades revisando informes de desempefio. Un administrador responsable por los créditos de consumo de un banco revisa los informes por sucur- sal, regién y tipo de préstamo (colateral), verificando sumas e identificando tenden- cias, y relacionando resultados con estadisticas econdmicas y objetivos. A su turno, los administradores de sucursales reciben datos sobre nuevos negocios de parte de los ejecutivos de préstamos y segmentos de clientes locales. Los administradores de sucursales se centran solamente en el cumplimiento de hechos, por ejemplo, revisan- do los informes requeridos por los reguladores sobre depésitos nuevos bajo cantida- des especificadas. Las conciliaciones se hacen entre los flujos de caja diario frente a las posiciones netas reportadas centralmente para transferencias e inversiones noctumas. 34 Join ventures, (N. del t.)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.64 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Controles generales Los controles generales incluyen corminmente los controles sobre las operaciones del centro de datos, la adquisicién y mantenimiento del software del sistema, las seguridades de acceso, y el desarrollo y mantenimiento de las aplicaciones del siste- ma. Esos controles aplican a todos los sistemas, mainframe, minicomputadores y ambientes de computacién de usuario final. Controles a las operaciones del centro de datos. Incluyen trabajos de implementacién y rutina, acciones del operador, copias de seguridad y procedimien- tos de recuperacién, asf como planeacién de contingencias o recuperacién por desas- tres. En un ambiente sofisticado, esos controles también ayudan a manejar la capaci- dad de planeacién y de asignacién y uso de recursos. En un ambiente de alta tecnolo- gia, el trabajo rutinario es automatico y el lenguaje de control es en Ifnea. Las herra- mientas de administracién de almacenamiento cargan archivos de datos a altas velo- cidades anticipandose al siguiente trabajo. El cambio de supervisor no requiere inicializar la consola manualmente, porque no estd impreso afuera; el asunto es man- tenerse en el sistema. Cientos de mensajes relampaguean cada segundo en una conso- Jaconsolidada que soporta multiples mainframes. Los minicomputadores operan toda la noche, sin atenderlos. Controles al software del sistema. Incluye controles sobre adquisicién, implementacién y mantenimiento efectivos del software del sistema -el sistema ope- rativo, los sistemas de administracién de bases de datos, el software de telecomunica- ciones, el software de seguridad y las utilidades- los cuales operan el sistema y per- miten que las aplicaciones funcionen. El director maestro de las actividades del siste- ma, el software del sistema, proporciona también las funciones de particién?®, segui- miento3’ y monitoreo del sistema. El software del sistema puede informar sobre uso de las utilidades, de manera tal que si alguien accesa el poder de las funciones de alterar datos, al menos su uso es registrado ¢ informado para revision. Controles de seguridad de acceso. Estos controles han obtenido gran importancia en la medida en que las redes de telecomunicaciones han crecido. Los usuarios del sistema pueden quedarse a mitad de camino alrededor del mundo o por debajo del pasillo. Los controles de seguridad de acceso efectivo pueden proteger el sistema, prevenir acceso inapropiado y el uso no autorizdo del sistema. Si esta bien disefiado, pueden interceptar personas expertas en obtener acceso ilegal a las informaciones de computadores"8, asf como para interceptar otros violadores. 36 En el original: logging. (N. del) 37 Ep el original: eracking. (N. del t.) 38 Tecnicamente conocidos como hackers. (N. del.)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.68 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Para mantener el control necesario para los sistemas EUC, se implementan y se imponen politicas para desarrollo, mantenimiento y operacién de sistemas. El am- biente de procesamiento local debe gobernarse por un nivel de actividades de control similar al ambiente de los més tradicionales mainframe. Una tecnologia emergente es la inteligencia artificial o sistemas expertos. En el futuro, asi como muchos sistemas se integran en numerosas aplicaciones -si son de- sarrolladas por un departamento de procesamiento de datos 0 usuarios finales, 0 com- pradas- incluirin cémo decidir cules aplicaciones se acomodan mejor, cudles herra- mientas usar y cémo controlar el desarrollo. Mucha gente siente que tales sistemas Uiltimamente seran controlados de la misma manera como ahora lo es la computacién de usuario final. Cuando EUC se establecié, se emitieron conceptos similares antes de establecer qué controles debian implementarse a través de actividades de control apropiadas. ESPECIFICO PARA LA ENTIDAD Puesto que cada entidad tiene su propio conjunto de objetivos y su implementacién de estrategias, existirdn diferencias en la estructura de objetivos y en las actividades de control relacionadas. Aunque dos entidades tengan idénticos objetivos y estructu- Tas, sus actividades de control seran diferentes. Cada entidad es manejada por gente diferente que usa juicios individuales en Ja aplicacién del control intemo. Ademas, los controles reflejan el ambiente y la industria donde opera una entidad, asi como la complejidad de su organizacion, su historia y su cultura. El ambiente en el cual opera una entidad afecta los riesgos a los que estd expuesta y puede presentar requerimientos de informacién externa tinicos, o requerimientos especiales de tipo legal o regulador. Una industria quimica, por ejemplo, debe mane- jar mayores riesgos ambientales que aquellos que afronta una tipica compafifa de servicios, y debe considerar la disposicién de desechos en las revelaciones de sus estados financieros. La complejidad de una entidad, y la naturalezay aleance de sus actividades, afecta sus programas de control. Las organizaciones complejas con mayor niimero de acti- vidades pueden tener resultados de control mds dificiles que las organizaciones sim- ples con menos variedad de actividades. Una entidad con operaciones descentraliza- das y un énfasis en la autonomfa local y en la innovacién presenta diferentes circuns- tancias de control que una altamente centralizada. Otros factores que influyen en la complejidad de una entidad y. por consiguiente, la naturaleza de sus controles inclu- yen: localizacién y dispersi6n geogrifica, extensi6n y sofisticacin de sus operacio- s, y los métodos de procesamiento de informacién.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.12 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO} recursos, Los reportes administrativos de mediciones monetarias y relacionadas per- mite el monitoreo, por ejemplo, de utilidades definidas, desempefio de cuentas por cobrar por tipo de cliente, participacién en el mercado, tendencias en las reclamacio- nes de los clientes y estadisticas de accidentes. Las mediciones financieras internas confiables también son esenciales para planeacién, presupuestos, establecimiento de precios, evaluacién del desempefio de vendedores, y de operaciones conjuntas*8y otras alianzas. De igual manera, la informacién operacional es esencial para el desarrollo de los estados financieros. Ello incluye lo rutinario -compras, ventas y otras transacciones- lo mismo que informaci6n sobre los competidores, liberacién de productos 0 condi- ciones econdmicas, que pueden afectar las valuaciones de inventarios y de cuentas por cobrar. Puede necesitarse informacién operativa tal como emisiones de particulas aéreas 0 datos personales para adquirir objetivos tanto de cumplimiento como de informacién financiera. De la misma manera, la informacién desarrollada de fuentes tanto internas como externas, financieras como no-financieras, es relevante para to- das las categorias de objetivos. La informacién es identificada, capturada, procesada y reportada mediante siste- mas de informacién. El término sistemas de informacién frecuentemente es usado en elcontexto del procesamiento de datos generados internamente, relacionados con las transacciones, tales como compras y ventas, y actividades de operacién interna, tales como produccién en proceso. Los sistemas de informacién -que pueden ser computarizados, manuales 0 combinaci6n de ellos- ciertamente orientan todos esos asuntos. Pero, como se usa aqui, es un concepto mucho mds amplio. Los sistemas de informacién también se relacionan con informacién sobre eventos, actividades y con- diciones externas. Tal informacidn incluye: datos econ6micos espectficos del merca- do o de la industria que sefialan cambios en demanda por los productos o servicios de lacompaiifa; datos sobre bienes y servicios que la entidad necesita para su proceso de produccién; inteligencia de mercadeo sobre la evolucién de las preferencias 0 de- mandas de los clientes; ¢ informacién sobre actividades de desarrollo de los produc- tos de los competidores ¢ iniciativas legislativas 0 reguladoras. Los sistemas de informacién operan algunas veces en un modo de monitoreo, realizando captura rutinaria de datos especificos. En otros casos, se realizan acciones especiales para obtener la informacién requerida. Considérense, por ejemplo, los sis- temas que capturan informacién sobre la satisfaccién de los clientes con los produc- tos de la entidad. Los sistemas de informacién pueden identificar y reportar regular- mente las ventas por producto y lugar, ganancias y pérdidas de los clientes, retornos y solicitudes de asignacién, aplicaciones de las provisiones de garantfa de productos y retroalimentacién directa en la forma de quejas y otros comentarios. De otra mane- 48 Joint ventures. (N. del t.)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.16 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) Calidad de la informacién La calidad de la informaci6n generada por sistemas afecta la habilidad de la gerencia para tomar decisiones apropiadas para la administracién y el control de las actividades de laentidad. Los sistemas modemos proporcionan a menudo habilidad para preguntar en linea, de manera tal que est disponible informacién fresca para las respuestas. Es critico que los reportes contengan datos apropiados suficientes para soportar un control efectivo. La calidad de Is informacién incluye indagar si: * Contenido apropiado. (Se necesita la informacién contenida en él? * Informacién oportuna. (Est4 disponible cuando es requerida? * Informacién actual. {Esta disponible la més reciente? * Informacion exacta. j,Los datos son correctos? * Informacion accesible. ;Pueden obtenerse facilmente por las partes apropiadas? Todas esas preguntas deben hacerse en el momento de disefiar el sistema. Sino, es probable que éste no proveerd la informacién que requieren los administradores y otro personal. Dado que tener la informacién correcta, a tiempo, en el lugar correcto, es esencial para efectuar el control, los sistemas de informacién, puesto que ellos mismos son un componente del sistema de control interno, también deben controlarse. La calidad de la informacién puede depender del funcionamiento de las actividades de control, dis- cutidas en el Capitulo 4. COMUNICACION La comunicacién es inherente a ios sistemas de informacién. Como se discutié atrds, los sistemas de informacién pueden proporcionar informacién al personal apro- piado a fin de que ellos puedan cumplir sus responsabilidades de operaci6n, informa- ci6n financiera y de cumplimiento. Pero las comunicaciones también deben darse en un sentido amplio, relaciondndose con las expectativas, las responsabilidades de los individuos y de los grupos, y otros asuntos importantes. Interna Ademés de recibir datos relevantes para administrar sus actividades, todo ell per- sonal, particularmente aquel que tiene importantes responsabilidades de administra- ci6n operativa o financiera, necesita recibir un mensaje claro de parte de la alta admi- nistracién respecto de que las responsabilidades de control interno deben tomarseaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.86 CONTROL INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) proporcionan retroalimentacién importante a la administracién respecto de si los controles son efectivos, Ademis de los problemas particulares que pueden sefialar asuntos de control, la conciencia de control de los participantes a menudo se con- vierte en aparente. + Al personal se le pregunta periédicamente para establecer explicitamente si en- tiende y cumple con el c6digo de conducta de la entidad. El personal de operacién y financier puede similarmente ser requerido para establecer si determinados procedimientos de controles, tales como conciliar cantidades especificadas, se estd desempefiando regularmente. Tales estados pueden ser verificados por personal administrativo o de auditorfa interna Puede verse que cada una de esas actividades de monitoreo ongoing orienta as- pectos importantes de cada uno de los componentes del control interno. EVALUACIONES SEPARADAS Mientras que los procedimientos de monitoreo ongoing usualmente proporcionan retroalimentacién importante sobre la efectividad de otros componentes de control, puede ser titil tomar de tiempo en tiempo una mirada fresca, centrada directamente en la efectividad del sistema. Ello también proporciona una oportunidad para considerar la continua efectividad de los procedimientos de monitoreo ongoing. Alcance y frecuencia Las evaluaciones del control interno varian en alcance y frecuencia, dependiendo del significado de los riesgos que estén siendo controlados y de la importancia de los controles en fa reduccién de aquéllos. Los controles que se orientan a riesgos de prioridad alta y a aquellos mas criticos para reducir un riesgo dado, tenderan a ser evaluados mas frecuentemente. La evaluacién de un sistema de control interno com- pleto -que sera necesitada con menos frecuencia que la valoraci6n de controles espe- cificos- puede motivarse por diversas razones: estrategia principal o cambio adminis trativo, adquisiciones y disposiciones, o cambios significatiivos en las operaciones 0 en los métodos de procesamiento de informacién financiera. Cuando se toma una decisién para evaluar el sistema de control intemo completo de una entidad, la aten- cidn se debe dirigir a cada uno de los componentes del control interno con respecto a todas las actividades significativas. El alcance de la evaluacién también dependerd de las tres categorias de objetivos - operaciones, informacién financiera y cumplimiento- a los cuales se est orientandoaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 99 En otros casos, sin embargo, puede ser ms dificil cuantificar los costos. Puede ser dificil cuantificar el tiempo y el esfuerzo relacionados, por ejemplo, con ciertos fac- tores de control ambiental, tales como el compromiso de los administradores con los valores éticos 0 la competencia del personal; valoracién de riesgos; y captura de cierta informacién externa como inteligencia de mercadeo o desarrollo de las prefe- rencias de los clientes. El lado de los beneficias a menudo requiere evaluacién mas subjetiva. Por ejemplo, los beneficios de programas de entrenamiento efectivos son usualmente faciles aparentemente, pero diffciles de cuantificar. Sin embargo, se pue- den considerar ciertos factores en la evaluacién de beneficios potenciales: la pro- babilidad de que la condicién indeseada ocurra, la naturaleza de las actividades, y el potencial efecto financiero u operativo que el evento pueda tener en la entidad. Lacomplejidad de las determinaciones costo-beneficio esta dada por la interrelacién de los controles con las operaciones de negocios. Donde los controles estan integra- dos con, 0 construidos en, el proceso administrativo y de negocios, es dificil aislar tanto los costos como los beneficios. De manera similar, muchas veces una variedad de controles puede servir, indivi- dual o conjuntamente, para mitigar un riesgo particular. Considérese el caso de los despachos retomados. Cuando se registran, es suficiente conciliar, actualizar los archivos maestros de inventarios y cuentas por cobrar con los retornos totales? Se necesita verificar también los cédigos de las cuentas individuales de los clientes, y si Jo son, gen qué extensién? ¢Es suficiente la conciliacién mensual de los archivos de la subsidiaria con los archivos maestros? O, gse necesitan procedimientos mas ex- tensos para asegurar que los registros de la subsidiaria estén adecuadamente actuali- zados para las devoluciones? ,Y qué mecanismos operan para centrar la atencién en si las devoluciones son sintomaticas de un problema sistémico en el disefio del pro- ducto, manufactura, embarque, facturacién o servicio al cliente? Las respuestas a esas cuestiones dependen de los riesgos implicados en las citcunstancias particulares y de los costos y beneficios relacionados con el establecimiento de cada procedi- miento de control. Las determinaciones costo-beneficio también varian considerablemente depen- diendo de la naturaleza del negocio. Por ejemplo, un sistema de computacién que proporciona informacién sobre la frecuencia con la cual los clientes generan sus 6r- denes de compra, el valor del délar de las ordenes, y el nimero de los ftems compra- dos por orden, son muy importantes para un catdlogo de érdenes por correo de la compaiifa. Para un manufacturero de altura-de-la-linea, los clientes que realizan via- jes en embarcaciones, tai informaci6n detallada sobre el perfil del cliente podra ser menos importante. Dada la insignificancia relativa de una actividad particular o de un riesgo relacionado, puede no ser necesario realizar un andlisis costo-beneficio total. El esfuerzo de realizar tal andlisis no se justifica.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 07 Market System, requiere que los comités de auditorfa tengan mayorta de directores independientes. La Treadway Commission reconocié las dificultades practicas, parti- cularmente para las compaiifas pequefias, recientemente hechas piiblicas, en el reclu- tamiento de un ntimero suficiente de directores independientes calificados. También reconocié que pueden existir procedimientos y controles que sean equivalentes y funcionales de un comité de auditoria. Si bien no existen requerimientos universales por los comités de auditoria, es claro que el control interno se fortalece con su presen- cia. Es igualmente sensible para las compaiiias pequeiias, en la extensién practicable, el tener comités de auditorfa compuestos por directores independientes. Comité de compensacién. Este comité puede ver que el énfasis esti situado en la compensacién de convenios que ayuden a conseguir los objetivos de la entidad y que no enfaticen indebidamente los resultados de corto plazo con el sacrificio del desem- peiio en el largo plazo. Comité de finanzas, Este comité es til para controlar los compromises principa- les de fondos y para asegurar que los presupuestos de inversiones son consistentes con los planes de operacién. Comité de nominacién. Este comité proporciona control sobre la seleccién de candidatos a directores y posiblemente para la alta administracién. Comité de beneficios de empleados. Este comité supervisa los programas de be- neficios de empleados y mira que sean consistentes con los objetivos de la entidad y que las responsabilidades fiduciarias estén siendo exoneradas, Otros comités. Pueden existir otros comités del consejo que supervisan areas es- pecificas, tales como éticas, politicas ptiblicas o tecnologia. Generalmente, esos co- mités se establecen solamente en ciertas organizaciones grandes, 0 en otras empresas a causa de circunstancias particulares de la entidad. Auditores internos Los auditores internos examinan directamente los controles internos y recomien- dan mejoramientos. Los estandares establecidos por el Institute of Internal Auditors especifican que el alcance de la auditorfa interna debe cubrir el examen, laevaluacién adecuada y la efectividad del sistema de control interno de la organizacién y la cali- dad del desempeiio en la realizacién de las responsabilidades asignadas®>. Los estandares establecen que los auditores internos deben: 65 The Institute of Internal Auditors, Inc., Codification of Standards for the Professis (Altamonte Springs, FL: IIA, 1589), ial Practice of Internal Auditingaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) Z ui7 Comisién Cohen La Comisién sobre Responsabilidades de los Auditores, mejor conocida como Comisién Cohen, fue creada en 1974 por el AICPA para estudiar las responsabilida- des de los auditores. Una de las recomendaciones® de la Comisi6n fue que los admi- nistradores corporativos presentaran junto con los estados financieron un reporte que revelara la condicién del sistema de control interno de la compaitia. Otra fue que los auditores informaran sobre el reporte de la administracién. Siguiendo el informe de la Comisién Cohen, que fue emitido en 1978, el Financias Executives Institute (FEL) dirigié una carta a sus miembros respaldando las recomendaciones de la Comisién Cohen sobre informes de los administradores, acompafandola de gufas para ayudar a su implementacién. Tales informes de la administracién han estado apareciendo con frecuencia creciente en los informes anuales de las compaiifas dirigidos a los accionistas. Securities and Exchange Commission En 1979 la SEC tom6 las acciones de la Comisi6n Cohen y de la FEI para dar un paso adicional y propuso reglas para informes administrativos obligatorios sobre los controles contables internos de una entidad®, Las reglas propuestas también requi- rieron por informacién de auditor independiente. La propuesta de la SEC fue significativa por diversas razones. Establecié que el mantenimiento de un sistema de control interno siempre ha sido una importante res- ponsabilidad de la administracién. Y, sugirié que la informacién sobre la efectividad de un sistema de control interno es necesaria para que los inversionistas puedan eva- luar mejor el desempefio de los administradores sobre sus responsabilidades propias asf como la confiabilidad de la informacién financiera intermedia y otra no-auditada. Si bien el propésito fue después tergiversado -habiendo sido criticado por su costo, la irrelevancia de la informacién a ser reportada y su correlacién altamente cerrada con el FCPA, implicando el requerimiento para establecer el cumplimiento con la ley- tiende a solidificar posteriormente el reconocimiento de las responsabilidades de la administraci6n por el mantenimiento de un sistema de control intemo efectivo sobre la informacién financiera intermedia y otra no-auditada. Apartandose de ese propési- to, la SEC dijo que la emisién de informacién publica deberia ser revisada. Comité Minahan En parte como respuesta a la legislacién FCPA y a las propuestas por informa 68 Report, Conclusions, and Recommendatios (The Commission on Auditor's Responsabilities, 1978) 69 Statement of Management on Internal Accounting Control (SEC Release No. 34-1572, 1979).aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 121 ‘También en 1988, la SEC respondié a la recomendacién de la Comisi6n Treadway respecto del informe de la administracidn sobre el control interno. La SEC propuso una regla que, entre otras estipulaciones, pidié a los administradores emitir informes sobre su responsabilidad por el control interno y su valoracién de la efectividad del sistema de control interno. Ademés, la estipulacin puede requerir alguna implica- cién limitada del auditor independiente con el informe de la administracién. En los afios siguientes, legisladores y reguladores tuvieron algunas iniciativas que involucraban el control. interno, algunas dirigidas a industrias especificas, tales como bancos, instituciones de ahorro y crédito, y contratistas de defensa, con otras de base mds amplia, que potencialmente afectan a todos los registrados en la SEC. La legislacién propuesta incluyé requerimientos para que los administradores valoraran e informaran sobre la efectividad de sus controles internos y que un auditor indepen- diente atestara sobre los informes de la administracién. Uno de estos proyectos, rela- cionado con los bancos, se convirtié en ley, en la forma de la Federal Deposit Insurance Corporation Improvement Act de 1991. Muchos observadores esperan ver el adveni- miento de iniciativas legislativas adicionales. También en 1991, se completaron dos iniciativas separadas relacionadas con cier- tos aspectos del control interno. Primero, el Institute of Internal Auditors Research Foundation emitié un informe proporcionando orientacién sobre el control y la auditorfa de los sistemas de informacién®, Més tarde durante el mismo afio la U.S. Sentencing Commission promulgé guias*! para uso del sistema de justicia criminal en Ia valoracién de sanciones para crimenes de cuello blanco. Tales guias, las cuales permiten reducir significativamente las sanciones a las entidades que tengan un progra- ma efectivo para prevenir y detectar violaciones a las leyes, se relacionan ampliamente con aquello que es visto como controles intemnos relacionados con el cumplimient. El estudio Una ordenacién de los conceptos y puntos de vista que sobre control interno han sido desarrollados a lo largo de los afios, expresados en la legislacién propuesta, regulaci6n, estndares profesionales y gufas, informes piblicos y privados, y un cuerpo sustancial y diverso de literatura académica. . El alcance de esos escritos es tan amplio como la variedad de propésitos de con- trol interno a los que puede servir y las muchas perspectivas desde las cuales puede verse. Contiene diferentes definiciones de control interno, puntos de vista disimiles 80 Systems Auditubility and Control ( Aliamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 1991), 81 United States Sentencing Commission, Federal Sentencing Guidelines (Washington, DC. 1991)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il. FRAMEWORK (ESTRUCTURA CONCEPTUAL) 125 De-esos abstracts, se seleccionaron y leyeron aproximadamente 700 fuentes. Esas fuentes, fucron complementadas con otras que llamaron la atencién del equipo del proyecto. Entrevistas uno-a-uno Se realizaron entrevistas con directores ejecutivos jefe, directores financieros jefe, legisladores, reguladores, contadores piiblicos, consultores administrativos y académicos. Los ejecutivos corporativos se buscaron mediante un proceso de selecci6n al azar coordinado por la Decision Research Corporation (DRC), empleando una base de datos con el nombre registrado “FINEX, para proporcionar una mezcla basada en el tamafio de la compaiifa y la ubicacién geogréfica, industria y caracteristicas del pro- pietario. Esas selecciones se complementaron con unidades identificadas por la Financial Executives Research Foundation, el Advisory Council y el equipo del proyecto. Las entrevistas se realizaron como sigue: 1 Directores ejecutivos jefe Directores financieros jefe 14 Contralores Auditores internos nD om Legisladores y reguladores Ejecutives principales de firmas de contadores publicos y de consultoria grandes, medianas y pequefias 8 ‘Académicos 5 [ Total 45 Muchos entrevistados estuvieron acompaiiados por sus asociados. Las entrevistas generalmente fueron realizadas por dos miembros del equipo del proyecto, y fueron conducidas de acuerdo con una gufa de entrevistas preparada por el equipo del pro- yecto con la asistencia de DRC. Los resultados de las entrevistas se resumieron en un formato estandar. Cuestionario El cuestionario fue disefiado para obtener input adicional sobre un numero limita- do de asuntos que, como resultado de la informacién obtenida en las fases previas, el equipo del proyecto identificé que necesitaban clarificacion y explicaciones adicionales.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 129 of Virginia; Edward J. Sot, Controller, Mercks & Co., Inc.; John B. Sullivan, Partner, Deloitte & Touche; and Dr. Wanda A. Wallace, School of Business Administration, The College of William and Mary. Las siguientes personas sirvieron como consultores para Coopers & Lybrand en Ja realizacién del estudio: Henry R. Jaenicke, Professor of Accounting. Drexel University; Alan J. Winters, Professor of Accounting. University of South Carolina; and Maureen Berman, Decision Research Corporation. Roland L. Laing del Financial Executives Research Foundation coordin6 las pri- meras etapas del estudio. Muchas otras personas, incluyendo ejecutivos, legisladores, reguladores, audito- res y académicos, entregaron su tiempo y energfa participando y contribuyendo en varios aspectos del estudio.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.134 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) La definicién amplia, sin embargo, es estrechada entonces para identificar el al- cance del control interno relevante para la responsabilidad del auditor independiente. Esta limitacién es realizada observando que las politicas y los procedimientos son relevantes para una auditoria de estados financieros de la entidad cuando ellos perte- necen ala habilidad de la entidad para registrar, procesar. sumar, e injormar datos financieros consistentes con las aserciones incorporadas a las estados financieross6 Si bien para propésitos de planea obtienen conocimiento de los negocio: sus objetiv in de auditoria los auditores independientes y de la actividad de una entidad -incluyendo s de negocio, estrategias y posicién competitiva- ellos no necesitan diri- girse a la totalidad del control interno para auditar los estados financieros de la em- presa. Esta limitacidn de centro de atencién es el mismo proceso que muchos otros deben desempefar para llevar a cabo sus obligacione: Otras partes externas Legisladores, reguladores, inversionistas y acreedores tienen cada uno perspecti- vas diferentes sobre el control interno. Los legisladores y las agence! reguladoras han desarrollado distintas definicio- nes del control interno de acuerdo con sus responsabilidades. Esas definiciones gene- ralmente se relacionan con los tipos de actividades monitoreadas, y pueden abarcar la consecucién de las metas y objetivos de la entidad, requerimientos de informacién, uso de recursos en cumplimiento de leyes y regulaciones, y la salvaguardia de recur- sos contra desperdicios, pérdidas y malversacién. En ciertas instancias, tales como la Foreign Corrupt Practices Act de 1977, el gobierno se ha centrado en un area particu- lar. El FCPA define el control interno contable en términos de proporcionar una segu- ridad razonable mirando la consecucién de ciertos objetivos, relacionados con la eje- cucién de transacciones de acuerdo con autorizaciones de la administracién, registro de transacciones para permitir la preparacion de estados financieros de acuerdo con principios de contabilidad generalmente aceptados y para mantener la accountability®? de Ios actives, permitiendo acceso a los activos solamente con autorizacién de la administracién, y comparando activos con los registros contables. Los inversionistas y los acreedores necesitan informacion, principalmente finan- ciera, que generalmente es consistente con la orientacién de los auditores indepen- dientes. Otras partes externas requieren una variedad de informacién sobre una enti- dad, Sin embargo, estos componentes tienen habilidad limitada para requerir de enti dades especiticas, proporcionar informacién y usualmente no se encuentran en posi- cidn de imponer sus perspectivas sobre el control interno. 86 ypia 87 Accountability = responsabilidad social de la informacién comable. (N. del t.)aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 139 APENDICE D CONSIDERACIONES SOBRE LAS CARTAS COMENTARIO Como se anoté en el Apéndice B, se emitié un borrador de este informe para comentario piiblico, dando origen a 211 cartas comentario. Esas cartas contenfan lite- ralmente cientos de comentarios individuales sobre una amplia variedad de los temas discutidos. Como también se anot6, un borrador revisado del informe se emitié para quienes respondieron el borrador inicial y fue empleado como ayuda para la discusi6n en reuniones, generando 45 cartas comentario y muchos comentarios orales. Cada comenta- rio fue considerado en Ia formulacién de revisiones para los borradores del informe. Este apéndice resume los comentarios més significativos, y las modificaciones resultantes reflejadas en este informe final. También incluye las razones por las cua- les se aceptaron unos puntos de vista y otros no. DEFINICION Extensién de la definicién. El borrador en discusién publica definié el control interno de manera amplia, orienténdose hacia la consecucién de todas las categorfas de los objetivos de una entidad, efectividad y eficiencia de las operaciones, confiabilidad de la informacién financiera, y cumplimiento de las leyes y regulacio- nes. Algunos respondieron apoyando la definicién amplia, mientras que otros sefala- ron que era demasiado amplia y deberia dirigirse solamente a los objetivos de infor- macién financiera. Algunos de quienes contestaron después indicaron que la defini- cién amplia podria derivar en expectativas inapropiadas y en entendimientos equivo- cados de la habilidad de una entidad para conseguir todos sus objetivos, e inconsis- tentes con las orientaciones de la estructura conceptal para la informacién a partes externas, las cuales estaban limitadas a la confiabilidad de la informacion anciera, Se concluy6 que debfa mantenerse la definicién amplia por diversas razones: + Unconcepto fundamental de cualquier estructura conceptual es que define el todo, mas que las partes, Una estructura conceptual para cl control interno, por consi guiente, debe definir la totalidad de lo que abarca el control interno, mas que lasaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 143 propuestos, Otros, sin embargo, dijeron que nueve componentes eran muchos, y que habia excesiva sobreposicién y redundancia entre ellos. Se proporcioné una varie- dad de sugerencias sobre cémo reestructurar los componentes. Se concluyé que la estructura de componentes puede ser encausadas y eliminarse la sobreposici6n innecesaria sin perder la sustancia, reestructurando los componentes como sigue: Borrador en discusién ptblica Informe final Integridad, valores éticos y competencia Ambiente de control Ambiente de control Objetivos Valoracién de riesgos Administracién del cambio Valoracién de riesgos Procedimientos de control Actividades de control Sistemas de informaci6én Comunicacién Informaci6n y comunicaci6n Monitoreo Monitoreo El componente objetivos ha sido eliminado como componente separado. Se adop- 16 el punto de vista expresado por algunos de quienes respondieron respecto a que el establecimiento de objetivos es parte del proceso administrativo pero no del control interno. El informe final reconocié esta distincién, y discute el establecimiento de objetivos como condicién previa al control interno. Hay dos cambios en la terminologfa. Procedimientos de control es ahora Activida- des de control, para capturar la nocién de que tanto las politicas como los procedi- mientos para Ilevarlos a cabo deben encuadrarse. La palabra sistemas ya no esta ligada a informacién, para evitar la implicacién de que est4 reducida a los sistemas de procesamiento de datos. El componente de informacién (y comunicaci6n) es un con- cepto mucho més amplio. Determinacién de la efectividad. Algunos de quienes respondieron cuestionaron la declaracién del borrador en exposici6n piiblica respecto de que todos los nueve componentes deben estar presentes para concluir que el control interno es efectivo. Ellos indicaron que los componente deben considerarse en conjunto y no requierenaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE I, FRAMEWORK (ESTRUCTURA CONCEPTUAL) 151 ware del sistema, seguridades de acceso y desarrollo y mantenimiento del sistema de aplicaci6n. Los controles generales apoyan el funcionamiento de los controles de aplicacién programados. Otros términos que algunas veces se emplean para describir los controles gene- tales son controles computarizados generales y controles de tecnologia de Ja informacién. Controles manuales. Controles desempefiados manualmente, no por computa- dor (contrasta con Controles computarizados (1). Criterio. Un conjunto de estindares contra los cuales puede medirse un sistema de control interno para determinar su efectividad. Los cinco componentes de] control interno, tomados en el contexto de las restricciones inherentes del control interno, representan critcrios para la efectividad del control interno para cada una de las tres categorfas de control. Para una categoria, la confiabilidad de la informacién financie- ra, existe un criterio mas detallado, el concepto de debilidad material. Cumplimiento. Tener que hacer las cosas de conformidad con las leyes y regula- ciones aplicables a una entidad. Deficiencia. Un defecto del control interno percibido, potencial 0 real, o una opor- tunidad de fortalecer el sistema de control interno para proporcionar una mayor pro- babilidad de que los objetivos de la entidad son conseguidos. Desbordamiento de la administracién. Cuando la administracién pasa por enci- ma de las politicas y los procedimientos prescritos para propésitos ilegitimos con la intencién de ganar o engrandecer la presentacién personal de la condici6n financiera de una entidad o del estado de cumplimiento (este término contrasta con Intervencion de la administracién). Disefio. (1) Jntento. Como se emplea en la definicién de control interno, el disefio del sistema de control interno es intentado (establecido) para proporcionar una segu- tidad razonable de la consecucién de los objetivos; cuando el intento es realizado, el sistema puede juzgarse efectivo. (2) Plan: la manera como un sistema es puesto a trabajar, en contraste a cémo trabaja actualmente. Efectuado. Usado con un sistema de control interno: ideado y mantenido. Effective Internal Control System. Un sinonimo de Control interno efectivo. Entidad. Una organizacién de cualquier tamafio establecida con un propésito par- ticular. Una entidad puede, por ejemplo, ser una empresa de negocios, una organiza- cién sin 4nimo de lucro, un cuerpo gubernamental o una institucién educativa. Otros términos empleados como sinénimos incluyen organizacién y empresa. Estados financieros publicados. Estados financieros, estados financieros inter-aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Il, REPORTE A PARTES EXTERNAS 167 Respuesta de la gerencia a las deficien La gerencia puede ser informada sobre las deficiencias de control interno a partir de numerosas fuentes incluidos los auditores internos, los auditores independientes y los reguladores. Algunos individuos 0 grupos han sugerido que un reporte de geren- cia sobre control interno podria establecer explicitamente cuando la gerencia se ente- 16 de las deficiencias, y describir en que consistia la deficiencia, conjuntamente una indicacién de sf la gerencia ha respondido 0 a corregido tal deficiencia. Los reportes de gerencia publicados sobre control interno, sin embargo, tipicamente no hacen esto. Hay argumentos de ambos lados sobre el tema. Algunos reportes hacen la afirma- cién de que los canales de comunicaci6n para las deficiencias, a la gerencia, estan funcionando y por tanto ayudan a mejorar la efectividad del control interno. Tam- bién, este notifica a los lectores de los reportes que la gerencia ha considerado las deficiencias y ha respondido a ellas. De otra parte, reportar estas deficiencias puede elevar cuestionamientos acerca de cémo sus efectos podrian ser considerados en el contexto total del reporte. Eso es, si la gerencia ha dicho que cree que su sistema de control interno es efectivo, los lecto- res del reporte podrfan confundirse en cuanto a si el reporte de las deficiencias corre- gidas se hace para calificar la confianza de la gerencia o ha sido considerado para formar su opinién. O, identificar estas deficiencias en el reporte podria causar a los lectores del reporte una segunda evaluacin global de ta gerencia sobre el control interno 0 interrogantes sobre qué tan apropiadas son sus acciones en lo que respecta alas deficiencias. En general, los argumentos en contra del reporte de deficiencias corregidas son mayores que los que lo aprueban. Algunos reportes gerenciales establecen que el sistema de control interno esti sujeto a continuas revisiones que resultan en recomendaciones para el mejoramiento y que los gerentes toman las acciones correctivas adecuadas. Tal discusién concluye que el sistema incluye un proceso para identificar deficiencias y para reaccionar ante ellas. Firmas Quien firma originalmente el reporte de gerencia sobre control interno puede ini- cialmente considerarlo como simplemente una accién administrativa, pero esto tiene implicaciones importantes. Las précticas corrientes encuentran los reportes firmados por el presidente de la oficina ejecutiva, quien también podria servir como jefe del comité ejecutivo de directores, conjuntamente con el presidente financiero o presi dente contable. Esta practica es adecuada, dado que el presidente ejecutivo debe tener propiedad del sistema de control. La firma de los individuos reconoce publicamente tal respon- sabilidad. Y dado que el reporte se enfoca en controles de reporte financiero, estoaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.172 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) cieros publicados confiables. El sistema incluye una estructura organizacional do- cumentada y divisiones de responsabilidades, politicas establecidas y procedimien- tos que incluyen un cédigo de conducta para crear un clima ético fuerte, el cual se comunica por la compaiiia y la seleccion, entrenamiento y desempefo de nuestra gente. Los auditores internos monitorean la operacion del sistema de control interno y reporan los resultados y recomendaciones a la gerencia y al comité de directores, ‘yse toman las acciones correctivas para controlar las deficiencias y para mejorar el ‘sistema a medida que se superan las debilidades. Elcomité que opera por medio de su comité auditor, y cual esid compuesto totalmente de directores los cuales no son oficiales ni empleados de la compafiia, proveen vigilancia sobre procesos de reporte. Hay limitaciones inherentes en la efectividad de cualquier sistema de control in- terno, incluyendo la posibilidad de errores humanos y los fraudes y encubrimientos de los controles. De esta manera atin con el sistema de control interno efectivo éste slo puede proveer una seguridad razonable con respecto a las operaciones del esta- do financiero. Adicionalmente, la efectividad de un sistema de control interno puede cambiar con las circunstancias. La compaiita evalué su sistema de control interno a Diciembre 3] de 19XX en relacidn con los criterios sobre control interno efectivo descrito en “Control Interno- estructura integrada-” editado por el Comité de Organizaciones Referencia de la comisién TreadWay. Basado en estos criterios, la compaitia considera que, a Di- ciembre 3! de 19XX, el sistema de control interno de la empresa cumple con estos criterios. Cuando existe una debilidad material al final del aflo, la ultima frase que se ilustré puede ser modificada y reemplazada por las siguientes lineas: Basados en la evaluacién, excepto para los asuntos anotados abajo, la compaiiia considera que a Diciembre 31 de 19XX, el sistema de control interno sobre las finan- zas cumple con estos criterios. Durante 19XX, la compaiiia establecid nuevos térmi- nos de garantia para ciertos productos, pero no tiene la experiencia ingenieril nece- saria para estimar hacia el final del afio la exactitud relativa del riesgo. Esa expe- riencia ha sido adquirida y ha sido aplicada en el cdilculo del riesgo que representa en el reporte financiero a Diciembre 31 de 19XX. Debilidades materiales Dado que el reporte gerencial contiene la conclusién sobre la efectividad del siste- ma de control interno de la entidad, surgen las preguntas de si las deficiencias que se identifican son tan serias como para impedir la conclusién sobre el sistema.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE Ill. REPORTE A PARTES EXTERNAS 77 recuperables. Por ejemplo, este podria ser el caso de un contratista del gobierno de forma fraudulenta le carga costos a un contrato. Una entidad podria, sin embargo, acometer objetivos de un cédigo escrito en una forma menos formal. Una forma es mediante reuniones periédicas de la alta gerencia con los empleados en las cuales se discuten los comportamicntos aceptables ¢ inaceptables. Si el evaluador considera que estas reuniones fueron efectivas, éste podria concluir que la ausencia de un cédi- go formal de conducta no creé un riesgo inaceptable de errores materiales o de irre- gularidades. Tal conclusién podria ser atin mas apropiada si la confiabilidad de los estados financieros de la entidad estuviesen en menor riesgo de incurrir en actos que pudiesen ordinariamente ser prohibidos en un cédigo formal de conducta + La falta de integridad en la parte de la gerencia podria tener efectos tan perjudi- ciales sobre el estado financiero que esto podria muy bien constituir una debilidad material. Sin embargo, no todos los actos poco éticos tienden o tienen impacto sobre los procesos de reporte financiero. Por ejemplo, hacer arteglos de cobrar y retener (disefiados para inflar las ganancias reportadas) pueden evidenciar un falta en alto grado de integridad y peor que usar los carros de la compaiifa para propésitos perso- nales. Los dos actos evidencian una integridad total menor, pero el primero, al menos superficialmente, es mas grave que el ultimo y podria tener implicaciones més direc- tas para la confiabilidad de los estados financieros de la entidad. Similarmente, un comportamiento antiético de un gerente de bajo nivel es menos consecuente para sacar una conclusién acerca de la habilidad del sistema de control interno de la enti- dad para generar estados financieros contables que si la actitud se hubiese observado. en los ejecutivos directores 0 en la gerencia general. + Otro ejemplo asume que un contrato de una compaiifa de alta tecnologfa con los clientes provee una garantia extendida para sus productos. Los empleados que pro- veen el servicio a los clientes 0 estén de otra forma relacionados con los problemas de los clientes se requiere que transfieran los conocimientos sobre la insatisfaccién del cliente al drea contable. En este caso, el proceso de transmitir la insatisfaccién es importante para arribar al estimativo por parte de la funcidn contable sobre la reserva de garantia. En este caso, no hay otro control para establecer los objetivos del reporte financiero. La ansencia de tal comunicacién -sea que no existe el canal o que éste no se usa- podria, si las cantidades involucradas son materiales, hacer surgir la conclu- sién de que existe una debilidad material. Variaciones en los hechos que ocurren alrededor pueden hacer llegar a una conclusién diferente. Si los términos del contra- to de los productos de la compaiifa fuesen sustancialmente diferentes de los citados, por ejemplo, un perfodo de garantia muy corto, la exposicién potencial podria estar mucho més abajo de cualquier umbral material. O, auditoria interna u otro grupo designado podrfa determinar hacia el final del affo los reclamos potenciales para de- terminar los objetivos del reporte financiero por otros medios. En cualquiera de estas situaciones- u otras que puedan existir- la gerencia probablemente concluirfa que la debilidad material no existe.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.184 CONTROL INTERNO, ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) dades y empresas, y la metodologfa de la evaluacién y la técnica en la documenta- cidn también puede variar. Por consiguiente, las entidades deben usar otra metodolo- gia con diferentes técnicas de evaluacién. Para esas entidades que planean usar estas herramientas de alguna manera, es sugerido que s6lo las utilicen como un punto de partida, y que sean modificadas para conseguir los datos particulares, las condiciones y los riesgos pertinentes a sus propias circunstancias. Estas herramientas de evaluacién pueden ser usadas en entidades de cualquier tamafio. Cuando son usadas por pequefias o medianas entidades, el proceso debe ser adaptado y ademés se debe tener en cuenta que las entidades pequefias tienden a ser menos formales y menos estructuradas que las grandes organizaciones; algunos nive- les de la organizacién pueden resultar en la CEO y en otros puntos claves que el director comunica directa y continuamente al nivel mas bajo del personal, y estos factores pueden afectar el curso normal del control. La muestra de las herramientas que contiene este volumen ha sido completada usando una compafifa mediana hipo- tética y puede proveer informacién a compaiifas del mismo tamajio para completar las herramientas. HERRAMIENTAS MODELO Herramientas que lo componen Cinco herramientas de evaluacién son presentadas, una por cada componente del control interno. Un encabezamiento y una breve introduccién identifica cada factor 0 elemento significativo dentro de cada componente. Los asuntos esenciales a tratarse estén contenidos en la columna encabezada Pun- tos a enfocar. Los puntos a enfocar son identificados por los simbolos (¢, *)y repre- sentan algunos de los asuntos mas importantes relacionados con los componentes. No todos los puntos a enfocar son relacionados con cada entidad, asuntos adicionales pueden hacer referencia a algunas entidades. Se sugiere que el evaluador adapte los puntos a enfocar para que encajen en los datos y circunstancias de la entidad sea ailadiendo, borrando 0 modificando aquellos proporcionados en la herramienta. En cada punto a enfocar se incluyeron ejemplos de asuntos subsidiarios que pue- den ser considerados en la gufa de los puntos a enfocar. Es importante reconocer que sélo algunos ejemplos de tales asuntos subsidiarios soni proporcionados. Usualmente la mayoria de ellos son relacionados. Los ejemplos proporcionados son destinados slo a ilustrar los tipos de asuntos considerados. El evaluador dirige cada punto a enfocar, considerando cl ejemplo del asunto sub-aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.192 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) |Conclusiones /Acciones necesarias FILOSOFIA DE LA ADMINISTRACION Y ESTILO DE OPERACION La filosofia y el estilo de la operacin en la administracién normalmente tiene un penetrante efecto en la entidad. Estas son, por supuesto, intangibles, pero una puede mirar hacia Puntos positivos 0 negativos. Naturaleza de los riesgos de negocios aceptados, p.ej., cuan- do la direccién entra a menudo en convenios particulares de alto riesgo, 0 es extremadamente conservadora en la acepta- ci6n de riesgos. Por ejemplo, considerando si: + Ladireccién se mueve cuidadosamente, procediendo sélo después de un detallado andlisis de los riesgos y benefi- cios potenciales de una empresa. ¢ Rotacién del personal en funciones claves, p.ej.,en la ope- raci6n, en la contabilidad, en el procesamiento de informa- cién y en la auditoria interna. Por ejemplo, considerando si: + Ha habido una rotacidn excesiva de la direccién o en el personal de supervisiGn. * El personal clave ha renunciado inesperadamente olo han despedido. + Hay un patrén para la rotaci6n (p.ej., inhabilidad en la Fetencién de ejecutivos claves en auditorfa financiera 0 interna) que pueden ser un indicador del énfasis que la direccién pone en el control. # Actitud de la administracién hacia el procesamiento de la informacién y funciones de contabilidad, y se preocupa acer- ca de la confiabilidad de los reportes financieros y la seguri- dad de los bienes 0 activos. Por ejemplo, considerando si: + La funcién de contabilidad es vista como un grupo nece- sario 0 como un vehiculo para ejercitar el control sobre varias actividades de la entidad. + La seleccién de los principios de contabilidad usados en los informes financieros siempre resulta en el més alto ingreso reportado. + Sila funcién de contabilidad es descentralizada, la direc- cién de operacién sign off sobre los resultados reportados. * Unidad del personal de contabilidad también tiene res- ponsabilidades con la central de directores financieros. * Ventajas valuables, incluyendo ventajas intelectuales e informacién protegida de accesos 0 usos no autorizados.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.PARTE IV. HERRAMIENTAS DE EVALUACION 197 4 Adecuacién de los criterios de retencién y promocién de empleados y de las técnicas de recoleccién de informacién (p.ej., evaluaciones de desempeiio) y relacién con el cédigo de conducta u otras orientaciones del comportamiento. Por ejemplo, considerando si: + Lapromocién y el aumento en los salarios son detallados claramente para que los individuos conozcan las expecta- tivas de la direccién, la promocién o los ascensos. * El ritetio refleja adherencia a los estandares de compor- tamiento. |Conclusiones / Acciones necesarias \Componentes del Sumario / Acciones necesarias VALORACION DE RIESGOS PUNTOS A ENFOCAR OBJETIVOS GLOBALES DE LAENTIDAD DESCRIPCION/ COMENTARIOS Para que una entidad tenga un efectivo control, debe estable- cer objetivos. Los objetivos globales de la entidad deben in- cluir declaraciones generales de lo que esta desea llevar a cabo, y deben ser apoyados por planes estratégicos. Describa los objetivos globales de la entidad y las claves estratégicas que han sido establecidas. Extensién en la cual los objetivos globales de la entidad proveen orientaciones y declaraciones ampliamente suficien- tes sobre lo que la entidad desea conseguir, y si son lo sufi- cientemente especificos como para relacionarse directamente conesaentidad. Por ejemplo considerando si: * La direccién ha establecido los objetivos globales. + Los objetivos globales de la entidad son diferentes que los objetivos genéricos que se pueden aplicar a cualquier enti- dad (p. ej., generar suficiente corriente de efectivo, a pro- ducir una razonable inversién).aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.204 CONTROL INTERNO. ESTRUCTURA CON EPTUAL INTEGRADA (COSO) + Los planes son desarrollados por la conteatacidn y entre- namiento de la gente que cumple con el requisito de la experiencia para la distribucién de nuevos productos o actividades. + Los procedimientos estin en su lugar para obtener resul- tados a corto plazo, y para moditicar la produccién y el mercado como sea necesario. + Reportes financieros, requerimientos legales y regulado- res son identificados y quedan dentro de los limites. + Los efectos en los productos de otras compaiifas, y sus bencficios son monitoreados. * La sobrecarga en la distribucién es modificada para refle- jar la contribucién del producto con preci Reestructuracion social. + Lareasignacién de empleados o ta reduecién de ellos es analizada por su efecto potencial en las operaciones. + Las responsabilidades de control en los empleados son reasignadas, transferidas o fiscalizadas. + Elimpacto en la moral de los empleados después de gran- des reducciones es tomado en cuenta. + Existe Ja garantéa para protegerlos contra la formacién de cmpleados disgustados o no conieatos. Operaciones ajenas: + Ladireccién se manticne al tanto en cuestidn politica, re- gularmente en negocios y cn el rea social en el cual exis- ten las operaciones. + El personal esti de a s y polit + La existencia de procedimientos alternativos en caso de que sean interrumpidas las comunicaciones o las activi- dades. uerdo con las reg Conclusiones /Acciones necesarias Componente del Sumario / Acciones necesariasaa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.aa You have either reached a page that is unavailable for viewing or reached your viewing limit for this book.210 CONTROL INTERNO. ESTRUCTURA CONCEPTUAL INTEGRADA (COSO) MONITOREO PUNTOS A ENFOCAR DESCRIPCION/ MONITOREO ONGOINGI!00) COMENTARIOS El monitoreo ongoing ocurre en el curso normal de las opera~ ciones, e incluye actividades de supervision y direceién o administracién permanente, y otras actividades que son to- madas para llevar a cabo las obligaciones de cada empleado y obtener el mejor sistema de control interno. Extensin en la cual el personal, en el desempetio de sus actividades regulares, obtiene evidencia de si el sistema de control interno continia funcionando. Por ejemplo, conside- rando si: + La operacién directiva compara la produccién, el inven- tario, las ventas y otra informacién obtenida en el curso de las actividades diarias con la informacién generada en el sistema. + Integracién o reconciliacién de la informacién operativa usada para el manejo de las operaciones con la informa- cidn generada por el reporte financiero del sistema + Personal operario es requerido para finalizar las unidades financicras y si los responsables de errores son descu- biertos. @ Extensién en la cual las comunicaciones provenientes de partes externas corroboran la informacién generada interna- mente, 0 indican problemas. Por ejemplo, considerando si + Los clientes coroboran la facturacién cuando efectttan el pago 0 por el contrario se quejan por diferencias en el sistema del procesamiento de las transacciones de venta. Deben ser investigadas sus causas. + Las comunicaciones de los vendedores son mensuales acerca de Iss cuentas ya saldadas y usa monitoreo del control + Los proveedores se quejan de agentes no responsables y estos son inmediatamente investigados. + Los reguladores de la comunicacién de la informacién a Ja entidad tienen un mal funcionamiento del sistema de control interno. + Hay controles que previenen o deicctan ciertos problemas. un sistema de 100. Ongoing: término Wécnico que significa estaractualmente en proceso, en continuo movimiento, hacia adelante